Соответствие SOC2 для бизнеса: почему это важно для компаний

Соответствие SOC2 – наиболее распространенное сегодня требование, которое распространяется на технологические компании.

С помощью аудита SOC можно проинформировать клиента, а также все заинтересованные стороны о том, что в компании реализованы эффективные механизмы внутреннего контроля и обеспечения безопасности. Это особенно актуально для провайдеров услуг, таких как облачные хранилища, веб-хостинги, SaaS-сервисы и т.д. На самом деле соответствие SOC важно для любой организации, которая хранит данные своих пользователей в облаке.

Аббревиатура SOC расшифровывается как «Service and Organization Controls» (оценка инструментов контроля и управления). Стандарт был представлен организацией AICPA (Американский институт дипломированных присяжных бухгалтеров). В основе SOC лежат критерии Trust Services, которые будут рассмотрены нами ниже.

Четыре веских причины для соблюдения стандарта SOC2

Начать подготовку к аудиту SOC2 следует как можно раньше. Это позволит вашей компании заложить устойчивый фундамент для развития по разным направлениям.

Если говорить кратко, то соответствие SOC2 дает следующие преимущества:

1. Улучшается безопасность. Выполнение критериев SOC2 помогает смягчить последствия потенциальных атак, создать надежные механизмы обеспечения безопасности, которые будут лучше отвечать имеющимся рискам. SOC2 подталкивает бизнес к внедрению устойчивых, масштабируемых систем безопасности.
2. Поддерживается корпоративная культура. Реализация и внедрение мер безопасности – всегда сложный процесс. Люди могут жаловаться на то, что у них уходит дополнительное время для входа в сервисы за счет использования многофакторной аутентификации. Однако такие мелкие проблемы стоят конечного результата. Создание безопасной корпоративной культуры, соответствующей стандартам, проще начинать еще в молодой организации. Многие компании, состоящие даже из 3 человек, успешно прошли аудит SOC2.
3. Формируется необходимая документация. Привести в порядок документацию – важный шаг для любого бизнеса. Есть ли у вас документация по внутренним стандартам? По корпоративным политикам и процедурам? Грамотное документирование этих процессов позволяет улучшить внутреннюю коммуникацию и согласованность данных, что поможет вам впоследствии решать юридические и нормативные проблемы, наращивать объем продаж и готовиться к разным финансовым изменениям, таким как слияние, поглощение, новый раунд привлечения венчурных инвестиций и т.д.
4. Реализуется управление рисками. Подготовка к аудиту SOC2 позволяет заложить устойчивый фундамент для понимания и сокращения имеющихся рисков. Многие организации, которые никогда не проходили официальный аудит соответствия, либо не знают о рисках безопасности, либо решают их на лету. Систематический подход к проблеме позволяет заранее выявлять любые риски, даже самые незначительные, и своевременно их устранять.

Безусловно, небольшой компании зачастую сложно пройти аудит SOC2 – может недоставать ресурсов для этого. Но еще сложнее это сделать, когда компания уже развитая, поскольку придется видоизменять культуру, процессы, инструменты и т.д. Чем раньше вы займетесь этим, тем лучше, поскольку это позволит вам с самого начала интегрировать все инструменты и процессы в ваш бизнес.

Какие виды SOC-аудитов существуют

В целом можно выделить три типа SOC-аудитов для сервисных организаций:

• SOC1. Этот тип аудитов связан с процессами и инструментами, которые влияют на внутренний контроль финансовой отчетности организации (ICFR).
• SOC2. Этот тип аудитов предназначен для контроля нефинансовой отчетности. Здесь выделяют 5 ключевых критериев TSC (Trust Services Criteria), задачей которых является помощь в заложении стандартов для обеспечения конфиденциальности и безопасности данных (как передаваемых, так и хранящихся).
• SOC3. Этот тип аудитов подобен второму в плане критериев отчетности. Вся разница лишь в том, как передается информация. Стандарт SOC2 нацелен на организации, в то время как SOC3 – на широкую аудиторию (общественность).

Критерии Trust Services, используемые в SOC2

Проверка SOC2 – это способ убедиться в том, что сторонний провайдер услуг делает абсолютно все необходимое для защиты данных ваших клиентов. Это дает вам некоторую гарантию безопасности, поскольку вы знаете, что независимые лицензированные аудиторы изучили политики, инструменты контроля и управления, а также процедуры провайдера услуг, что значительно снижает последствия разных рисков.

Критерии TSC изложены в документе под названием «TSP Section 100: 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy».

1. Безопасность.

В этом разделе отмечены критерии, которые касаются защиты механизмов и систем, используемых для сбора, создания, хранения, использования, обработки и передачи данных.

Вот лишь некоторые инструменты и политики, относящиеся к этой категории:

• Системы обнаружения вторжений.
• Межсетевые экраны.
• Инструменты многофакторной аутентификации.
• Клиентские сертификаты.
• Цифровой и физический контроль доступа.

2. Доступность.

В этом разделе TSC отмечается доступность данных - как для систем организации, так и для продуктов/услуг, которые получают клиенты. Аудитор проверяет инструменты управления, чтобы определить, поддерживают ли они такую доступность для разных операций, мониторинга и обслуживания.

 Некоторые инструменты и политики, относящиеся к этой категории:

• Реагирование на чрезвычайные ситуации
• Защищенные бэкапы данных
• Мониторинг производительности и инцидентов

3. Целостность обработки данных.

Эти критерии обеспечивают целостность, полноту, достоверность и актуальность данных. Они позволяют убедиться, что данные обрабатываются провайдером именно так, как было разрешено.

Аудит позволяет выявить, есть ли в системах какие-либо задержки, упущения, ошибки или манипуляции (непреднамеренные или несанкционированные) при обработке данных.

Некоторые инструменты и политики, относящиеся к этой категории:

• Мониторинг процессов.
• Обеспечение качества (QA).

4. Конфиденциальность.

Эта категория призвана продемонстрировать, что любые конфиденциальные данные остаются безопасными и защищенными. Сюда относится любая информация, начиная от личных данных субъекта и заканчивая его интеллектуальной собственностью.

Для достижения безопасности передаваемых данных используются SSL/TLS-сертификаты, а также сертификаты цифровой подписи для email (сертификаты персональной аутентификации).

Некоторые инструменты и политики, относящиеся к этой категории:

• Цифровой и физический контроль доступа.
• Сетевые брандмауэры.
• Криптографические инструменты.

5. Приватность.

Конфиденциальность и приватность в критериях TSC – разные вещи. Конфиденциальность описывает разные категории чувствительной информации, в то время как приватность относится только к личным сведениям, включающим в себя:

• Имя и фамилия.
• Адрес.
• Контакты.
• Номер социального страхования.

Чтобы пройти аудит в этой области, организациям нужно будет показать, что они надежно защищают и обрабатывают персональную информацию. В отчетах указывается, как собираются, используются, раскрываются, хранятся и удаляются данные.

Некоторые инструменты и политики, относящиеся к этой категории:

• Контроль доступа.
• Уведомления о раскрытии данных
• Процессы удаления данных.

Чтобы реализовать соответствие стандартам SOC2, вам необходимо будет обратиться к независимым лицензионным аудиторам.

Однако уже сейчас вы можете позаботиться о своей безопасности, заказав в компании ЛидерТелеком SSL/TLS-сертификаты, а также S/MIME-сертификаты для email. Это поможет вам реализовать надежную, безопасную среду для коммуникации с клиентами, а также выполнить четвертый пункт TSC, связанный с конфиденциальностью данных.