Политики Atlassian в сфере безопасности и технологий
В Atlassian создана программа по управлению информационной безопасностью (ISMP), в которой описаны принципы и основные правила обеспечения доверия и безопасности, применяемые в нашей компании. Мы достигаем этих целей за счет непрерывной оценки рисков в операционных процессах, а также улучшения характеристик безопасности, конфиденциальности, целостности и доступности сред Atlassian. Мы регулярно пересматриваем и обновляем политики безопасности, проводим тестирование безопасности приложений и сетевой среды, а также ведем мониторинг соответствия политикам безопасности.
Далее приведен список и краткое описание основных политик в сфере безопасности и технологий, которые Atlassian применяет как в своей внутренней, так и в облачной среде.
Политика, риск и управление
В этой политике заданы общие принципы и правила управления безопасностью в Atlassian.
Ниже перечислены основные принципы нашей политики безопасности.
- Мы управляем доступом к информации, принадлежащей нашей компании и клиентам, основываясь на потребностях бизнеса и придерживаясь ценностей Atlassian
- Atlassian внедряет средства управления для реализации принципов безопасности в соответствии с этой политикой
- Atlassian периодически выполняет оценку рисков и эффективности систем, которые призваны обеспечить управление этими рисками
Управление доступом
В этой политике заданы основные принципы и правила управления доступом.
Основные принципы включают следующее.
Atlassian обеспечивает соблюдение политики управления доступом, в которой описаны принципы управления доступом к системам.
- Для управления доступом пользователей применяются аккаунты и пароли
- Ответственность за соблюдение правил доступа к используемым системам несут все пользователи
- Возможность несанкционированного доступа к системам отслеживается с помощью ведения журналов и мониторинга
- Управление удаленным доступом ведется с применением многофакторной аутентификации
Управление ресурсами
В этой политике заданы основные принципы и правила управления ИТ-ресурсами Atlassian, а также порядок работы с этими ресурсами.
Основные принципы управления ресурсами Atlassian включают следующее.
- Atlassian поддерживает актуальный реестр ресурсов
- Все ресурсы, отслеживаемые с помощью базы данных по управлению ресурсами, имеют конкретных владельцев
- Для ресурсов определяются и документируются принципы приемлемого использования, которые затем применяются на практике
- При увольнении из компании Atlassian используемые сотрудником ресурсы возвращаются в компанию
Непрерывность работы бизнеса и аварийное восстановление
В этой политике заданы основные принципы, которые определяют подход Atlassian к обеспечению надежности, доступности и непрерывности процессов, систем и сервисов. Здесь дается определение требований к обеспечению непрерывности бизнеса, аварийному восстановлению и процессам управления кризисными ситуациями.
Основные принципы включают следующее.
- Владельцы критически важных для бизнеса систем, процессов и сервисов должны в полной мере реализовать непрерывную работу и (или) аварийное восстановление, которое обеспечивало бы должную отказоустойчивость на случай аварии.
- Планы по обеспечению непрерывности бизнеса должны включать в себя «крайний вариант» среды, способный обеспечить базовую (минимальную) функциональность, и схему переключения на использование такой среды. Требуется также предусмотреть схемы восстановления обычных бизнес-процессов.
- Все критически важные для бизнеса системы, процессы и функции должны развертываться в рабочей среде только при наличии соответствующего плана по обеспечению непрерывности.
- Такие планы необходимо ежеквартально тестировать, выявляя и решая проблемные моменты.
- Максимальное время восстановления (RTO) считается с момента обнаружения события до момента запуска основного функционала. Сервисы распределяются по уровням, для каждого из которых определены максимально допустимые показатели RTO и RPO.
Безопасность коммуникации
В этой политике сформулированы общие принципы и правила управления безопасностью коммуникаций и сетей в нашей компании.
Основные принципы включают следующее.
- Доступ к сети необходимо контролировать
- Доступ к сети предоставляется пользователям, и все они должны ознакомиться с глобальной политикой в отношении электронных систем и коммуникаций
- Сети должны быть изолированы друг от друга по принципу значимости
Криптография и шифрование
В этой политике заданы общие принципы, следуя которым в Atlassian реализуются соответствующие криптографические процедуры и шифрование в целях обеспечения конфиденциальности наиболее важных данных. Atlassian выполняет развертывание криптографических механизмов для снижения рисков при хранении конфиденциальной информации и ее передаче по сетям, включая публично доступные сети (например, Интернет).
