Аудит SOC 2: что, как, зачем?

Подробно объясняем, что такое аудит SOC 2, зачем мы его прошли и как именно этот процесс происходил.

Как вы, наверное, уже знаете из блога Евгения Касперского или нашего официального пресс-релиза, недавно мы прошли аудит SOC 2. Если вы еще не в курсе, что это такое и зачем это нужно, мы постараемся сейчас об этом подробно рассказать.

Что такое аудит SOC 2?

Service and Organization Controls 2 (SOC 2) — это aудит контрольных процедур в IT организациях, предоставляющих сервисы. По сути это международный стандарт отчета для системы управления рисками кибербезопасности. Стандарт этот разработан «Американским институтом дипломированных общественных бухгалтеров» (American Institute of Certified Public Accountants, AICPA) и был обновлен в марте 2018 года.

Первый тип отчета (именно такой аудит мы и прошли) показывает эффективность создания механизмов контроля безопасности для отдельно взятого процесса. То есть в компанию приходят сторонние аудиторы и изучают управление рисками: смотрят, какие практики у нас внедрены, насколько четко мы следуем заявленным процедурам и как мы регистрируем изменения в процессе.

Зачем это нам?

Любая компания, оказывающая какие-либо сервисные услуги, потенциально может представлять угрозу для своих клиентов — стать звеном в атаке через цепочку поставок. На компании, работающие в сфере информационной безопасности, ложится еще большая ответственность — их продукты по определению должны иметь высший уровень доступа к информационным системам пользователей.

Вполне логично, что периодически у клиентов, особенно у крупных корпораций, возникают вопросы: а насколько вам стоит доверять? Как у вас там все внутри устроено? Не может ли кто-нибудь причинить нам вред, воспользовавшись вашими продуктами или сопутствующими сервисами? И что бы мы ни отвечали на этот вопрос — убедительнее будет звучать ответ от имени стороннего эксперта. Вот за таким сторонним экспертным заключением мы и обратились к внешним аудиторам. Нам важно, чтобы наши клиенты и партнеры не сомневались в надежности наших продуктов и сервисов, а также в том, что наши внутренние процессы соответствуют международным стандартам и передовому опыту.

Что изучали?

Наибольшее опасение всегда вызывает механизм, доставляющий какую-либо информацию на компьютеры клиентов. У нас много разных решений для разных сегментов рынка и разных отраслей. Но в большинстве из них в качестве базовой защитной технологии работает антивирусный движок, который сканирует объекты на диске на наличие признаков вредоносов. Для этого используются супербыстрые маски и хеши, эмуляция файла в изолированной среде, крайне устойчивые к мутациям файла матмодели машинного обучения и оперативные облачные запросы. Для эффективной борьбы с современными киберугрозами все эти методы требуют регулярных обновлений антивирусных баз.

Независимые аудиторы изучили систему подготовки антивирусных баз и методы контроля за целостностью и аутентичностью обновлений антивирусных баз продуктов для серверов Windows и Unix; удостоверились в корректной работоспособности методов контроля, а также проверили процесс разработки и выпуска антивирусных баз на предмет возможности неавторизованного вмешательства.

Как изучали?

Аудиторы смотрят, насколько процессы вендора соответствуют каждому из пяти основополагающих принципов: безопасности (защищен ли процесс от неавторизованного доступа), доступности (проверка того, работоспособен ли он вообще), целостности процессов (данные, которые доставляются клиенту, остаются в сохранности), конфиденциальности (может ли кто-то еще получить доступ к этим данным), приватности (хранятся ли на нашей стороне персональные данные, и если да, то как?).

В нашем случае аудиторы исследовали:

  • Что представляют собой наши сервисы.
  • Как наши системы взаимодействуют с пользователями и возможными партнерами.
  • Как построен контроль процессов и каковы его ограничения.
  • Какие инструменты контроля есть у пользователей и как они взаимодействуют с нашими инструментами контроля.
  • Каким рискам подвержен сервис и какие инструменты контроля позволяют минимизировать эти риски.

На практике они изучали нашу организационную структуру, механизмы и персонал. Интересовались тем, как мы проверяем новых сотрудников при найме на работу. Анализировали принятые у нас процедуры изменения требований по безопасности. Изучали исходный код механизма автоматической доставки антивирусных баз и, самое главное, возможности внесения несанкционированных изменений в этот код. И многое другое. Если вас интересуют детали, то внизу поста есть ссылка, пройдя по которой, вы можете зарегистрироваться и скачать полный отчет.

Кто проводил аудит и где ознакомиться с отчетом?

Аудит проводила одна из компаний «большой четверки». Как вы, возможно, заметили, мы нигде не говорим, какая именно. Но это не значит, что аудиторы были анонимными, просто это очень серьезные люди, которые дорожат упоминаниями своего имени в информационном поле. Отчет, разумеется, подписан.

В результате аудиторы пришли к выводу, что наши процессы разработки и выпуска баз защищены от несанкционированных вмешательств. Если вас интересуют более подробные выводы, описание процесса исследования и прочие детали, то вы можете ознакомиться с полным текстом отчета после регистрации.

Советы