Close
Хотите открыть эту страницу на своем языке?
Все языки
Выберите язык
Логотип APRA

РУКОВОДСТВО ПО АУТСОРСИНГУ в соответствии с Пруденциальным стандартом APRA CPS 234

Австралийское управление пруденциального регулирования (APRA) выпустило Пруденциальный стандарт APRA CPS 234 по информационной безопасности («CPS 234»), чтобы обеспечить соответствие регулируемых со стороны APRA организаций, в том числе пенсионных фондов, банков и страховых компаний, определенным минимальным стандартам развития и поддержки средств информационной безопасности. Согласно требованиям CPS 234 организации, регулируемые APRA, должны:

  • четко определить роли и обязанности, связанные с информационной безопасностью;
  • поддерживать средства информационной безопасности, соразмерные масштабу и степени угроз в отношении информационных активов;
  • внедрить средства защиты информационных активов, регулярно тестировать такие средства и обеспечивать их эффективность, а также
  • своевременно уведомлять организацию APRA о существенных инцидентах информационной безопасности.

В стандарте CPS 234 также описываются определенные обязательства организации, регулируемой APRA, по комплексной проверке партнеров в случаях, когда организация передает управление своими информационными активами на аутсорсинг третьей стороне. На этой странице описаны все соответствующие нормативные обязательства согласно стандарту CPS 234 и приведены комментарии, которые помогут организациям, регулируемым APRA, оценить каждое требование CPS 234 применительно к облачным продуктам компании Atlassian и проверить выполнение своих обязательств в соответствии со стандартом CPS 234.

 

Руководящие принципы

Комментарий Atlassian

1.

Руководящие принципы

Средства обеспечения информационной безопасности

2.

Руководящие принципы

15. Организация, регулируемая APRA, должна располагать средствами информационной безопасности, соразмерными масштабу и степени угроз в отношении ее информационных активов, чтобы непрерывно обеспечивать надежную работу.

Комментарий Atlassian

Этот вопрос рассматривается клиентом. Сведения о средствах безопасности Atlassian см. в строке 3.

3.

Руководящие принципы

16. Если управление информационными активами осуществляет связанная или третья сторона, организация, регулируемая APRA, должна оценить возможности этой стороны в области информационной безопасности, соразмерив их с потенциальными последствиями инцидента, затрагивающего информационную безопасность этих активов.

Комментарий Atlassian

В качестве поставщика облачных продуктов организациям, регулируемым APRA, компания Atlassian реализует надежную программу информационной безопасности, соответствующую масштабу и степени угроз, с которыми мы сталкиваемся. Мы предоставили несколько ресурсов, содержащих подробную информацию о разработке, внедрении и эксплуатации средств информационной безопасности компании Atlassian. Важно, чтобы организации, регулируемые APRA, использовали эту информацию для оценки соответствия продуктов Atlassian их требованиям.

  • Ресурсный центр по соответствию требованиям — это ресурс, содержащий подробную информацию о нашей безопасности, сторонних аудитах и сертификатах, предлагаемых нашим клиентам для соблюдения нормативных требований.
  • Atlassian Trust Center предоставляет актуальную информацию о безопасности, надежности и конфиденциальности наших продуктов и сервисов, а также об их соответствии требованиям.
  • Страница о принципах безопасности. Эффективный подход к обеспечению безопасности начинается с наведения порядка в собственном доме. В этом ресурсе подробно рассказывается о том, как мы это делаем с помощью следующих средств.
    • Встраивание средств обеспечения безопасности в архитектуру наших сетей
    • Защита доступа к собственным сетям по принципу ZeroTrust (никогда не доверяй, всегда проверяй)
    • Защита доступа к собственным системам и сервисам
    • Защита конечных точек
    • Создание безопасных процессов проектирования и тестирования
Продукты и данные компании Atlassian размещаются в облачном хостинге провайдера Amazon Web Services (AWS), лидера в своей отрасли, и работают в среде «платформа как сервис» (PaaS). Данные клиентов и вложения в Jira Software Cloud, Jira Service Management Cloud, Jira Work Management, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках серверов, защищены с помощью отраслевого стандарта полного шифрования диска — AES-256. Данные, хранящиеся в облачных продуктах Atlassian, шифруются при передаче по общедоступным сетям с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения.

