Close
Czy wyświetlić tę stronę w Twoim języku?
Wszystkie języki
Wybierz swój język
Produkty

Polecane

Jira Software

Śledzenie projektów i zgłoszeń

Confluence

Współpraca przy tworzeniu treści

Jira Service Management

ITSM o dużej prędkości

Trello

Wizualne zarządzanie projektami

Zobacz wszystkie produkty

Marketplace

Korzystaj z tysięcy aplikacji i narzędzi integracji do wszystkich Twoich produktów Atlassian

Close dropdown
Rozwiązania

Polecane

Zarządzanie pracą

Zarządzaj projektami i koordynuj cele we wszystkich zespołach, aby dostarczać wymagane elementy

Zarządzanie usługami IT

Umożliwiaj zespołom deweloperskim, ds. eksploatacji IT i biznesowym dostarczanie doskonałych usług z dużą szybkością

Agile i DevOps

Zarządzaj światowej klasy organizacją programistyczną Agile — od odkrywania po dostarczanie i eksploatację

Według wielkości zespołu

Enterprise

Małe firmy

Startup

Organizacje non-profit

Według funkcji zespołu

Tworzenie oprogramowania

IT

Finanse

Marketing

HR

Według branży

Handel detaliczny

Telekomunikacja

Usługi specjalistyczne

Administracja publiczna

Close dropdown
Zasoby

Uczenie się

Atlassian University

Porady strategiczne Atlassian

Dokumentacja produktu

Zasoby dla programistów

Wsparcie

Społeczność Atlassian

Wsparcie Atlassian

Atlassian Migration Program

Usługi Enterprise

Wsparcie dla partnerów

Zakup licencji

Łączność

O nas

Kariera

Blog Work Life

Wydarzenia

Close dropdown
Search
Wypróbuj teraz
Toggle menu
Close search

Zasady Atlassian dotyczące technologii i bezpieczeństwa

Firma Atlassian opracowała program zarządzania bezpieczeństwem informatycznym (ISMP) opisujący zasady i reguły realizacji programów z zakresu zaufania i bezpieczeństwa. Udaje się to osiągnąć dzięki ciągłej ocenie zagrożeń dla naszej działalności i poprawie bezpieczeństwa, poufności, integralności i dostępności naszego środowiska Atlassian. Regularnie sprawdzamy i aktualizujemy zasady bezpieczeństwa, przeprowadzamy testy bezpieczeństwa aplikacji i sieci w naszym środowisku oraz monitorujemy zgodność z zasadami bezpieczeństwa.

Poniżej znajduje się wykaz i krótki opis głównych zasad technologii i bezpieczeństwa, które firma Atlassian wprowadziła w swoich środowiskach wewnętrznych i chmurowych.

Spis treści

Zasady i zagrożenia dla bezpieczeństwa oraz zarządzanie bezpieczeństwem

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania bezpieczeństwem w Atlassian.

Podstawowe zasady (tl;dr) obejmują:

  • Atlassian będzie zarządzać dostępem do informacji o firmie i informacji o klientach w zależności od potrzeb biznesowych i zgodnie z wartościami Atlassian.
  • Atlassian wdroży szereg środków kontroli w celu zarządzania wdrażaniem zabezpieczeń zgodnie z niniejszymi zasadami.
  • Atlassian będzie okresowo dokonywać przeglądu ryzyka i skuteczności środków kontroli mających na celu ograniczenie tych obszarów ryzyka.
  • Atlassian będzie z zaangażowaniem dążyć do osiągania zgodności z właściwymi przepisami dotyczącymi ochrony danych umożliwiających identyfikację tożsamości oraz warunkami umów zawieranych z użytkownikami produktów Cloud, a także świadczyć wsparcie w tym zakresie.

Zarządzanie dostępem

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania dostępem.

