Close
Хотите открыть эту страницу на своем языке?
Все языки
Выберите язык
Продукты

Избранное

Jira Software

Отслеживание проектов и задач

Confluence

Совместная работа над контентом

Jira Service Management

Высокоскоростное решение для ITSM

Trello

Визуальное управление проектами

Показать все продукты

Marketplace

Подключайте тысячи приложений и интеграций ко всем своим продуктам Atlassian

Close dropdown
Решения

Избранное

Управление работой

Управляйте проектами и согласовывайте цели всех команд для достижения результатов

Управление ИТ-услугами

Помогите своим командам разработчиков и ИТ-специалистов, а также бизнес-командам предоставлять услуги высокого качества на высокой скорости

Agile и DevOps

Создайте организацию по agile-разработке программного обеспечения, являющуюся передовой во всех аспектах, будь то исследование, поставка или эксплуатация

ПО РАЗМЕРУ КОМАНДЫ

Enterprise

Малый бизнес

Startup

Некоммерческие организации

ПО ПРОФИЛЮ КОМАНДЫ

Разработка программного обеспечения

ИТ

Финансовый отдел

Маркетинг

HR

По отрасли

Розничная торговля

Телекоммуникации

Профессиональные сервисы

Правительственные организации

Close dropdown
Ресурсы

Обучение

Atlassian University

Atlassian Playbook

Документация на продукт

Ресурсы для разработчиков

Поддержка

Сообщество Atlassian

Поддержка Atlassian

Программа миграции Atlassian

Сервисы корпоративного уровня

Поддержка партнеров

Покупка и лицензирование

Интегрируйте

О компании

Вакансии

Блог о работе и жизни

События

Поддержка продуктов версии Server заканчивается 15 февраля 2024 г.

Поскольку прекращение поддержки наших продуктов версии Server не за горами, создайте выгодный план миграции в облако с помощью программы Atlassian Migration Program.

Оценить мои варианты

Close dropdown
Search
Попробовать
Toggle menu
Close search

Политики Atlassian в сфере безопасности и технологий

В компании Atlassian действует программа по управлению информационной безопасностью (ISMP), в которой описаны принципы и правила реализации программ доверия и безопасности. Для достижения поставленных целей мы непрерывно оцениваем риски в операционных процессах и улучшаем характеристики безопасности, конфиденциальности, целостности и доступности сред Atlassian. Мы регулярно пересматриваем и обновляем политики безопасности, проводим тестирование безопасности приложений и сетевой среды, а также ведем мониторинг соответствия политикам безопасности.

Далее приведен список и краткое описание основных политик в сфере безопасности и технологий, которые Atlassian применяет как в своей внутренней, так и в облачной среде.

Содержание

Политика безопасности, риски и управление

В этой политике заданы общие принципы и правила управления безопасностью в Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Компания Atlassian управляет доступом к информации, которая принадлежит ей и клиентам, опираясь на потребности бизнеса и ценности Atlassian.
  • Atlassian внедряет средства управления для реализации принципов безопасности в соответствии с этой политикой.
  • Atlassian периодически выполняет оценку рисков и эффективности систем, которые призваны обеспечить управление этими рисками
  • Компания Atlassian всеми силами стремится к поддержке и соблюдению применимого законодательства о защите персональных данных и договорных условий клиентов Atlassian Cloud.

Управление доступом

В этой политике заданы основные принципы и правила управления доступом.

Основные принципы (в краткой форме) включают в себя следующее.

  • Atlassian реализует политику управления доступом, в которой описаны принципы управления доступом к системам.
  • Для управления доступом пользователей применяются аккаунты.
  • Ответственность за соблюдение правил доступа к используемым системам несут все пользователи
  • Возможность несанкционированного доступа к системам отслеживается с помощью ведения журналов и мониторинга
  • Управление удаленным доступом ведется с применением многофакторной аутентификации.
  • Обязанности разделены в тех сферах, где это уместно.