О том, как мы создали эту систему, можно узнать на странице с подробным описанием архитектуры Atlassian Cloud и методов работы с ней. Кроме того, как указано в техническом документе Atlassian Cloud Security Shared Responsibilities, клиенты могут ознакомиться с опросником STAR Альянса облачной безопасности (CSA), где содержатся наши ответы на более чем 300 вопросов, включенных в опросник Consensus Assessments Initiative Questionnaire (CAIQ). О том, как мы обнаруживаем уязвимости в защите и исправляем их, можно узнать в подробностях в разделе «Наш подход к управлению уязвимостями». В Atlassian также соблюдаются процессы управления уязвимостями, описанные в стандарте ISO 27001 и установленные Альянсом облачной безопасности (CSA). При анализе используется общая система оценки уязвимостей, которая помогает донести степень серьезности до наших клиентов. Помимо прочих процессов Atlassian:
  • поощряет сторонних исследователей денежными вознаграждениями за обнаружение уязвимостей в наших продуктах в рамках Программы вознаграждения за найденные ошибки. Мы стремимся к открытости и прозрачности, поэтому приглашаем всех на страницу нашей Программы вознаграждения за найденные ошибки (Bug Bounty). Регистрируйтесь в программе и тестируйте нас;
  • призывает клиентов сообщать об уязвимостях и стремится исправлять уязвимости в защите в рамках соответствующих целей по уровню обслуживания (SLO), изложенных в нашей Политике исправления ошибок безопасности;
  • периодически нанимает специализированные консультационные фирмы в области безопасности для тестирования на проникновение в отношении наших продуктов и инфраструктуры с высоким уровнем риска и публикует письма-отчеты от партнеров по тестированию на проникновение в разделе «Наш подход к внешнему тестированию безопасности»
  • позволяет клиентам проводить оценку безопасности (тесты на проникновение, оценку уязвимостей) в соответствии с определенными правилами, призванными обеспечить безопасность наших продуктов для всех клиентов.
Клиенты несут ответственность за управление уязвимостями в рамках своих аккаунтов. Чтобы помочь Клиентам контролировать безопасность своих данных, компания Atlassian предлагает дополнительные улучшенные возможности защиты данных и управления ими для облачных продуктов Atlassian в составе инструмента Atlassian Access, который позволяет организациям добавлять функции управления идентификацией и доступом (IAM) корпоративного уровня в центральную консоль администрирования. Это помогает предотвратить несанкционированный доступ, позволяя клиентам настраивать несколько политик аутентификации, осуществлять централизованный контроль и отслеживать использование, чтобы выявлять подозрительное поведение.

Организации, регулируемые APRA, могут использовать эту информацию для оценки наших средств обеспечения информационной безопасности в соответствии со своими информационными активами, хранящимися в продуктах и на платформах Atlassian.

4.

Руководящие принципы

17. Организация, регулируемая APRA, должна активно поддерживать средства обеспечения информационной безопасности в связи с изменениями уязвимостей и угроз, в том числе в результате изменений информационных активов или деловой среды.

Комментарий Atlassian

Организации, регулируемые APRA, могут использовать ресурсы и информацию в строке 3 для оценки наших средств обеспечения информационной безопасности в соответствии со своими информационными активами, хранящимися в продуктах и на платформах Atlassian.

5.

Руководящие принципы

Общие принципы политики

6.

Руководящие принципы

18. Организация, регулируемая APRA, должна реализовывать политику информационной безопасности, соизмеримую с уязвимостями и угрозами, которым она подвергается.