Podstawowe zasady (tl;dr) obejmują:

  • Atlassian będzie stosować zasady kontroli dostępu określające sposób zarządzania dostępem do systemów.
  • Konta użytkowników będą używane do zarządzania dostępem.
  • Wszyscy użytkownicy są odpowiedzialni za zarządzanie dostępem do swoich systemów.
  • Systemy będą rejestrowane i monitorowane pod kątem potencjalnie niepożądanego dostępu.
  • Dostęp zdalny będzie możliwy za pośrednictwem uwierzytelniania wieloskładnikowego.
  • W stosownych przypadkach obowiązki powinny być rozdzielone.

Zarządzanie zasobami

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania zasobami informatycznymi firmy Atlassian oraz sposobu postępowania z tymi zasobami.

Podstawowe zasady (tl;dr) zarządzania zasobami w Atlassian:

  • Atlassian będzie prowadzić inwentaryzację zasobów.
  • Przy zasobach wprowadzonych do bazy danych zarządzania zasobami będą wskazani właściciele zasobów.
  • Dopuszczalne sposoby korzystania z zasobów zostaną wskazane, udokumentowane i wdrożone.
  • W przypadku rozwiązania stosunku pracy zasoby zostaną zwrócone firmie Atlassian.

Zachowanie ciągłości działania i odzyskiwanie awaryjne

Niniejsze zasady określają ogólne reguły, które wyznaczają nasze podejście do odporności, dostępności i ciągłości procesów, systemów i usług w Atlassian. Określają one wymagania dotyczące ciągłości działania, odzyskiwania po awarii i procesów zarządzania kryzysowego.

Podstawowe zasady:

  • Właściciele systemów, procesów lub usług o znaczeniu krytycznym muszą zapewnić odpowiednią ciągłość działania i/lub odzyskiwanie po awarii, zgodne z tolerancją na zakłócenia w przypadku awarii.
  • Plany zapewniania ciągłości muszą uwzględniać odpowiednie środowisko pełniące funkcję „ostatniego bastionu”, które będzie zapewniało dostęp do (co najmniej) najważniejszych funkcji, a także plan przełączania na to środowisko. Należy również uwzględnić kwestie dotyczące wznawiania działalności w standardowym trybie.
  • Żaden system, proces ani żadna funkcja o znaczeniu krytycznym nie mogą zostać wdrożone do produkcji bez odpowiedniego planu ciągłości.
  • Co kwartał plany muszą być testowane, a problemy rozpoznawane i eliminowane.
  • Maksymalny czas odzyskiwania (RTO) liczony jest od momentu wykrycia zdarzenia do chwili uruchomienia podstawowej funkcjonalności. Usługi są pogrupowane w poziomy, dla których zdefiniowane są maksymalny czas odzyskiwania i docelowy punkt odzyskiwania.

Bezpieczeństwo komunikacji

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania bezpieczeństwem naszej komunikacji i naszych sieci.

Podstawowe zasady (tl;dr) obejmują:

  • Dostęp do sieci powinien być kontrolowany.
  • Zapewniony jest dostęp do sieci, a wszyscy użytkownicy powinni zapoznać się z zasadami dotyczącymi systemu elektronicznego i komunikacji.
  • Sieci powinny być posegregowane w oparciu o poziom krytyczności.

Kryptografia i szyfrowanie

Niniejsze zasady określają ogólne reguły, które dają pewność, że Atlassian wdraża odpowiednie strategie szyfrowania i kryptografii w celu zapewnienia poufności i integralności danych krytycznych. Atlassian wdraża mechanizmy kryptograficzne w celu ograniczania ryzyka związanego z przechowywaniem informacji poufnych i przesyłaniem ich za pośrednictwem sieci, także tych dostępnych publicznie (np. Internetu). Najważniejszym celem tego standardu jest usprawnienie stosowania niezawodnych, bezpiecznych i sprawdzonych technologii szyfrowania, aby ograniczać ryzyko nieautoryzowanego dostępu do danych wrażliwych firmy i/lub ich modyfikacji.

