Как управлять сертификацией SOC 2 и добиться успеха

26 апреля 2023 г.

Каждый поставщик SaaS проходит процесс проверки перед фазой интеграции с крупным или средним бизнесом. Это особенно важно для американских корпораций, но также широко распространено во всем мире. WebLab Technology получила собственный опыт сертификации SOC2, работая с Shaman BV< /а>.

Почему не ISO 27001?

ISO 27001 – это стандарт, обеспечивающий надлежащее управление цифровыми активами, такими как финансовая информация, интеллектуальная собственность, сведения о сотрудниках или информация, доверенная третьими лицами.

SOC 2 более распространен, и его обычно предпочитают американские и канадские компании.

Кроме того, я считаю полезным, что SOC разделен на SOC 1 и SOC 2. Первый означает финансовый контроль. Таким образом, поставщики SaaS могут сосредоточиться только на SOC 2.

Во время сертификации SOC 2 компания оценивается по набору категорий услуг доверия, которые составляют основу оценки:

Безопасность. Системы и хранимые данные защищены от несанкционированного доступа и раскрытия.

Доступность. Информация и системы доступны для работы и использования.

Конфиденциальность. Конфиденциальная информация защищена.

Целостность обработки. Системная обработка является полной, достоверной, точной, своевременной и санкционированной. Данные клиента остаются правильными на протяжении всей обработки данных.

Конфиденциальность. Личная информация собирается, используется, хранится, раскрывается и удаляется в соответствии с заранее установленными политиками.

Технические компоненты SOC 2

Важно понимать, что SOC 2 касается не только безопасности.

Данные, управляемые поставщиками SaaS, могут иметь решающее значение для бизнеса в целом. В зависимости от глубины интеграции даже кратковременный сбой может привести к значительным финансовым или репутационным потерям. Вот почему важно убедиться, что поставщик SaaS придерживается лучших практик.

SOC 2 состоит из множества контрольных точек, например:

Сканирование уязвимостей хоста выполняется не реже одного раза в квартал для всех внешних систем. Критические и серьезные уязвимости отслеживаются до устранения.

Компания использует инструмент управления журналами для выявления событий, которые потенциально могут повлиять на способность компании достичь своих целей в области безопасности.

Проверка компании на проникновение проводится не реже одного раза в год. Разрабатывается план исправления и вносятся изменения для устранения уязвимостей в соответствии с соглашениями об уровне обслуживания.

И так далее. Всего на данный момент насчитывается 235 подобных пунктов технического контроля. Статусы контрольных точек должны регулярно обновляться и поддерживаться.

SOC 2, тип 1 и усилители; 2

SOC 2 представлен в типах 1 и 2.

Тип 1 означает аудит на определенный момент времени в дату, выбранную в запросе на аудит. Разумно запланировать как минимум шесть месяцев на подготовку к типу 1.

Тип 2 показывает, как средства контроля работают в течение определенного периода времени, обычно через 6–12 месяцев после Типа 1. В ходе этого процесса аудитор проходит через все контрольные точки в историческом представлении.

Однако предположим, что промахи по контрольным точкам имеют место в течение значительного периода времени. Тогда, даже если он успешно пройдет контрольные точки именно в этот момент, не исключено, что аудитор запросит дополнительные 6–12 месяцев. Требуется согласованность.

SOC 2 не касается технических моментов

SOC 2 имеет множество административных принципов:

Управление:

Организация определяет риски.

Предприятие сообщает внутреннюю информацию, включая цели и обязанности в отношении внутреннего контроля. * Организация общается с внешними сторонами, включая четкое определение рисков.

Совет директоров:

Совет директоров демонстрирует независимость от руководства.

Руководство устанавливает под контролем совета директоров структуры и порядок подчинения.

Отдел кадров:

Организация демонстрирует стремление привлекать, развивать и удерживать компетентных специалистов в соответствии со своими целями.

Организация возлагает на отдельных лиц ответственность за выполнение своих обязанностей по внутреннему контролю.

Список принципов неполный. Эти принципы сводятся к многочисленным более конкретным контрольным точкам.