Atlassian обеспечивает реализацию следующих мер.
- Конфиденциальные данные подвергаются шифрованию с использованием подходящих методов
- Надежность применяемых методов шифрования соответствует классу информации
- Управление криптографическими ключами выполняется с соблюдением мер безопасности
- Применяются только утвержденные криптографические алгоритмы
Безопасность данных и управление жизненным циклом информации
Общие требования по обращению с данными наших клиентов определены в политике классификации данных по уровням безопасности. Примеры того, как мы обращаемся с различными типами данных, приведены ниже. Один из корпоративных принципов Atlassian звучит как «Открытая компания, никакой ерунды», однако все сотрудники должны помнить о том, как надлежит обращаться с данными наших внутренних и внешних клиентов.
Все сотрудники должны ознакомиться с политикой классификации данных, поскольку несут ответственность за обеспечение надлежащего уровня защиты используемой информации.
- Классификация информации выполняется на основании юридических требований, значимости и важности для компании Atlassian
- С целью обеспечения правильного обращения информация должна сопровождаться соответствующими метками
- Управление любыми извлекаемыми носителями информации должно опираться на единые правила, изложенные далее
- При утилизации носителей информации данные с них должны быть безопасно удалены
- Носители информации, на которых хранятся корпоративные данные, должны быть защищены от несанкционированного доступа, ненадлежащего использования и повреждения при транспортировке
Мобильные технологии и использование собственных устройств (BYOD)
В этой политике сформулированы общие принципы и правила использования личных устройств в сетях и корпоративных средах Atlassian.
Atlassian обеспечивает реализацию следующих мер.
- Политика использования собственных устройств (BYOD) призвана быть как можно менее навязчивой и максимально гибкой по отношению к возможностям BYOD для поддержания автономной работы сотрудников Atlassian, однако при этом обеспечивать компании возможности защитить как собственные данные, так и данные клиентов.
- Основное внимание уделяется проверке конфигурации и общего состояния устройств, а также мониторингу соответствия устройств требованиям с опорой на наименее ограничивающие принципы, достаточные для обеспечения требуемого уровня безопасности, а не на принудительные запреты. Некоторые ограничения действительно потребуются, однако они будут применяться избирательно в зависимости от данных, к которым пользователь имеет доступ.
- Данная политика охватывает как существующие, так и прогнозируемые потребности компании. Некоторые обозначенные здесь подходы могут быть реализованы в будущем.
Операции
В этой политике сформулированы общие принципы и правила ведения технологических операций в Atlassian.
В число основных принципов входят следующие.
- Процедуры, применяемые в Atlassian, требуется задокументировать для операционного применения
- Необходимо регулярно выполнять резервное копирование и тестировать его выполнение
- Любые изменения вносятся под руководством нескольких человек и после оценки несколькими специалистами
- Производительность необходимо оценивать и планировать
- Действуют ограничения по установке программного обеспечения, установка ненужного ПО запрещена
- Настроенные соответствующим образом журналы необходимо собирать на централизованной платформе
- Управление любыми операционными инцидентами осуществляется в соответствии со стандартным корпоративным процессом обработки инцидентов
Безопасность персонала
В этой политике определены наши подходы к обеспечению безопасности сотрудников.
В компании Atlassian соблюдаются следующие принципы.
- Ответственность в отношении безопасности оговаривается в должностных инструкциях
- Все сотрудники и пользователи регулярно посещают тренинги по вопросам безопасности
- В обязанности всех сотрудников и подрядчиков входит информирование о выявленных инцидентах безопасности или связанных уязвимостях
- При увольнении сотрудники в оговоренные сроки обязаны вернуть корпоративные ресурсы и прекратить доступ к ним
Физическая защита и безопасность среды
В этой политике сформулированы общие принципы и правила обеспечения безопасности наших зданий, офисов и используемого оборудования.
В основные принципы физической защиты и создания безопасной среды входит следующее.
- Atlassian обеспечивает сотрудникам безопасные рабочие места
- Мы обеспечиваем защиту ИТ-оборудования компании, где бы оно ни находилось
- Доступ в наши здания и офисы ограничен соответствующим кругом персонала
Конфиденциальность
В этой политике заданы общие принципы управления конфиденциальностью данных, связанных с нашими клиентами.
В основные принципы безопасности данных входит следующее.