Комментарий Atlassian

Этот вопрос рассматривается клиентом. Компания Atlassian, со своей стороны, задокументировала основные принципы политики информационной безопасности, структура которых охватывает области, включенные как в стандарт ISO 27001, так и в матрицу управления облачными вычислениями (CCM) Альянса облачной безопасности (CSA).

Наша Программа управления политиками (PMP) включает обязательства, связанные с владением, доступностью и циклом пересмотра, а также определяет наши общие цели. Наши политики пересматриваются не реже одного раза в год и утверждаются высшим руководством. Дополнительную информацию о программе PMP можно найти в нашей системе Atlassian Trust Management System (ATMS).

Мы также опубликовали выдержки и краткое изложение по каждой из основных политик в разделе «Политики Atlassian в сфере безопасности и технологий».

7.

Руководящие принципы

19. Основные принципы политики информационной безопасности организации, регулируемой APRA, должны содержать указания об обязанностях всех сторон в области поддержания информационной безопасности.

Комментарий Atlassian

В нашей политике безопасности персонала изложены общие принципы и правила управления безопасностью персонала в Atlassian. Подчеркивается, что ответственность в отношении безопасности оговаривается в должностных инструкциях. Кроме того, каждая политика безопасности в нашем пакете охватывает более подробные аспекты обязанностей, применимых к конкретным должностным функциям или командам.

В техническом документе Atlassian Cloud Security Shared Responsibilities описываются обязанности клиентов и решения, которые они должны принять при определении способов защиты своих данных.

8.

Руководящие принципы

Идентификация и классификация информационных активов

9.

Руководящие принципы

20. Организация, регулируемая APRA, должна классифицировать свои информационные активы, в том числе те, которыми управляют связанные и третьи стороны, по степени критичности и конфиденциальности. Эта классификация должна отражать степень, в которой инцидент информационной безопасности, затрагивающий информационный актив, может оказать финансовое или нефинансовое влияние на организацию или интересы вкладчиков, страхователей, бенефициаров или других клиентов.

Комментарий Atlassian

Поскольку Клиенты сами решают, какие продукты Atlassian использовать и для каких целей, Клиент обязан определить, какими информационными активами управляет Atlassian, и классифицировать такие активы. Atlassian, в свою очередь, работает с классификацией информации следующим образом, описанным в собственном стандарте классификации данных.

  • Данные классифицируются с учетом юридических требований, а также их значимости и важности для компании Atlassian.
  • Данные идентифицируются, маркируются и поддерживаются в актуальном состоянии на карте потока данных, чтобы обеспечить надлежащую обработку.
  • При утилизации носителей информации данные с них безопасно удаляются.
  • Носители информации, на которых хранятся корпоративные данные, защищаются от несанкционированного доступа, ненадлежащего использования и повреждения при транспортировке.

10.

Руководящие принципы

Внедрение средств контроля

11.

Руководящие принципы

21. Организация, регулируемая APRA, должна иметь средства обеспечения информационной безопасности для защиты своих информационных активов, в том числе активов под управлением связанных и третьих сторон. Средства обеспечения информационной безопасности должны внедряться своевременно и соответствовать (a) уязвимостям и угрозам для информационных активов; (b) важности и конфиденциальности информационных активов; (c) стадии жизненного цикла информационных активов; и (d) потенциальным последствиям инцидента информационной безопасности.

Комментарий Atlassian

Подход Atlassian к безопасности описан в наших методах обеспечения безопасности. В наш подход к безопасности входит следующее.

  • Встраивание средств обеспечения безопасности в архитектуру собственных сетей 
  • Защита доступа к собственным сетям по принципу ZeroTrust (никогда не доверяй, всегда проверяй) 
  • Защита доступа к собственным системам и сервисам
  • Защита конечных точек 
  • Безопасность собственных продуктов 
  • Защита данных

12.

Руководящие принципы

22. Если информационными активами организации, регулируемой APRA, управляет связанная или третья сторона, организация, регулируемая APRA, должна оценить структуру средств информационной безопасности этой стороны, защищающих информационные активы организации, регулируемой APRA.