Podstawowe zasady (tl;dr) obejmują:

  • Dane wrażliwe są odpowiednio szyfrowane.
  • Zakres wybranego szyfrowania odpowiada poziomowi danych w klasyfikacji.
  • Zarządzanie kluczami kryptograficznymi odbywa się w sposób bezpieczny.
  • Stosowane będą tylko zatwierdzone algorytmy kryptograficzne i moduły oprogramowania.

Klasyfikacja danych

Niniejsze zasady wyznaczają i definiują klasyfikację ocen danych i zawierają opisy, przykłady, wymagania oraz wytyczne dotyczące postępowania z danymi uzyskującymi poszczególne oceny w klasyfikacji. Klasyfikacja ocen opiera się na wymaganiach prawnych, wrażliwości, wartości oraz poziomu krytyczności danych dla Atlassian, klientów Atlassian oraz partnerów i dostawców Atlassian.

Podstawowe zasady (tl;dr) obejmują:

  • Dane muszą być klasyfikowane pod względem wymogów prawnych, wartości i poziomu krytyczności dla Atlassian
  • Dane muszą być identyfikowane, oznaczane oraz aktualizowane na mapie przepływu danych, aby mieć pewność, że postępuje się z nimi w sposób właściwy
  • Dane z utylizowanych nośników muszą zostać bezpiecznie usunięte
  • Nośniki zawierające informacje o firmie muszą być zabezpieczone przed nieautoryzowanym dostępem, niewłaściwym użyciem lub uszkodzeniem podczas transportu

Urządzenia mobilne i własne urządzenia użytkowników (BYOD)

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące korzystania z urządzeń prywatnych w sieciach i systemach Atlassian.

Podstawowe zasady (tl;dr) obejmują:

  • Filozofia leżąca u podstaw niniejszych zasad korzystania z własnych urządzeń (nazywanych tutaj zasadami BYOD od ang. Bring Your Own Device lub zasadami) zakłada zachowanie maksymalnej dyskrecji i elastyczności w zakresie stosowania własnych urządzeń w celu zachowania autonomii Atlassian przy jednoczesnym zapewnieniu możliwości ochrony danych naszych klientów oraz firmy.
  • W związku z tym nacisk kładzie się na sprawdzanie konfiguracji / stanu zabezpieczeń oraz monitorowanie zgodności urządzeń z przepisami przy zastosowaniu możliwie najmniej restrykcyjnych zasad, jakie w rozsądny sposób pozwolą uzyskać wymagane cele związane z bezpieczeństwem, zamiast wymuszania ograniczeń. W obszarach wymagających zastosowania ograniczeń zostaną one zastosowane wybiórczo, w zależności od rodzaju danych, do jakich można uzyskać dostęp.
  • Niniejsze Zasady obejmują zarówno nasze obecne, jak i przewidywane przyszłe potrzeby. Niektóre z przedstawionych możliwości mogą nie zostać wdrożone natychmiast.

Operacje

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące praktyk związanych z obsługą zaplecza technologicznego w Atlassian.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Procedury działań operacyjnych będą dokumentowane.
  • Kopie zapasowe będą regularnie wykonywane i testowane.
  • Zmiany będą objęte procesem zarządzania i oceniane przez wiele osób.
  • Wydajność będzie poddawana ocenie, a plany będą ją uwzględniać.
  • Instalacja oprogramowania będzie ograniczona, podobnie jak zbędne oprogramowanie.
  • Dzienniki zostaną skonfigurowane i będą przekazywane do scentralizowanej platformy rejestrowania danych.
  • Zarządzanie wszelkimi incydentami operacyjnymi będzie się odbywało zgodnie z naszym standardowym procesem HOT

Bezpieczeństwo personelu

Niniejsze zasady określają ogóle reguły i wytyczne dotyczące bezpieczeństwa personelu w Atlassian.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Obowiązki związane z bezpieczeństwem będą określone w definicjach stanowisk.
  • Wszyscy pracownicy i użytkownicy będą regularnie przechodzić szkolenia uświadamiające w zakresie bezpieczeństwa.
  • Wszyscy pracownicy i wykonawcy mają obowiązek zgłaszania incydentów lub uchybień związanych z bezpieczeństwem.
  • Po ustaniu stosunku pracy z pracownikiem wycofanie dostępu i zwrot zasobów nastąpią w rozsądnym czasie.