- Средства управления процессом сбора клиентских данных
- Проверка того, что данные клиентов хранятся только в целях поддержки
- Клонирование данных клиентов выполняется только в сценариях, связанных с резервным копированием или поддержкой клиентов
Управление инцидентами безопасности
В этой политике сформулированы общие принципы и правила, целью которых является обеспечение адекватной реакции со стороны Atlassian на любые возникающие или потенциальные инциденты безопасности. В обязанности Atlassian входит мониторинг инцидентов, происходящих внутри организации, в результате которых может быть нарушена конфиденциальность, целостность или доступность данных или информационных систем. Необходимо сообщать обо всех потенциальных инцидентах и выполнять их оценку.
Команда Atlassian по обеспечению безопасности предпринимает следующие меры.
- Рассматривает возможность возникновения инцидентов безопасности и подготавливает соответствующие планы реагирования
- Обеспечивает сдерживание последствий инцидентов, их устранение и восстановление систем
- Мы прилагаем специальные усилия, чтобы наши сотрудники, процессы и технологии были полностью готовы к выявлению и анализу инцидентов в случае возникновения таковых
- В процессе реагирования на инцидент первоочередное внимание уделяется защите данных наших клиентов
- Мы накапливаем опыт и совершенствуем все функции, связанные с управлением инцидентами безопасности
Управление данными поставщиков и третьих лиц
В этой политике заданы общие принципы и правила подбора продавцов, привлечения их к сотрудничеству и предоставления им доступа к данным Atlassian.
Atlassian обеспечивает реализацию следующих мер.
- Atlassian обеспечивает целенаправленное управление процессом подбора продавцов
- Владелец бизнеса, который выражает интерес к сотрудничеству с Atlassian в качестве продавца, несет ответственность за выполнение условий стандартных договоров Atlassian
- Мы ведем надзор за процессом сотрудничества, чтобы обеспечить соблюдение всех стандартов Atlassian
- Мы оставляем за собой право расторгнуть договор с любым продавцом, если его услуги больше не требуются
Приобретение, разработка и техническое обслуживание систем
В этой политике сформулированы общие принципы и правила разработки приложений как для внутреннего использования, так и для внешних клиентов, а также оговариваются ограничения по вопросам управления средами разработки / тестирования и применения ПО с открытым исходным кодом в продуктах Atlassian.
Основные принципы включают следующее.
- Требования безопасности обязательны к соблюдению и применению в любой среде, в процессах разработки приложений или их приобретения
- Разработка продуктов ведется в соответствии с внутренним процессом контроля качества, который включает в себя проверки безопасности
- Данные рабочей среды при использовании в средах разработки и тестирования необходимо анонимизировать или скрывать
- Интеграция любых платформ или библиотек с открытым исходным кодом выполняется в соответствии с внутренними правилами компании
Защита от угроз и управление уязвимостями
В этой политике сформулированы общие принципы и правила управления угрозами безопасности и уязвимостями как в среде Atlassian, так и в наших продуктах.
Atlassian обеспечивает реализацию следующих мер.
- Мы обеспечиваем управление уязвимостями, связанными с безопасностью, в своих продуктах и сервисах. Сюда входит выпуск обновлений, исправлений и рекомендаций
- Мы обеспечиваем управление угрозами безопасности и уязвимостями во всех наших средах (как внутренних, так и размещенных клиентами)
- Мы обеспечиваем управление угрозами возникновения вредоносного ПО в наших средах
Управление аудитом и обеспечение соответствия требованиям
В этой политике заданы общие принципы и правила управления аудитом и программами соответствия требованиям в целях проверки платформы управления Atlassian.
Atlassian обеспечивает реализацию следующих мер.
- Мы внедряем технологические операции, средства управления безопасностью и конфиденциальностью, чтобы сохранять уверенность в их соответствии нашим внутренним политикам, нормативным требованиям и внешним отраслевым стандартам
- Процессы аудита согласовываются и исполняются должным образом, чтобы обеспечить высокий уровень защиты в наших системах управления, а также получить сертификацию на внутреннем и внешнем уровне
- Atlassian ищет способы внешней проверки реализованных в компании средств управления безопасностью, конфиденциальностью, операционными процессами и другими системами
- Atlassian поддерживает объединенный подход ко всем связанным с управлением целям, действиям и тестам (платформа управления Atlassian, ACF)