Что такое SOC 2

Учитывая важность информационной безопасности, особенно с свете того, как предприятия все чаще передают на аутсорсинг жизненно важные и узкоспециализированные задачи, компании должны обеспечить постоянную безопасную работу с данными. Уязвимости приложений и сетей делают организации открытыми для различных атак, включая кражу данных, выкуп и установку вредоносных программ.

SOC 2 — это тип аудита, который гарантирует, что ваши сервисные организации обеспечивают безопасную операционную среду, в которой они легко могут управлять вашими конфиденциальными данными и защищать интересы вашей организации, а также конфиденциальность ваших клиентов. Аудит фокусируется на внутренних средствах контроля, которые ваша организация применяет для управления услугами своих клиентов.

Кто должен соответствовать требованиям SOC 2

Требования SOC 2 являются обязательными для всех ангажированных организаций, предоставляющих услуги на основе технологий и хранящих информацию о клиентах в облаке. К таким организациям относятся те, которые предоставляют облачные услуги, а также используют облако для хранения информации каждого соответствующего клиента.

Какова цель аудита SOC 2

Организации, предоставляющие услуги, становятся все более бесценными при оказании целого ряда жизненно важных услуг. Аудит SOC 2, также называемый Руководством AICPA «Отчетность о средствах контроля в сервисной организации, относящихся к безопасности, доступности, целостности обработки, конфиденциальности или конфиденциальности», используется компаниями, которые предоставляют услуги аутсорсинга и имеют доступ к данным клиентов.

Руководство SOC 2 было разработано для обеспечения того, чтобы данные клиентов оставались конфиденциальными, безопасными, частными и доступными для использования в случае необходимости. Кроме того, они обеспечивают гарантии полной, точной, своевременной и санкционированной обработки данных в системе. Наконец, что наиболее важно, отчет об аудите SOC 2 представляет собой аттестационный отчет, заверенный надежной зарегистрированной аудиторской фирмой. Его обслуживающая организация может предоставить в качестве доказательства соответствия требованиям своим организациям-пользователям.

Кому требуется аудит SOC 2

Аудит SOC 2 играет важную роль в нормативном надзоре, а также во внутренних процессах управления рисками и корпоративном управлении. Он обеспечивает компаниям-клиентам уверенность в безопасности данных, которые находятся за пределами их объектов и к которым имеют доступ их обслуживающие организации.

Любая организация, которой необходима подробная информация и гарантии контроля в обслуживающей компании, может запросить аудит SOC 2. К основным типам компаний, которые проходят аудит SOC 2, относятся те, которые предоставляют такие услуги, как хостинг данных, размещение, обработка данных, облачное хранение и программное обеспечение как услуга.

Эти поставщики услуг должны обеспечить передачу, хранение, обработку и утилизацию любых данных в соответствии с требованиями SOC, установленными AICPA. Аудиты SOC 2 могут проводиться как часть регулярной программы безопасности или если организация-пользователь подозревает, что в обслуживающей организации существует проблема безопасности данных с одним или несколькими критериями.

Структура SOC 2 — критерии доверительных услуг

Процесс аудита и отчетности SOC 2 руководствуется рамками, называемыми критериями доверительного обслуживания.

В их основе лежат пять критериев:

  1. Безопасность 

Данные и вычислительные системы предприятия полностью защищены от любого несанкционированного доступа, несанкционированного и ненадлежащего раскрытия информации, а также от любого возможного повреждения систем, которое может поставить под угрозу целостность обработки, доступность, конфиденциальность или секретность данных или систем, что повлияет на способность предприятия выполнять свои задачи.

  1. Доступность

Все информационные и вычислительные системы готовы и доступны для работы в любое время для достижения целей организации.

  1. Целостность обработки

Вся обработка в системе является полной, точной, действительной, своевременной и авторизованной для обеспечения того, что организация выполнит свои задачи.

  1. Конфиденциальность

Любая информация, обозначенная как конфиденциальная, остается в безопасности для достижения целей организации.

  1. Конфиденциальность личных данных

Вся личная информация, которая собирается, используется, сохраняется, хранится, раскрывается или уничтожается, должна соответствовать целям организации.

Виды аудита

Как и аудит SOC 1, SOC 2 имеет два различных типа отчетов.

SOC 2 Тип I

Этот тип аудита исследует средства контроля, которые сервисные организации используют для выполнения любого или всех пяти критериев доверительного обслуживания. Этот тип аудита описывает системы сервисной организации и дает уверенность в том, что средства контроля эффективно разработаны для удовлетворения соответствующих критериев доверия в определенный момент времени.

SOC 2 Тип II

Этот тип аудита включает дополнительное подтверждение того, что средства контроля сервисной организации проходят тестирование на предмет операционной эффективности в течение определенного периода времени. Организации-пользователи и их аудиторская группа обычно выбирают шесть месяцев в качестве периода времени для оценки.

Каковы основные требования к соответствию стандарту SOC 2

Самое главное требование SOC 2 заключается в том, что компании должны разработать политику и процедуры безопасности, которые должны быть прописаны и соблюдаться всеми. Эти политики и процедуры служат руководством для аудиторов, которые будут их проверять.

Что необходимо контролировать

Наиболее важные вещи, которые необходимо отслеживать, включают любую несанкционированную, необычную или подозрительную активность, связанную с данными, принадлежащими конкретному клиенту. Этот тип мониторинга обычно фокусируется на уровне конфигурации системы и доступа пользователей и отслеживает известную и неизвестную вредоносную активность, такую как фишинг или другие виды несанкционированного и неавторизованного доступа. Лучшим средством мониторинга является услуга непрерывного мониторинга безопасности.

Какие оповещения необходимы

Оповещения, установленные для обнаружения несанкционированного доступа к информации и данным клиента или любого другого аномального поведения, связанного с данными клиента, играют решающую роль в оказании помощи занятым ИТ-руководителям в выполнении требований SOC 2. Чтобы избежать ложных тревог и ненужных реакций на эти тревоги, важно искать систему, которая оповещает только тогда, когда необычная активность выходит за рамки нормальной операционной среды в соответствии с установленными политиками и процедурами.

Что включается в отчет об аудите SOC 2

При проведении аудита SOC 2 нет необходимости сосредотачиваться на контроле финансовой отчетности, поскольку эти вопросы рассматриваются в рамках аудита SOC 1. В отчете SOC 2 оцениваются нефинансовые средства контроля отчетности предприятия, связанные с безопасностью, доступностью, целостностью обработки, конфиденциальностью и приватностью системы.

В отчете об аудите SOC 2 аудитор дает письменную оценку системы внутреннего контроля обслуживающей организации. Он будет содержать определение бухгалтерской фирмы о том, имеются ли соответствующие средства контроля для решения каждого из выбранных критериев.

Информационное общество и кибербезопасностьИнформационное общество и кибербезопасность

Средства информационного обмена постоянно развиваются и совершенствуются, благодаря чему наш мир пронизывают все более тесные взаимосвязи. Информатизация общества берет начало во второй половине XX в., и уже к началу XXI

Вопросы о пентестеВопросы о пентесте

Тестирование на проникновение ставит под сомнение безопасность сети. Учитывая ценность сети предприятия, перед проведением тестирования необходимо проконсультироваться с экспертами. Эксперты могут гарантировать, что тестирование не повредит сети, а также предоставят

Стратегия допустимого использованияСтратегия допустимого использования

Целью стратегии приемлемого использования является установление стандартов безопасности использования компьютерного оборудования и услуг компании, а также соответствующих мер безопасности сотрудников для защиты корпоративных ресурсов и личной информации. Злоупотребление компьютерным оборудованием