Снижение рисков и устранение уязвимостей, регулярные технические и нетехнические оценки в ответ на изменения в среде или методах деятельности

Ежегодно мы выполняем оценку недостатков, обновляем анализ рисков безопасности и проходим аттестацию HIPAA от независимого сертифицирующего органа.

Мы проводим оценки рисков, которые включают идентификацию, оценку, назначение ответственных лиц, принятие, устранение и другие соответствующие управленческие действия, чтобы гарантировать работу в рамках согласованного уровня приемлемого риска и соответствующих правовых и нормативных требований. Мы постоянно оцениваем разработку средств управления и стратегий смягчения последствий инцидентов, а также даем рекомендации по изменениям в среде управления. Мы поддерживаем актуальность матрицы рисков и средств управления в рамках нашего инструмента управления, оценки рисков и обеспечения соответствия требованиям (GRC).

Проверка анкетных данных и надлежащие процедуры увольнения

Новые сотрудники Atlassian по всему миру проходят проверку анкетных данных после того, как примут предложение о трудоустройстве. Полный набор проверок биографических данных запускается автоматически и проводится для всех новых сотрудников, а также независимых подрядчиков.

Наши сотрудники и подрядчики, имеющие доступ к конфиденциальной информации, обязаны соблюдать требования трудовых договоров и документов о конфиденциальности. Это позволяет гарантировать, что обязанности и ответственность в сфере информационной безопасности останутся в силе после увольнения или смены места работы, а также после прекращения договорных отношений.

Санкции в отношении сотрудников

В ходе адаптации каждый новый сотрудник должен принять политику Кодекса делового поведения и этики нашей компании, а также пройти обучение по вопросам безопасности. Предусмотрены официальные санкции, которые применяются в отношении лиц, не соблюдающих установленные политики и процедуры информационной безопасности.

Разрешение доступа для сотрудников, работающих с электронной защищенной информацией о состоянии здоровья (ePHI)

Роль Active Directory автоматически назначается в зависимости от отдела и команды пользователя и выдается только тем сотрудникам, которым нужен такой доступ. Если пользователь переходит в другую команду, создается оповещение, которое запускает дальнейшие действия и удаление устаревших прав доступа там, где это необходимо. Владельцы систем или служб выполняют обязанности утверждающих лиц, которые предоставляют или изменяют права пользователей в пределах уровней доступа Active Directory для различных систем.

Привилегированный доступ к производственным средам предоставляется только уполномоченным и назначенным пользователям.

Доступ к нашей внутренней сети и инструментам обеспечивается с помощью логических мер доступа и предоставляется только уполномоченным пользователям. Каждый аккаунт пользователя должен:

• иметь активный аккаунт Active Directory;
• принадлежать к соответствующей группе Active Directory.

Надлежащее предоставление доступа (на основе минимальных привилегий)

Прерывание сеанса по истечении определенного времени бездействия

Приложения для компьютеров и мобильных устройств имеют максимальную продолжительность сеанса пользователя, которая задана в соответствии с нашими стандартными рабочими процедурами (от 8 до 24 часов для компьютеров и от 30 до 90 дней для мобильных устройств).

Для конечных точек macOS и Windows применяется скринсейвер с необходимостью вводить пароль для разблокировки.

Проверка журналов и обнаружение (включая отслеживание попыток входа в систему)

Мы храним журналы событий и защищаем их от потери или порчи. Мы регулярно проверяем доступ к журналам. Мы включили ведение журналов в нашей среде AWS и отправляем эти журналы в Splunk. Мы внедрили автоматические оповещения для AWS, а также для всех облачных событий, соответствующих критериям HIPAA, на основе известных и произошедших событий и инцидентов в сфере безопасности.

Мы применяем процедуру проверки, благодаря которой можем настраивать и оптимизировать оповещения и устранять ложные срабатывания. Мы назначили инженера по автоматизации, ответственного за оптимизацию процесса разработки и сортировки оповещений.

Выявление предполагаемых или известных инцидентов безопасности и реагирование на них, а также смягчение последствий, документирование инцидентов и их последствий

Мы внедрили по всей организации процесс управления инцидентами, за который отвечает команда безопасности и который включает в себя следующее.

• Запись каждого действия при управлении инцидентом в соответствующую заявку в системе управления инцидентами. Записи должны включать:
  • время начала инцидента;
  • описание инцидента;
  • опасность;
  • затронутые услуги;
  • последствия;
  • количество затронутых клиентов;
  • основная причина;
  • предпринятые действия;
  • затронутые SLO (возможности).
• Соотнесение проблем (где это возможно) с основной причиной и (или) их группирование по родительским инцидентам.
• Выполнение проверки после инцидента (PIR) для серьезных и критических инцидентов.

