Close

Общая система методов защиты Atlassian


Подобно многим компаниям, Atlassian использует ряд международных стандартов в области защиты, которые применимы к разработке наших продуктов и операционных сред. Мы решили оценить, насколько пересекаются эти независимые стандарты, и составить единое представление об их применении в наших внутренних средах. Основной средой, в которой применяются эти стандарты, является наша платформа облачного хостинга. Мы должны показать, что прилагаем необходимые усилия для защиты своих клиентов и их данных. Однако не все стандарты применимы ко всем средам. Например, закон Сарбейнса-Оксли (SOX) охватывает системы, используемые в нашей бухгалтерии, где наши облачные сервисы играют лишь второстепенную роль. Итак, посмотрим, какие стандарты мы оценивали и почему.

Применимые международные стандарты

Ниже перечислены стандарты, которые мы включили в собственную внутреннюю общую платформу управления.

Standard

Спонсор

ISO 27001

Международная организация по стандартизации

ISO 27002

Международная организация по стандартизации

ISO 27018

Международная организация по стандартизации

PCI-DSS

Индустрия платежных карт

CSA CCM

Альянс безопасности облачных вычислений

SOC2

Американский институт присяжных бухгалтеров (AICPA)

SOX 404 (IT)

Федеральный закон США

FedRAMP

Управление служб общего назначения США

Общая схема контроля безопасности

Как видно из приведенной выше таблицы, существует целый ряд различных и разрозненных требований, многие из которых применяются к одним и тем же средам, системам и командам. Для того чтобы нашим командам было легче разобраться с множеством пересекающихся и похожих стандартов, мы оценили каждое требование к методам защиты и выяснили, где они совпадают, т. е. где все стандарты по сути охватывают одну и ту же область. В результате мы получили общую систему методов защиты, соответствующую всем этим стандартам.

Концептуальная модель применимости

Оценив все требования, мы пришли к выводу, что применять весь набор методов защиты к каждому продукту и онлайн-сервису неэффективно. Мы разработали структуру, где разные части системы методов защиты применяются к определенным частям стека поставки, которые могут наследоваться другими частями организации.

Логотип Atlassian в окне браузера

Приложения Atlassian

Безопасность при разработке приложений

Безопасность данных и управление жизненным циклом информации

Замок

Безопасность в Atlassian

Криптография и шифрование

Защита от угроз и управление уязвимостями

Управление инцидентами безопасности

Связанные узлы

Инфраструктура Atlassian

Управление ресурсами

Управление доступом

Операции

Безопасность коммуникации

кластер серверов

ЦОД и офисы Atlassian

Физическая защита и безопасность среды

Портфель

Компания Atlassian

Управление безопасностью

Организация в сфере безопасности

Безопасность персонала

Управление данными поставщиков и третьих лиц

Безопасность мобильных систем

Непрерывность бизнеса

Аудит / Соответствие требованиям

Конфиденциальность

Заключение

Было важно организовать общую систему методов защиты Atlassian, чтобы наши команды работали по принципу «семь раз отмерь, один отрежь». Вместо того чтобы обращаться по нескольку раз к разным командам, мы использовали эту эффективную систему, чтобы определить, где следует организовать и применить методы защиты, и чтобы вся компания могла понять требования и вклад каждой части организации в обеспечение безопасности наших клиентов.