Комментарий Atlassian

В нашей Программе управления уязвимостями описывается подход Atlassian к обнаружению и устранению уязвимостей в защите собственных продуктов, в том числе ключевые средства защиты информации наших клиентов.

В нашей системе также подробно описан наш подход к управлению инцидентами безопасности.

В совокупности эти ресурсы предоставляют организациям, регулируемым APRA, подробную информацию о структуре наших мер безопасности в ключевых областях, чтобы организации могли определить, выполняются ли их обязательства в рамках CPS 234.

13.

Руководящие принципы

Управление инцидентами

14.

Руководящие принципы

23. Организация, регулируемая APRA, должна иметь надежные механизмы для своевременного выявления инцидентов информационной безопасности и реагирования на них.

Комментарий Atlassian

Несмотря на то что обязательства по управлению инцидентами безопасности, предусмотренные в стандарте CPS 234, возлагаются на организации, регулируемые APRA, Atlassian признает, что если такая организация использует продукты Atlassian в отношении некоторых или всех своих информационных активов, то подход Atlassian к управлению инцидентами безопасности также приобретает важное значение.

Мы располагаем документированной политикой реагирования на инциденты безопасности, которая включает следующие ключевые принципы:

  • Прогнозирование инцидентов безопасности и подготовка к реакции на инциденты.
  • Сдерживание последствий инцидентов, их устранение и восстановление систем.
  • Принятие мер, направленных на то, чтобы наши сотрудники, процессы и технологии были полностью готовы к выявлению и анализу инцидентов безопасности в случае их возникновения.
  • Защита персональных данных и данных клиентов становится нашей главной задачей во время инцидентов безопасности.
  • Регулярная проверка процедуры реакции на инциденты безопасности.
  • Мы накапливаем опыт и совершенствуем все функции, связанные с управлением инцидентами безопасности
  • Мы информируем руководителей Atlassian о критических инцидентах безопасности.
В соответствии с этой политикой Atlassian придерживается плана реагирования на инциденты безопасности. Чтобы процесс реагирования на инциденты был последовательным, повторяемым и эффективным, мы используем четко определенную внутреннюю структуру, охватывающую шаги, которые необходимо предпринять на каждом этапе процесса реагирования на инциденты. У нас есть документированные и постоянно обновляемые сборники сценариев, где описаны шаги, которые необходимо предпринять для реагирования на различные типы инцидентов. Дополнительные сведения о процессе реагирования на инциденты безопасности см. в разделах «Наш подход к управлению инцидентами безопасности» и «Обязанности Atlassian в отношении инцидентов безопасности».

Atlassian имеет большой опыт своевременного упреждающего уведомления об инцидентах безопасности и работы с клиентами над необходимыми мерами по устранению инцидентов. В нашем Дополнении об обработке данных (DPA) мы обязуемся незамедлительно информировать клиентов об инциденте безопасности и своевременно предоставлять информацию о нем по мере ее появления или по обоснованному запросу клиентов, чтобы они могли выполнить свои обязательства по отчетности об утечке данных в соответствии с применимым законодательством о защите данных (как определено в DPA). Если это уведомление необходимо клиентам в целях соответствия требованиям, мы рекомендуем им подписать и отправить Дополнение об обработке данных, расположенное здесь.

15.

Руководящие принципы

24. Организация, регулируемая APRA, должна иметь планы реагирования на инциденты информационной безопасности, которые, по мнению организации, могут произойти (планы реагирования в области информационной безопасности).

16.

Руководящие принципы

25. Планы реагирования в области информационной безопасности в организации, регулируемой APRA, должны включать действующие механизмы (a) управления всеми соответствующими стадиями инцидента с момента обнаружения до ретроспективного анализа и (b) эскалации инцидентов информационной безопасности и передачи сведений о них Правлению, другим руководящим органам и лицам, ответственным за управление инцидентами информационной безопасности и надзор за ними, в зависимости от обстоятельств.

