Close

Общая система методов защиты Atlassian


Подобно многим компаниям, Atlassian использует ряд международных стандартов в области защиты, которые применимы к разработке наших продуктов и операционных сред. Мы решили оценить, насколько пересекаются эти независимые стандарты, и составить единое представление об их применении в наших внутренних средах. Основной средой, в которой применяются эти стандарты, является наша платформа облачного хостинга. Мы должны показать, что прилагаем необходимые усилия для защиты своих клиентов и их данных. Однако не все стандарты применимы ко всем средам. Например, закон Сарбейнса-Оксли (SOX) охватывает системы, используемые в нашей бухгалтерии, где наши облачные сервисы играют лишь второстепенную роль. Итак, посмотрим, какие стандарты мы оценивали и почему.

Применимые международные стандарты

Ниже перечислены стандарты, которые мы включили в собственную внутреннюю общую платформу управления.

Standard

Спонсор

ISO 27001

Международная организация по стандартизации

ISO 27002

Международная организация по стандартизации

ISO 27018

Международная организация по стандартизации

SOC2

Американский институт присяжных бухгалтеров (AICPA)

NIST SP 800-53 ред. 4

Национальный институт стандартов и технологий

FedRAMP

Федеральное правительство США

CSA CCM

Альянс безопасности облачных вычислений

HIPAA

Федеральное правительство США

SOX 404 (IT)

Федеральное правительство США

PCI DSS

Совет по стандартам безопасности PCI

Общая схема контроля безопасности

Как видно из приведенной выше таблицы, существует целый ряд различных и разрозненных требований, многие из которых применяются к одним и тем же средам, системам и командам. Для того чтобы нашим командам было легче разобраться с множеством пересекающихся и похожих стандартов, мы оценили каждое требование к методам защиты и выяснили, где они совпадают, т. е. где все стандарты по сути охватывают одну и ту же область. В результате мы получили общую систему методов защиты, соответствующую всем этим стандартам.

Заключение

Было важно организовать общую систему методов защиты Atlassian, чтобы наши команды работали по принципу «семь раз отмерь, один отрежь». Вместо того чтобы обращаться по нескольку раз к разным командам, мы использовали эту эффективную систему, чтобы определить, где следует организовать и применить методы защиты, и чтобы вся компания могла понять требования и вклад каждой части организации в укрепление доверия наших клиентов.