Bezpieczeństwo fizyczne i środowiskowe

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zabezpieczania naszych budynków, biur i naszego sprzętu.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Zapewnienie bezpiecznego miejsca pracy.
  • Zabezpieczenie naszego sprzętu informatycznego bez względu na miejsce, w którym się znajduje.
  • Ograniczenie dostępu do naszych budynków i biur.

Prywatność

Niniejsze zasady określają reguły, których celem jest zapewnienie, że firma Atlassian wdraża stosowne środki bezpieczeństwa w celu ułatwienia ochrony prywatności danych.

Atlassian zdaje sobie sprawę, że pomimo skuteczności szyfrowania oraz innych technologii zwiększających ochronę prywatności (zwanych technologiami PET od ang. Privacy Enhancing Technologies), przy doborze i wdrażaniu technologii wymagane jest zachowanie dużej uwagi. W Atlassian stosujemy podejście do ochrony prywatności oparte na ryzyku, które uwzględnia charakter, zakres, kontekst i cele przetwarzania danych, a także prawdopodobieństwo i dotkliwość zagrożeń dla praw i swobód osób fizycznych.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Technologie PET powinny być dobierane zgodnie z podejściem opartym na ryzyku.
  • Technologie PET nie mogą uniemożliwiać firmie Atlassian spełnienia wymogów regulacyjnych dotyczących prawa do prywatności.
  • Technologie PET nie powinny osłabiać bezpieczeństwa systemów i usług przetwarzających dane.
  • Technologie PET nie powinny zakłócać możliwości przywrócenia dostępu do prywatnych danych i dostępności w przypadku naruszenia.
  • Technologie PET powinny umożliwiać regularne testowanie, ewaluację i ocenę skuteczności.

Zarządzanie incydentami związanymi z bezpieczeństwem

Niniejsze zasady określają reguły i wytyczne mające na celu zapewnienie, że Atlassian odpowiednio reaguje na wszelkie potwierdzone lub podejrzewane incydenty związane z bezpieczeństwem. Firma Atlassian jest odpowiedzialna za monitorowanie zdarzeń w organizacji, które mogą naruszać poufność, integralność lub dostępność informacji lub systemów informatycznych. Wszystkie podejrzenia incydentów muszą zostać zgłoszone i poddane ocenie. Zasady zostały wdrożone w taki sposób, aby zespół Atlassian Security mógł ograniczyć czas ich trwania i negatywny wpływ na firmę Atlassian oraz jej klientów, a także wyciągać wnioski z incydentów.

Podstawowe zasady (tl;dr) obejmują:

  • Przewidywanie incydentów związanych z bezpieczeństwem i przygotowanie do zareagowania na incydent.
  • Ograniczenie wpływu incydentów, eliminowanie ich i odzyskiwanie po ich wystąpieniu.
  • Inwestowanie w naszych pracowników, procesy i technologie, aby móc pewnie wykrywać i analizować incydenty związane z bezpieczeństwem, jeśli się pojawią.
  • Nadawanie ochronie danych osobowych oraz danych klientów najwyższego priorytetu w przypadku incydentów związanych z bezpieczeństwem.
  • Regularne ćwiczenie procedury reagowania na incydenty związane z bezpieczeństwem.
  • Wyciąganie wniosków z zarządzania incydentami związanymi z bezpieczeństwem i doskonalenie tego obszaru działalności.
  • Informowanie kierownictwa Atlassian o krytycznych incydentach związanych z bezpieczeństwem.

Zarządzanie dostawcami

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące wyboru, zatrudniania, monitorowania i offboardingu dostawców.