Помимо сильной команды, вам нужны инструменты и процессы. Это не разовая работа — это постоянное обслуживание.

Мы должны обеспечить, чтобы изменения и контроль были не просто тем, о чем только говорят. Есть отличная цитата из.

Нам пришлось внедрить десятки политик, улучшить архитектуру и внедрить множество решений для мониторинга, таких как Trendmicro Conformity, Wazuh, Sentry и DataDog.

Мы предпочитаем работать с AWS, поэтому также используем дюжину их инструментов, таких как AWS Inspector, AWS WAF, AWS KMS, Менеджер секретов AWS, AWS CloudTrail и т. д.

Но больше всего изменила правила игры Vanta. Они предоставили нам лучшую основу для подготовки и постоянный мониторинг безопасности и соответствия требованиям.

Мы также считаем AWS Well-Architected Framework хорошей отправной точкой, даже если SOC2 еще не требуется. Столпы эксплуатации, безопасности, надежности и устойчивого развития во многом пересекаются с тем, что ожидается в SOC2.

И напоследок — как настроиться на успех?

Как и во многих других случаях, вам нужны команда, подход и процесс.

Наймите квалифицированную команду исследователей и разработчиков с DevOps и SysOps. Следует выделить подгруппу, которая будет отвечать за подготовку к SOC 2 под четким руководством.
Наймите консультанта по безопасности. Лучше выбрать внешнего консультанта или компанию. Для большинства SaaS-компаний наличие штатного специалиста по безопасности в команде является излишним.
Имейте четкие временные рамки. Ожидайте 6–12 месяцев для типа 1 и еще 6–12 месяцев для типа 2.
Начинайте заранее, особенно с документацией, политиками и архитектурными изменениями.
Запросить тестирование на проникновение заблаговременно.
Интеграция платформ и инструментов мониторинга соответствия требованиям.

Время аудита

Аудиторы SOC — это независимые сертифицированные бухгалтеры (CPA), которые работают с пакетом SOC для оценки и составления отчетов о средствах контроля в обслуживающей организации. Стоит посмотреть на Sensiba San Filippo, Seiler, < a href="https://www.hoodstrong.com/">Капюшон и усилитель; Сильный. Мы в WebLab работали с первым.

На рынке существует множество CPA. Предлагаемые критерии выбора:

Общение. Целесообразно провести встречу с CPA при выборе. Даже если они высокопрофессиональны, общение с одними CPA проходит легче, чем с другими.
Хронология. Некоторые цены за конверсию могут быть недоступны в течение нужного вам периода.
Настройки клиента. Если интеграция происходит на основе запроса, полученного от клиента, у него также могут быть определенные ожидания.

Аудит типа 1 занимает несколько недель, обычно до 5.

Удачи!

:::информация Об авторе

__Александр Книга__ является архитектором решений и приверженцем открытого исходного кода, страстно увлеченным Разработка программного обеспечения.

n Александр живет жизнью цифрового кочевника. Когда он не нажимает на клавиатуру, его можно найти в походах, на сноуборде, на рыбалке и в прогулках по городу. Александр имеет степень MBA и степень магистра компьютерных наук.

:::

:::информация Также опубликовано здесь.

:::

Оригинал

Как управлять сертификацией SOC 2 и добиться успеха

Почему не ISO 27001?

Технические компоненты SOC 2

SOC 2 состоит из множества контрольных точек, например:

SOC 2, тип 1 и усилители; 2

SOC 2 не касается технических моментов

И напоследок — как настроиться на успех?

Время аудита

Recent Post

Алгоритм MEME: оптимизация уклонения от вредоносных программ посредством извлечения модели и обучения с подкреплением

Пересечение обучения с подкреплением и извлечения моделей в кибербезопасности

Понимание модели угроз: атаки «черного ящика» на системы обнаружения вредоносных программ

Сила MEME: создание состязательного вредоносного ПО с помощью обучения с подкреплением на основе моделей

MITRE настаивает на запуске новой системы защиты от инсайдерских угроз

Categories