Управление ресурсами

В этой политике заданы основные принципы и правила управления ИТ-ресурсами Atlassian, а также порядок работы с этими ресурсами.

Основные принципы управления ресурсами Atlassian (в краткой форме) включают следующее.

  • Atlassian поддерживает актуальный реестр ресурсов.
  • За всеми ресурсами, отслеживаемыми с помощью базы данных по управлению ресурсами, закреплены конкретные владельцы.
  • Для ресурсов определяются и документируются принципы приемлемого использования, которые затем применяются на практике.
  • При увольнении из компании Atlassian используемые сотрудником ресурсы возвращаются в компанию.

Непрерывность работы бизнеса и аварийное восстановление

В этой политике заданы основные принципы, которые определяют подход Atlassian к обеспечению надежности, доступности и непрерывности процессов, систем и сервисов. Здесь дается определение требований к обеспечению непрерывности бизнеса, аварийному восстановлению и процессам управления кризисными ситуациями.

Основные принципы (в краткой форме) включают в себя следующее.

  • Владельцы критически важных для бизнеса систем, процессов и сервисов должны в полной мере реализовать непрерывную работу и (или) аварийное восстановление, которое обеспечивало бы должную отказоустойчивость на случай аварии.
  • Планы по обеспечению непрерывности бизнеса должны включать в себя «крайний вариант» среды, способный обеспечить базовую (минимальную) функциональность, и схему переключения на использование такой среды. Требуется также предусмотреть схемы восстановления обычных бизнес-процессов.
  • Все критически важные для бизнеса системы, процессы и функции должны развертываться в рабочей среде только при наличии соответствующего плана обеспечения непрерывности
  • Такие планы необходимо ежеквартально тестировать, выявляя и решая проблемные моменты.
  • Максимальное время восстановления (RTO) считается с момента обнаружения события до момента запуска основной функциональности. Сервисы распределяются по уровням, для каждого из которых определены максимально допустимые показатели RTO и RPO.

Безопасность коммуникации

В этой политике сформулированы общие принципы и правила управления безопасностью коммуникаций и сетей в нашей компании.

Основные принципы (в краткой форме) включают в себя следующее.

  • Доступ к сети необходимо контролировать
  • Доступ к сети предоставляется пользователям, и все они должны ознакомиться с политикой в отношении электронных систем и коммуникаций.
  • Сети должны быть изолированы друг от друга по принципу значимости

Криптография и шифрование

В этой политике сформулированы общие принципы, следуя которым, Atlassian реализует соответствующие криптографические процедуры и шифрование в целях обеспечения конфиденциальности и целостности наиболее важных данных. Atlassian выполняет развертывание криптографических механизмов для снижения рисков при хранении конфиденциальной информации и ее передаче по сетям, включая публично доступные сети (например, Интернет). Внедряя надежные, безопасные и проверенные технологии шифрования, мы реализуем основную задачу этого стандарта и можем снизить риск несанкционированного доступа к конфиденциальной информации компании и (или) ее изменения.

Основные принципы (в краткой форме) включают в себя следующее.

  • Конфиденциальные данные подвергаются шифрованию с использованием подходящих методов.
  • Надежность применяемых методов шифрования соответствует классу информации.
  • Управление криптографическими ключами выполняется с соблюдением мер безопасности.
  • Используются только подтвержденные криптографические алгоритмы и программные модули.

Классификация данных

В этой политике определены уровни классификации данных, а также включены описания, примеры, требования и рекомендации по обработке данных, соответствующих каждому уровню. Уровни классификации определены с учетом законодательных требований, а также конфиденциальности, значимости и важности данных для компании Atlassian, ее клиентов, партнеров и поставщиков.

Основные принципы (в краткой форме) включают в себя следующее.