Podstawowe zasady:

  • Atlassian będzie celowo zarządzać procesem wyboru dostawców.
  • Wdrażanie wszystkich dostawców oraz zarządzanie nimi musi się odbywać zgodnie z procesami zapewniania należytej staranności i oceny ryzyka dostawców Atlassian.
  • Właściciel firmy wnioskujący o nawiązanie relacji z dostawcą ma obowiązek korzystać ze standardowych umów Atlassian.
  • Atlassian sprawuje nadzór nad stosunkami z dostawcą, aby spełniały one standardy przewidziane przez Atlassian.
  • Atlassian zastrzega sobie prawo do rozwiązania umowy z dowolnym dostawcą, gdy usługi takiego dostawcy przestaną być wymagane.

Pozyskiwanie, rozwój i konserwacja systemu

Te zasady określają ogólne reguły i wytyczne dotyczące tworzenia aplikacji, zarówno wewnętrznych, jak i przeznaczonych dla klientów, a także ograniczeń tworzenia w zakresie zarządzania środowiskami przedprodukcyjnymi i uwzględniania oprogramowania Open Source w dowolnych naszych produktach i usługach.

Podstawowe zasady (tl;dr) obejmują następujące działania:

  • Wymagania dotyczące bezpieczeństwa zostaną uwzględnione w każdym środowisku lub procesie tworzenia bądź nabywania aplikacji i zostaną w nie włączone.
  • Podczas prac rozwojowych nad produktem będziemy przestrzegać naszych wewnętrznych procedur zapewniania jakości, uwzględniając w nich kontrole bezpieczeństwa.
  • Dane produkcyjne ograniczone zgodnie z zasadami zarządzania cyklem życia informacji związanych z bezpieczeństwem danych będą anonimizowane lub maskowane w przypadku stosowania w środowiskach przedprodukcyjnych.
  • Integracja dowolnych środowisk lub bibliotek Open Source będzie się odbywać zgodnie z naszym wewnętrznym standardem dotyczącym korzystania z kodu innych firm w produkcie Atlassian.

Zarządzanie zagrożeniami i lukami w zabezpieczeniach

Niniejsze zasady określają ogólne reguły i wytyczne dotyczące zarządzania zagrożeniami dla bezpieczeństwa i lukami w zabezpieczeniach zarówno w naszym środowisku, jak i w naszych produktach.

Podstawowe zasady (tl;dr) obejmują:

  • Zarządzanie lukami w zabezpieczeniach naszych produktów i usług, w tym wydawanie aktualizacji, poprawek lub zaleceń.
  • Zarządzanie zagrożeniami i lukami w zabezpieczeniach w całym naszym środowisku, zarówno wewnętrznym, jak i w środowiskach hostowanych.
  • Zarządzaj zagrożeniami związanymi ze złośliwym oprogramowaniem w środowisku.

Zarządzanie audytami i zapewnianiem zgodności z przepisami

Te zasady określają ogólne reguły zarządzania zgodnością z przepisami i przeprowadzania kontroli audytowych w tym zakresie w Atlassian.

Podstawowe zasady (tl;dr) obejmują:

  • Wdrażamy środki kontroli, aby właściwie zarządzać ryzykiem, i zapewniamy zgodność z odpowiednimi zasadami, przepisami i zewnętrznymi normami branżowymi.
  • Stosujemy audyty jako sposób weryfikacji adekwatności i skuteczności operacyjnej naszych środków kontroli.
  • W stosownych przypadkach organizuje się i przeprowadza audyty, aby uzyskać wysoko poziom pewności co do skuteczności naszego środowiska kontrolnego, a także otrzymać certyfikację wewnętrzną lub zewnętrzną.
  • Atlassian korzysta z zewnętrznej oceny środków kontroli.
  • Atlassian tworzy i monitoruje skonsolidowany obraz wszystkich istotnych celów kontrolnych, działań kontrolnych i testów.