Wymagania SOC 2: Essential Knowledge For Security Audits

By admin on

Wymagania zgodności z SOC 2: Essential Knowledge For Security Audits

Dla wielu dbających o bezpieczeństwo firm poszukujących dostawcy usług SaaS, zgodność z SOC 2 jest minimalnym wymogiem. Niestety, wielu dostawców nie jest pewnych, jak wdrożyć wymogi zgodności z SOC 2, ponieważ są one z natury niejasne.

W tym artykule dowiemy się, czym jest SOC 2 i wyjaśnimy istotne wymogi zgodności z SOC 2, aby Twoja firma mogła zrobić to, co jest potrzebne do zbudowania zaufania zarówno audytorów, jak i klientów.

Co to jest zgodność z SOC 2?

Service Organization Control (SOC) 2 to zestaw wymogów zgodności i procesów audytowych skierowanych do dostawców usług zewnętrznych. Został on opracowany, aby pomóc firmom określić, czy ich partnerzy biznesowi i sprzedawcy mogą bezpiecznie zarządzać danymi i chronić interesy i prywatność swoich klientów.

SOC 2 został opracowany przez American Institute of Certified Public Accountants (AICPA). W ramach jego procedur, istnieją dwa rodzaje raportów SOC 2:

  1. SOC 2 Typ 1 wyszczególnia systemy i kontrole, które zostały wdrożone w celu zapewnienia zgodności z wymogami bezpieczeństwa. Audytorzy sprawdzają dowody i weryfikują, czy spełniasz odpowiednie zasady zaufania. Potraktuj to jako weryfikację kontroli w czasie.
  2. SOC 2 Type 2 ocenia, jak skuteczne są Twoje procesy w zapewnianiu pożądanego poziomu bezpieczeństwa danych i zarządzania nimi przez pewien okres czasu.

Jakie są podstawowe wymagania dotyczące zgodności z SOC 2?

Zgodność z SOC 2 opiera się na określonych kryteriach prawidłowego zarządzania danymi klientów, na które składa się pięć kategorii usług zaufania: bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność.

Bezpieczeństwo jest podstawą zgodności z SOC 2, która składa się z szerokich kryteriów, wspólnych dla wszystkich pięciu kategorii usług zaufania.

Zasada bezpieczeństwa skupia się na ochronie aktywów i danych usługi w zakresie zgodności z SOC 2 przed nieuprawnionym użyciem. Możesz wdrożyć kontrole dostępu, aby zapobiec złośliwym atakom lub nieautoryzowanemu usunięciu danych, niewłaściwemu użyciu oprogramowania firmowego, nieusankcjonowanym zmianom lub ujawnieniu informacji firmowych.

Jeśli chodzi o bezpieczeństwo, najbardziej podstawowa lista kontrolna zgodności z SOC 2 (która zadowoli audytora) jest wyszczególniona w dokumencie Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy i powinna obejmować te kontrole:

  1. Kontrole dostępu logicznego i fizycznego-Sposób, w jaki ograniczasz i zarządzasz dostępem logicznym i fizycznym, Jak zarządzać operacjami systemowymi w celu wykrycia i złagodzenia odchyleń od ustalonych procedur
  2. Zarządzanie zmianami – Jak wdrożyć proces kontrolowanego zarządzania zmianami i zapobiegać nieautoryzowanym zmianom
  3. Ograniczanie ryzyka – Jak zidentyfikować i opracować działania ograniczające ryzyko w przypadku zakłóceń biznesowych i korzystania z usług dostawców

Niektóre kryteria SOC 2 są bardzo szerokie i bardziej oparte na polityce, podczas gdy niektóre są techniczne – ale nawet kryteria techniczne nie powiedzą Ci dokładnie, co musisz zrobić. Jako takie, kryteria SOC 2 są w pewnym sensie otwarte na interpretację. To od każdej firmy zależy osiągnięcie celu każdego kryterium poprzez wdrożenie różnych kontroli. Na przykład, aby spełnić kryteria kontroli dostępu logicznego i fizycznego, jedna firma może wdrożyć nowe procesy przyjmowania do pracy, uwierzytelnianie dwuskładnikowe i systemy zapobiegające pobieraniu danych klientów podczas udzielania wsparcia, podczas gdy inna może ograniczyć dostęp do centrów danych, przeprowadzać kwartalne przeglądy uprawnień i ściśle kontrolować to, co jest robione na systemach produkcyjnych. Żadna kombinacja nie jest idealna, ani nawet specjalnie wymagana. To, co jest wymagane, to osiągnięcie stanu końcowego pożądanego przez kryteria.

Gdy zajmiesz się wyżej wymienionymi wspólnymi kryteriami, spełnisz zasady bezpieczeństwa, co jest minimalnym wymaganiem, aby stać się zgodnym z SOC 2.

Jakie są inne wymagania zgodności z SOC 2?

Po spełnieniu wymagań bezpieczeństwa, powinieneś być w stanie przyciągnąć biznes. Jeśli jednak działasz w sektorze finansowym lub bankowym lub w innej branży, w której prywatność i poufność jest najważniejsza, musisz osiągnąć wyższy standard zgodności. Wiele firm poszukuje dostawców, którzy są w pełni zgodni, ponieważ wzbudza to zaufanie i świadczy o zaangażowaniu w minimalizację ryzyka.

Możesz wyjść poza podstawowe zasady bezpieczeństwa, aby uzyskać zgodność z dodatkowymi kryteriami w innych kategoriach usług zaufania poniżej.

Dostępność

Zasada dostępności skupia się na dostępności Twojego systemu, w którym monitorujesz i utrzymujesz swoją infrastrukturę, oprogramowanie i dane, aby zapewnić sobie zdolność przetwarzania i komponenty systemu potrzebne do realizacji celów biznesowych.