  • Данные классифицируются с учетом юридических требований, а также их значимости и важности для компании Atlassian.
  • Данные идентифицируются, маркируются и поддерживаются в актуальном состоянии на карте потока данных, чтобы обеспечить надлежащую обработку.
  • При утилизации носителей информации данные с них безопасно удаляются.
  • Носители информации, на которых хранятся корпоративные данные, защищаются от несанкционированного доступа, ненадлежащего использования и повреждения при транспортировке.

Мобильные технологии и использование собственных устройств (BYOD)

В этой политике сформулированы общие принципы и правила использования личных устройств в сетях и системах Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Политика использования собственных устройств (BYOD) призвана быть как можно менее навязчивой и максимально гибкой по отношению к возможностям BYOD для поддержания автономной работы сотрудников Atlassian, однако при этом она должна обеспечивать компании возможности защиты как собственных данных, так и данных клиентов.
  • Поэтому основное внимание уделяется проверке конфигурации и общего состояния устройств, а также мониторингу соответствия устройств требованиям с опорой на наименее ограничивающие принципы, достаточные для обеспечения требуемого уровня безопасности, а не на принудительные запреты. Некоторые ограничения действительно требуются, однако они применяются избирательно в зависимости от данных, к которым пользователь имеет доступ.
  • Данная политика охватывает как существующие, так и прогнозируемые потребности компании. Некоторые обозначенные здесь подходы могут быть реализованы в будущем.

Операции

В этой политике сформулированы общие принципы и правила ведения технологических операций в Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Процедуры, практикуемые в Atlassian, документируются для операционного применения.
  • Обеспечивается регулярное резервное копирование, а также тестирование резервных копий.
  • Изменения вносятся под руководством нескольких человек и после оценки несколькими специалистами.
  • Производительность необходимо оценивать и планировать.
  • Действуют ограничения по установке программного обеспечения, установка ненужного ПО запрещена.
  • Настроенные соответствующим образом журналы хранятся на централизованной платформе.
  • Управление любыми операционными инцидентами осуществляется в соответствии со стандартным корпоративным процессом HOT.

Безопасность персонала

В этой политике сформулированы общие принципы и правила управления безопасностью персонала в Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Ответственность в отношении безопасности оговаривается в должностных инструкциях
  • Все сотрудники и пользователи регулярно просматривают тренинги по вопросам безопасности.
  • В обязанности всех сотрудников и подрядчиков входит информирование о выявленных инцидентах безопасности или связанных уязвимостях
  • При увольнении сотрудники в оговоренные сроки обязаны вернуть корпоративные ресурсы и прекратить доступ к ним

Физическая защита и безопасность среды

В этой политике сформулированы общие принципы и правила обеспечения безопасности наших зданий, офисов и используемого оборудования.

Основные принципы (в краткой форме) включают в себя следующее.

  • Безопасность рабочего места.
  • Защита ИТ-оборудования компании, где бы оно ни находилось.
  • Ограничение доступа к зданиям и офисам компании.

Конфиденциальность

В этой политике сформулированы принципы, следуя которым, Atlassian реализует надлежащие меры безопасности для защиты конфиденциальности данных.

Компания Atlassian понимает: шифрование и другие технологии повышения конфиденциальности (PET) — мощные инструменты, однако командам нужно проводить тщательный анализ при выборе и внедрении таких решений. Atlassian реализует основанный на оценке рисков подход к конфиденциальности, который учитывает характер, область, контекст и цели обработки данных, а также вероятность и серьезность рисков для прав и свобод физических лиц.

Основные принципы (в краткой форме) включают в себя следующее.

  • Выбор технологий PET производится в соответствии с подходом, основанным на оценке рисков.
  • Технологии PET не препятствуют компании Atlassian при соблюдении нормативных требований в отношении прав на неприкосновенность частной жизни.
  • Технологии PET не снижают безопасность систем и служб, обрабатывающих данные.
  • Технологии PET не ограничивают возможность восстановления доступа к частным данным и их доступность в случае взлома.
  • Технологии PET позволяют наладить регулярное тестирование, анализ и оценку эффективности.

