Close

Общая система методов защиты Atlassian


Подобно многим компаниям, Atlassian использует ряд международных стандартов в области защиты, которые применимы к разработке наших продуктов и операционных сред. Мы решили оценить, насколько пересекаются эти независимые стандарты, и составить единое представление об их применении в наших внутренних средах. Основной средой, в которой применяются эти стандарты, является наша платформа облачного хостинга. Мы должны показать, что прилагаем необходимые усилия для защиты своих клиентов и их данных. Однако не все стандарты применимы ко всем средам. Например, закон Сарбейнса-Оксли (SOX) охватывает системы, используемые в нашей бухгалтерии, где наши облачные сервисы играют лишь второстепенную роль. Итак, посмотрим, какие стандарты мы оценивали и почему.

Применимые международные стандарты

Ниже перечислены стандарты, которые мы включили в собственную внутреннюю общую платформу управления.

Standard

Спонсор

ISO 27001

Международная организация по стандартизации

ISO 27002

Международная организация по стандартизации

ISO 27018

Международная организация по стандартизации

PCI-DSS

Индустрия платежных карт

CSA CCM

Альянс безопасности облачных вычислений

SOC2

Американский институт присяжных бухгалтеров (AICPA)

SOX 404 (IT)

Федеральный закон США

FedRAMP

Управление служб общего назначения США

Общая схема контроля безопасности

Как видно из приведенной выше таблицы, существует целый ряд различных и разрозненных требований, многие из которых применяются к одним и тем же средам, системам и командам. Для того чтобы нашим командам было легче разобраться с множеством пересекающихся и похожих стандартов, мы оценили каждое требование к методам защиты и выяснили, где они совпадают, т. е. где все стандарты по сути охватывают одну и ту же область. В результате мы получили общую систему методов защиты, соответствующую всем этим стандартам.

Заключение

Было важно организовать общую систему методов защиты Atlassian, чтобы наши команды работали по принципу «семь раз отмерь, один отрежь». Вместо того чтобы обращаться по нескольку раз к разным командам, мы использовали эту эффективную систему, чтобы определить, где следует организовать и применить методы защиты, и чтобы вся компания могла понять требования и вклад каждой части организации в обеспечение безопасности наших клиентов.