Определение лица, ответственного за разработку и внедрение программы соответствия требованиям безопасности HIPAA

Мы назначили менеджера по вопросам безопасности HIPAA. Он понимает свои обязанности, правила безопасности HIPAA и то, как эти требования применяются к нашим продуктам.

Определение лица, ответственного за разработку и внедрение программы соответствия требованиям конфиденциальности HIPAA

Мы назначили менеджера по вопросам конфиденциальности HIPAA. Он понимает свои обязанности, правила конфиденциальности HIPAA и то, как эти требования применяются к нашим продуктам.

Обучение пользователей по вопросам безопасности

Все сотрудники компании обязаны ежегодно проходить обучение в рамках программы осведомленности о безопасности Atlassian. Кроме того, в течение года мы организовываем специальные упражнения по повышению осведомленности и распространяем информацию по безопасности.

Процедуры обеспечения непрерывности критически важных бизнес-процессов

Мы определили, проанализировали и протестировали процедуры аварийного восстановления. Эта политика на общем уровне описывает цель, задачи, объем, целевое время восстановления, целевую точку восстановления и роли/обязанности. Мы ежеквартально тестируем официальные планы обеспечения непрерывности бизнеса и аварийного восстановления. В целях поддержки компонентов плана действий в чрезвычайных ситуациях мы ежегодно оцениваем важность услуг и систем.

Мы выполняем и проверяем резервное копирование и восстановление приложений, систем и конфигураций, связанных с ресурсами Atlassian, в соответствии с нашими стандартными операционными процедурами.

Соглашения о деловом партнерстве содержат удовлетворительные гарантии того, что данные будут надлежащим образом защищены Atlassian и сторонними поставщиками

Мы гарантируем, что будем надлежащим образом защищать вашу информацию и использовать или раскрывать ее только в соответствии с разрешениями или требованиями во всех случаях, когда мы создаем, получаем, храним или передаем охраняемую информацию о состоянии здоровья (PHI) от вашего имени. Эти гарантии отражены в соглашениях о деловом партнерстве. Мы также составили руководство по внедрению, в котором содержатся инструкции для клиентов по использованию и настройке наших сервисов, чтобы обеспечить надлежащую защиту информации.

Кроме того, мы гарантируем защиту PHI со стороны соответствующих сторонних поставщиков. Для этого они подписывают с нами обязательное соглашение о деловом партнерстве.

Защита физических объектов и оборудования от порчи или кражи

Все наши сотрудники и подрядчики при регистрации получают пропуск безопасности, который предоставляет физический доступ к объекту. После расторжения договора и закрытия профиля в нашей информационной системе управления персоналом наша система автоматически отменяет физический доступ.

Мы выдаем временные пропуска посетителям местных объектов. Посетители возвращают гостевые пропуска при выходе из здания. Если посетитель не вернул пропуск, мы автоматически аннулируем его действие.

Внедрение физических средств защиты для всех рабочих станций с доступом к ePHI

Мы реализовали сеть «нулевого доверия», чтобы разрешить доступ только с известных устройств, зарегистрированных в платформе управления. Мы распределили наши приложения между уровнями безопасности в зависимости от хранимых в них данных и систем, к которым они подключаются. В этой сети есть следующие уровни: высокий, низкий и открытый. Тип устройства и средства его безопасности оцениваются, чтобы определить, к каким приложениям оно может получить доступ.

Мы управляем шифрованием дисков, блокировкой паролей и исправлением уязвимостей на всех ноутбуках с macOS и Windows.

Мы настроили запоминающие устройства USB на доступ только для чтения на всех компьютерах с macOS и Windows, которые выдают в Atlassian.

Процедуры окончательной утилизации ePHI и оборудования, на котором хранится такая информация

Мы полностью стираем данные со всех возвращаемых ноутбуков, прежде чем повторно развернуть или утилизировать их. Также мы предусмотрели процедуру для утерянных/украденных ноутбуков, чтобы гарантировать, что данные не будут украдены.

Хранение документации в течение 6 лет с даты ее создания или последнего вступления в силу

Все наши политики проверяются назначенным владельцем не реже одного раза в год и хранятся бессрочно. Их краткий обзор доступен на странице о политиках Atlassian в сфере безопасности и технологий.

С нашей Политикой конфиденциальности можно ознакомиться здесь.

Меры безопасности, гарантирующие, что данные ePHI не подвергнутся ненадлежащим изменениям

Для облачных продуктов, соответствующих требованиям HIPAA, мы шифруем все данные при хранении. Кроме того, мы шифруем данные, передаваемые по публичным сетям, и проверяем их получение в месте назначения.

Внешние пользователи подключаются к облачным продуктам, соответствующим требованиям HIPAA, через зашифрованный трафик по протоколу SSL.

Использование механизмов шифрования ePHI в тех случаях, где это считается целесообразным