17.

Руководящие принципы

26. Организация, регулируемая APRA, должна ежегодно пересматривать и тестировать планы реагирования на инциденты информационной безопасности, чтобы убедиться в их эффективности и соответствии поставленным целям.

18.

Руководящие принципы

Проверка эффективности средств контроля и внутренний аудит

19.

Руководящие принципы

27. Организация, регулируемая APRA, должна проверить эффективность своих средств контроля информационной безопасности с помощью программы комплексного тестирования. Характер и периодичность комплексного тестирования должны соответствовать (a) скорости изменения уязвимостей и угроз; (b) важности и конфиденциальности информационного актива; (c) последствиям инцидента информационной безопасности; (d) рискам, связанным с воздействием среды, в которой организация, регулируемая APRA, не может обеспечить соблюдение своих политик информационной безопасности, а также (e) существенности и частоте изменений информационных активов.

Комментарий Atlassian

Эффективность наших средств контроля безопасности проверяется с помощью многочисленных внешних аудитов и проверок. В то время как каждый Клиент отвечает за проверку эффективности собственных средств контроля информационной безопасности и направление всех недостатков, обнаруженных в ходе внутренней проверки, для устранения, Atlassian предоставляет несколько ресурсов, относящихся к собственной программе тестирования Atlassian, чтобы помочь Клиентам определить, выполнены ли их обязательства в рамках CPS 234.

Наши облачные продукты регулярно проходят независимую проверку встроенных средств контроля безопасности, конфиденциальности и соответствия требованиям. В результате им присуждаются сертификаты и для них создаются отчеты о соответствии международным стандартам. Мы предоставляем клиентам доступ к этим удостоверениям, сертификатам соответствия и аудиторским отчетам (например, отчет SOC2 и ISO 2700x) в Ресурсном центре по соответствию требованиям, чтобы клиенты могли ознакомиться с ними в рамках оценки рисков. Каждый соответствующий отчет по сертификации или аудиту содержит дополнительную информацию о сертифицирующей или аудиторской стороне.

Кроме того, в нашем Ресурсном центре по соответствию требованиям можно найти подборку технических документов, отражающих принципы работы и законы, для соблюдения которых официальный сертификат или иной документ может быть необязательным.

Atlassian постоянно совершенствует пригодность, соответствие и эффективность своих систем управления информационной безопасностью (ISMS). Система Atlassian Trust Management System (ATMS) ежегодно оценивается как собственными силами, так и третьими сторонами, поэтому клиенты Atlassian могут положиться на независимую оценку эффективности ATMS. На странице с определением системы ATMS сформулировано стремление к постоянному совершенствованию в целях развития ATMS и устранения всех недостатков.

Дополнительную информацию и обоснование нашего подхода можно найти на нескольких ресурсах в нашем центре Trust Center:

Не реже одного раза в год Atlassian проводит внутренние и внешние аудиты по обеспечению готовности. Результаты внутреннего аудита не передаются клиентам.

20.

Руководящие принципы

28. Если информационными активами организации, регулируемой APRA, управляет связанная или третья сторона, а организация, регулируемая APRA, полагается на тестирование средств обеспечения информационной безопасности, выполняемое этой стороной, то организация, регулируемая APRA, должна оценить, соответствуют ли характер и периодичность тестирования средств контроля в отношении этих информационных активов пунктам 27 (a) — 27 (e) настоящего Пруденциального стандарта.

21.

Руководящие принципы

29. Организация, регулируемая APRA, должна довести до сведения Правления или высшего руководства результаты тестирования, свидетельствующие о недостатках средств контроля информационной безопасности, которые невозможно своевременно устранить.

22.

Руководящие принципы

30. Организация, регулируемая APRA, должна обеспечить проведение тестирования квалифицированными и функционально независимыми специалистами.

23.

Руководящие принципы

31. Организация, регулируемая APRA, должна проверять достаточность программы тестирования не реже одного раза в год или в случае существенных изменений в информационных активах или деловой среде.