Wymagania zgodności ze standardem SOC 2 w tej kategorii obejmują:

  • Pomiar bieżącego wykorzystania – ustanowienie poziomu bazowego dla zarządzania pojemnością, który można wykorzystać do oceny ryzyka obniżonej dostępności wynikającej z ograniczeń pojemności.
  • Zidentyfikuj zagrożenia środowiskowe-Oceń zagrożenia środowiskowe, które mogą mieć wpływ na dostępność systemu, takie jak niekorzystne warunki pogodowe, pożar, przerwy w dostawie prądu lub awaria systemów kontroli środowiska.

Integralność przetwarzania

Zasada integralności przetwarzania skupia się na dostarczaniu właściwych danych we właściwej cenie i we właściwym czasie. Przetwarzanie danych powinno być nie tylko terminowe i dokładne, ale powinno być również ważne i autoryzowane.

Wymagania zgodności z normą SOC 2 w tej kategorii obejmują:

  • Tworzenie i utrzymywanie zapisów danych wejściowych do systemu-Kompilowanie dokładnych zapisów działań związanych z danymi wejściowymi do systemu.
  • Definiowanie czynności przetwarzania – Definiowanie czynności przetwarzania w celu zapewnienia zgodności produktów lub usług ze specyfikacjami.

Poufność

Zasada poufności koncentruje się na ograniczaniu dostępu i ujawnianiu prywatnych danych, tak aby tylko określone osoby lub organizacje mogły je przeglądać. Dane poufne mogą obejmować poufne informacje finansowe, plany biznesowe, ogólne dane klientów lub własność intelektualną.

Wymagania zgodności z normą SOC 2 w tej kategorii obejmują:

  • Zidentyfikuj informacje poufne – Wdrożenie procedur umożliwiających identyfikację informacji poufnych w momencie ich otrzymania lub utworzenia oraz określenie czasu ich przechowywania.
  • Niszczenie informacji poufnych – wdrożenie procedur usuwania informacji poufnych po zidentyfikowaniu ich do zniszczenia.

Prywatność

Zasada prywatności skupia się na przestrzeganiu przez system polityki prywatności klienta oraz ogólnie przyjętych zasad prywatności (GAPP) AICPA. Ta kategoria SOC uwzględnia metody używane do zbierania, wykorzystywania i przechowywania danych osobowych, jak również proces ujawniania i usuwania danych.

Wymagania zgodności z SOC 2 w tej kategorii obejmują:

  • Używaj jasnego i rzucającego się w oczy języka-Język w informacji o prywatności firmy jest jasny i spójny, nie pozostawia miejsca na błędną interpretację.
  • Zbieraj informacje z wiarygodnych źródeł – firma potwierdza, że zewnętrzne źródła danych są wiarygodne i prowadzi proces zbierania danych w sposób uczciwy i zgodny z prawem.

Czy można użyć oprogramowania, aby przyspieszyć uzyskanie zgodności z SOC 2?

SOC 2 koncentruje się przede wszystkim na politykach i procesach, a nie na zadaniach technicznych. W związku z tym nie istnieje dedykowane, zautomatyzowane narzędzie, które mogłoby szybko zapewnić zgodność przedsiębiorstwa z SOC 2.

Ponieważ wymagania SOC 2 nie są normatywne, należy opracować procesy i ścisłe kontrole zgodności z SOC 2, a następnie użyć narzędzi, które ułatwią wdrożenie kontroli. (Tweetuj!) W ten sposób będziesz miał system, który monitoruje i alarmuje Cię za każdym razem, gdy określona kontrola techniczna zawiedzie.

Na przykład, powiedzmy, że jedna z Twoich kontroli ma na celu ograniczenie dostępu do systemów Linux do kilku określonych administratorów. Możesz użyć narzędzia do śledzenia i pobierania statusu uprawnień w systemie w czasie rzeczywistym.

Dla każdej kontroli, którą wdrażasz, pomyśl o dowodach, które przedstawisz audytorowi. Pamiętaj, że posiadanie kontroli to tylko część wymagań zgodności z SOC 2 – musisz również być w stanie wykazać, że działa ona efektywnie.

How Uptycs Can Help You Become SOC 2 Compliant

Uptycs to rozwiązanie do analizy bezpieczeństwa oparte na osquery, które pomaga w audycie i zgodności, ponieważ można:

  • Śledzić status konfiguracji i aktywność sieciową na poziomie hosta dla stacji roboczych i punktów końcowych serwerów, a także monitorować aktywność w ramach usług Amazon Web Services.
  • Uzyskać informacje o aktywach IT na potrzeby audytu SOC 2. Na przykład, można użyć Uptycs do analizy aktywności sieciowej w systemach, aby upewnić się, że firewall działa zgodnie z oczekiwaniami.
  • Przeprowadzenie monitoringu integralności plików w celu wdrożenia podziału obowiązków i wykrycia, czy został on naruszony. Na przykład, jeśli ktoś z uprawnieniami dostępu do serwera wyłączy szyfrowanie bazy danych, możesz śledzić to w czasie zbliżonym do rzeczywistego.

Dodatkowo, dzięki wbudowanym danym wywiadu o zagrożeniach, Uptycs działa jako system wykrywania włamań dla Mac, Linux i Windows, umożliwiając wykorzystanie samego narzędzia jako jednej z kontroli SOC 2.

Dowiedz się więcej o tym, jak Uptycs może pomóc Ci w audycie i wymaganiach zgodności, oglądając krótkie wideo demonstracyjne lub zamawiając bezpłatny okres próbny.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *