Учитывая важность информационной безопасности, особенно с свете того, как предприятия все чаще передают на аутсорсинг жизненно важные и узкоспециализированные задачи, компании должны обеспечить постоянную безопасную работу с данными. Уязвимости приложений и сетей делают организации открытыми для различных атак, включая кражу данных, выкуп и установку вредоносных программ.
SOC 2 — это тип аудита, который гарантирует, что ваши сервисные организации обеспечивают безопасную операционную среду, в которой они легко могут управлять вашими конфиденциальными данными и защищать интересы вашей организации, а также конфиденциальность ваших клиентов. Аудит фокусируется на внутренних средствах контроля, которые ваша организация применяет для управления услугами своих клиентов.
Кто должен соответствовать требованиям SOC 2
Требования SOC 2 являются обязательными для всех ангажированных организаций, предоставляющих услуги на основе технологий и хранящих информацию о клиентах в облаке. К таким организациям относятся те, которые предоставляют облачные услуги, а также используют облако для хранения информации каждого соответствующего клиента.
Какова цель аудита SOC 2
Организации, предоставляющие услуги, становятся все более бесценными при оказании целого ряда жизненно важных услуг. Аудит SOC 2, также называемый Руководством AICPA «Отчетность о средствах контроля в сервисной организации, относящихся к безопасности, доступности, целостности обработки, конфиденциальности или конфиденциальности», используется компаниями, которые предоставляют услуги аутсорсинга и имеют доступ к данным клиентов.
Руководство SOC 2 было разработано для обеспечения того, чтобы данные клиентов оставались конфиденциальными, безопасными, частными и доступными для использования в случае необходимости. Кроме того, они обеспечивают гарантии полной, точной, своевременной и санкционированной обработки данных в системе. Наконец, что наиболее важно, отчет об аудите SOC 2 представляет собой аттестационный отчет, заверенный надежной зарегистрированной аудиторской фирмой. Его обслуживающая организация может предоставить в качестве доказательства соответствия требованиям своим организациям-пользователям.
Кому требуется аудит SOC 2
Аудит SOC 2 играет важную роль в нормативном надзоре, а также во внутренних процессах управления рисками и корпоративном управлении. Он обеспечивает компаниям-клиентам уверенность в безопасности данных, которые находятся за пределами их объектов и к которым имеют доступ их обслуживающие организации.
Любая организация, которой необходима подробная информация и гарантии контроля в обслуживающей компании, может запросить аудит SOC 2. К основным типам компаний, которые проходят аудит SOC 2, относятся те, которые предоставляют такие услуги, как хостинг данных, размещение, обработка данных, облачное хранение и программное обеспечение как услуга.
Эти поставщики услуг должны обеспечить передачу, хранение, обработку и утилизацию любых данных в соответствии с требованиями SOC, установленными AICPA. Аудиты SOC 2 могут проводиться как часть регулярной программы безопасности или если организация-пользователь подозревает, что в обслуживающей организации существует проблема безопасности данных с одним или несколькими критериями.
Структура SOC 2 — критерии доверительных услуг
Процесс аудита и отчетности SOC 2 руководствуется рамками, называемыми критериями доверительного обслуживания.
В их основе лежат пять критериев:
- Безопасность
Данные и вычислительные системы предприятия полностью защищены от любого несанкционированного доступа, несанкционированного и ненадлежащего раскрытия информации, а также от любого возможного повреждения систем, которое может поставить под угрозу целостность обработки, доступность, конфиденциальность или секретность данных или систем, что повлияет на способность предприятия выполнять свои задачи.
- Доступность
Все информационные и вычислительные системы готовы и доступны для работы в любое время для достижения целей организации.
- Целостность обработки
Вся обработка в системе является полной, точной, действительной, своевременной и авторизованной для обеспечения того, что организация выполнит свои задачи.
- Конфиденциальность
Любая информация, обозначенная как конфиденциальная, остается в безопасности для достижения целей организации.
- Конфиденциальность личных данных
Вся личная информация, которая собирается, используется, сохраняется, хранится, раскрывается или уничтожается, должна соответствовать целям организации.
Виды аудита
Как и аудит SOC 1, SOC 2 имеет два различных типа отчетов.
SOC 2 Тип I
Этот тип аудита исследует средства контроля, которые сервисные организации используют для выполнения любого или всех пяти критериев доверительного обслуживания. Этот тип аудита описывает системы сервисной организации и дает уверенность в том, что средства контроля эффективно разработаны для удовлетворения соответствующих критериев доверия в определенный момент времени.
SOC 2 Тип II
Этот тип аудита включает дополнительное подтверждение того, что средства контроля сервисной организации проходят тестирование на предмет операционной эффективности в течение определенного периода времени. Организации-пользователи и их аудиторская группа обычно выбирают шесть месяцев в качестве периода времени для оценки.
Каковы основные требования к соответствию стандарту SOC 2
Самое главное требование SOC 2 заключается в том, что компании должны разработать политику и процедуры безопасности, которые должны быть прописаны и соблюдаться всеми. Эти политики и процедуры служат руководством для аудиторов, которые будут их проверять.
Что необходимо контролировать
Наиболее важные вещи, которые необходимо отслеживать, включают любую несанкционированную, необычную или подозрительную активность, связанную с данными, принадлежащими конкретному клиенту. Этот тип мониторинга обычно фокусируется на уровне конфигурации системы и доступа пользователей и отслеживает известную и неизвестную вредоносную активность, такую как фишинг или другие виды несанкционированного и неавторизованного доступа. Лучшим средством мониторинга является услуга непрерывного мониторинга безопасности.
Какие оповещения необходимы
Оповещения, установленные для обнаружения несанкционированного доступа к информации и данным клиента или любого другого аномального поведения, связанного с данными клиента, играют решающую роль в оказании помощи занятым ИТ-руководителям в выполнении требований SOC 2. Чтобы избежать ложных тревог и ненужных реакций на эти тревоги, важно искать систему, которая оповещает только тогда, когда необычная активность выходит за рамки нормальной операционной среды в соответствии с установленными политиками и процедурами.
Что включается в отчет об аудите SOC 2
При проведении аудита SOC 2 нет необходимости сосредотачиваться на контроле финансовой отчетности, поскольку эти вопросы рассматриваются в рамках аудита SOC 1. В отчете SOC 2 оцениваются нефинансовые средства контроля отчетности предприятия, связанные с безопасностью, доступностью, целостностью обработки, конфиденциальностью и приватностью системы.
В отчете об аудите SOC 2 аудитор дает письменную оценку системы внутреннего контроля обслуживающей организации. Он будет содержать определение бухгалтерской фирмы о том, имеются ли соответствующие средства контроля для решения каждого из выбранных критериев.