24.

Руководящие принципы

32. В организации, регулируемой APRA, деятельность по внутреннему аудиту должна включать анализ структуры и эффективности средств контроля информационной безопасности, в том числе мер, осуществляемых связанными и третьими сторонами (обеспечение контроля информационной безопасности).

25.

Руководящие принципы

33. Организация, регулируемая APRA, должна гарантировать, что контроль информационной безопасности обеспечивается персоналом, имеющим соответствующую квалификацию.

26.

Руководящие принципы

34. Служба внутреннего аудита организации, регулируемой APRA, должна оценить гарантии контроля информационной безопасности, предоставленные связанной или третьей стороной, если (a) инцидент информационной безопасности, затрагивающий информационные активы, может оказать существенное финансовое или нефинансовое влияние на организацию или интересы вкладчиков, страхователей, бенефициаров или других клиентов и если (b) внутренний аудит будет полагаться на гарантии контроля информационной безопасности, предоставленные связанной или третьей стороной.

27.

Руководящие принципы

Уведомление APRA

28.

Руководящие принципы

35. Организация, регулируемая APRA, должна уведомить APRA как можно скорее, но в любом случае не позднее чем через 72 часа после получения информации об инциденте информационной безопасности, который (a) существенно повлиял или мог оказать существенное финансовое или нефинансовое влияние на организацию или интересы вкладчиков, страхователей, бенефициаров или других клиентов либо (b) о котором было сообщено другим регулирующим органам в Австралии или других юрисдикциях.

Комментарий Atlassian

Atlassian понимает, насколько важно своевременно получать уведомления о любой утечке данных. Вот почему компания Atlassian создала большую межфункциональную команду и процесс для урегулирования инцидентов безопасности (описан на странице «Управление инцидентами безопасности»).

Atlassian имеет большой опыт своевременного упреждающего уведомления об инцидентах безопасности и работы с клиентами над необходимыми мерами по устранению инцидентов. В Дополнении об обработке данных и других юридических положениях компания Atlassian обязуется незамедлительно уведомлять клиентов об инцидентах безопасности. Если это уведомление необходимо клиентам в целях соответствия требованиям, мы рекомендуем им подписать и отправить Дополнение об обработке данных, расположенное здесь. Получив уведомление об инциденте от Atlassian, клиент обязан определить, требуется ли направлять уведомление в APRA в соответствии с пунктом 35 CPS 234, и если да, то уведомить APRA в течение 72 часов с момента получения клиентом уведомления от Atlassian.

Atlassian реализует публичную Программу вознаграждения за найденные ошибки для своих продуктов при поддержке партнера Bugcrowd, чтобы помочь клиентам оставаться в курсе любых уязвимостей, которые могут повлиять на продукты. Существенные обновления предоставляются клиентам с помощью инструмента Statuspage. Кроме того, если клиент решит приобрести тарифный план Premium или Enterprise для Jira Software Cloud, Jira Service Management Cloud или Confluence Cloud, он получит расширенную эксплуатационную гарантию, в соответствии с которой мы гарантируем, что не будем существенно снижать функциональность или общую безопасность облачного продукта в течение соответствующего срока подписки. Если мы получим от клиента запрос на расширенную эксплуатационную гарантию, связанную с безопасностью облачного продукта, и не сможем исправить несоответствие, мы уведомим Клиента об этом. Получив такое уведомление, клиент должен определить, требуется ли направлять уведомление в адрес APRA в соответствии с пунктом 36 CPS 234, и если да, то уведомить APRA в течение 10 рабочих дней с момента получения клиентом уведомления от Atlassian.

29.

Руководящие принципы

36. Организация, регулируемая APRA, должна уведомить APRA как можно скорее, но в любом случае не позднее чем через 10 рабочих дней после получения информации о существенном недостатке средств контроля информационной безопасности, который, по мнению организации, она не сможет своевременно устранить.