Перейти к основному разделу

Финальный отчёт, опубликованный одной из компаний «Большой четвёрки», подтверждает, что процесс разработки и выпуска правил распознавания угроз (антивирусных баз) защищён от неавторизованного вмешательства благодаря сильным механизмам контроля безопасности.  

Service Organization Controls (SOC) – всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Его основная цель – информировать клиентов об эффективности создания и внедрения механизмов контроля безопасности. Как ответственная и прозрачная компания, «Лаборатория Касперского» выбрала этот стандарт для подтверждения надёжности своих продуктов и приверженности принципам и критериям AICPA, а именно таким, как безопасность (Security), доступность (Availability), целостность процессов (Processing Integrity), конфиденциальность (Confidentiality), приватность (Privacy).  

Анализ, проведённый в соответствии со стандартом SSAE 18, включает обзор внутренних механизмов контроля над регулярными автоматическими обновлениями антивирусных баз, созданных и распространяемых «Лабораторией Касперского» для продуктов, работающих в системах Windows и Unix Servers. В финальном отчёте независимая аудиторская компания «Большой четвёрки» подтвердила пригодность упомянутых выше механизмов контроля и их корректную работоспособность по состоянию на дату проверки.     

«Безопасность наших продуктов – абсолютный приоритет для нас. Мы гордимся тем, что успешно прошли независимый аудит. Для наших клиентов отчёт SOC2 – свидетельство того, что наши решения безопасны, а наш процесс разработки надёжен и защищён. Кроме того, это ещё один шаг вперёд в реализации нашей инициативы по информационной открытости», – подчеркнул Андрей Ефремов, директор по исследованиям и разработке «Лаборатории Касперского».

По условиям договора «Лаборатория Касперского» не может раскрывать название аудиторской компании «Большой четвёрки», однако может по запросу предоставить основную информацию об упомянутых выше соответствиях и требованиях отчёта SOC 2 Type 1.

Аудит был проведён в рамках реализации Глобальной инициативы по информационной открытости Global Transparency Initiative – программы, которую «Лаборатория Касперского» запустила в 2017 году, чтобы продемонстрировать своим партнёрам и клиентам, что её решения и сервисы не только лучше других защищают от всего многообразия киберугроз, но также бережно обращаются с пользовательским данными. На текущий момент компания работает над следующими проектами в рамках инициативы.

  • Программа BugBounty. Недавно «Лаборатория Касперского» выплатила крупнейшее за всю историю программы вознаграждение в размере 23000 долларов США. Бонус получили исследователи из Imaginary team за обнаружение бага в продуктах «Лаборатории Касперского», который потенциально мог позволить какой-либо третьей стороне удалённо выполнить произвольный код на компьютере пользователя с системными привилегиями. Проблема была оперативно устранена. «Лаборатория Касперского» благодарна Imaginary team за отчёт и помощь в усовершенствовании продуктов.
  • «Безопасная гавань» для исследователей уязвимостей. «Лаборатория Касперского» поддерживает проект Disclose.io, который представляет собой безопасную площадку (SafeHarbor) для исследователей уязвимостей, обеспокоенных негативными юридическими последствиями своих раскрытий. Компания понимает, что такие внешние эксперты оказывают неоценимую помощь, сообщая о багах в продуктах, и готова предоставить им дополнительные гарантии для честного и ответственного раскрытия уязвимостей.
  • Центры прозрачности. На данный момент «Лаборатория Касперского» завершила второй этап в создании дополнительной инфраструктуры по обработке данных пользователей из Европы в своём ЦОД в Цюрихе, где также в ноябре 2018 года был открыт первый Центр прозрачности. С июня 2019 года посетителей начал принимать ещё один Центр прозрачности в Мадриде. До 2020 года компания планирует открыть по меньшей мере ещё один такой центр. В Центрах прозрачности доверенные партнёры и другие заинтересованные стороны (в том числе государственные органы) могут проверить исходный код продуктов «Лаборатории Касперского», а также получить информацию о практиках создания ПО и обработки пользовательских данных.   

Взгляд со стороны: «Лаборатория Касперского» успешно прошла независимый аудит SOC 2

В рамках реализации Глобальной инициативы по информационной открытости Global Transparency Initiative «Лаборатория Касперского» успешно прошла аудит по контрольным процедурам в сервисных организациях – Service Organization Control for Service Organizations (SOC 2) Type 1.
Kaspersky Logo