Управление инцидентами безопасности

В этой политике сформулированы общие принципы и правила, целью которых является обеспечение адекватной реакции со стороны Atlassian на любые возникающие или потенциальные инциденты безопасности. В обязанности Atlassian входит мониторинг происходящих внутри организации инцидентов, в результате которых может быть нарушена конфиденциальность, целостность или доступность данных или информационных систем. Необходимо сообщать обо всех потенциальных инцидентах и выполнять их оценку. Политика была внедрена для того, чтобы сотрудники отдела безопасности Atlassian могли ограничивать длительность инцидентов и негативное воздействие на компанию и ее клиентов, а также делать из инцидентов полезные выводы.

Основные принципы (в краткой форме) включают в себя следующее.

  • Прогнозирование инцидентов безопасности и подготовка к реакции на инциденты.
  • Сдерживание последствий инцидентов, их устранение и восстановление систем.
  • Принятие мер, направленных на то, чтобы наши сотрудники, процессы и технологии были полностью готовы к выявлению и анализу инцидентов безопасности в случае их возникновения.
  • Защита персональных данных и данных клиентов становится нашей главной задачей во время инцидентов безопасности.
  • Регулярная проверка процедуры реакции на инциденты безопасности.
  • Мы накапливаем опыт и совершенствуем все функции, связанные с управлением инцидентами безопасности
  • Мы информируем руководящую группу Atlassian о критических инцидентах безопасности.

Управление поставщиками

В этой политике сформулированы общие принципы и рекомендации по отбору поставщиков, а также по привлечению их к сотрудничеству, отслеживанию их работы и выведению их из штата.

Основные принципы включают следующее.

  • Atlassian обеспечивает целенаправленное управление процессом подбора продавцов
  • Все поставщики проходят адаптацию и регулируются в соответствии с процедурами оценки рисков и комплексной проверки поставщиков, разработанными в компании Atlassian.
  • Владелец бизнеса, который выражает интерес к сотрудничеству с Atlassian в качестве продавца, несет ответственность за выполнение условий стандартных договоров Atlassian
  • Atlassian ведет надзор за сотрудничеством, чтобы обеспечить соблюдение всех корпоративных стандартов.
  • Atlassian оставляет за собой право расторгнуть договор с любым поставщиком, если его услуги больше не требуются.

Приобретение, разработка и техническое обслуживание систем

В этой политике сформулированы общие принципы и правила разработки приложений как для внутреннего использования, так и для внешних клиентов, а также оговариваются ограничения по вопросам управления средами разработки/тестирования и применения ПО с открытым исходным кодом в продуктах Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Требования безопасности обязательны к соблюдению и применению в любой среде, в процессах разработки приложений или их приобретения
  • Разработка продуктов ведется в соответствии с внутренним процессом контроля качества, который включает в себя проверки безопасности
  • Данные рабочей среды, доступ к которым ограничен в соответствии с политикой управления жизненным циклом информации о безопасности данных, обезличиваются или маскируются при использовании в средах разработки/тестирования.
  • Интеграция любых платформ или библиотек с открытым исходным кодом выполняется в соответствии с нашим внутренним стандартом по использованию стороннего кода в продуктах Atlassian.

Защита от угроз и управление уязвимостями

В этой политике сформулированы общие принципы и правила управления угрозами безопасности и уязвимостями как в среде Atlassian, так и в наших продуктах.

Основные принципы (в краткой форме) включают в себя следующее.

  • Мы управляем уязвимостями в защите своих продуктов и сервисов (включая выпуск обновлений, исправлений и рекомендаций).
  • Управление угрозами безопасности и уязвимостями во всех наших средах (как внутренних, так и размещенных клиентами).
  • Мы управляем угрозами проникновения вредоносного ПО в наши среды.

Управление аудитом и обеспечение соответствия требованиям

В этой политике сформулированы общие принципы Atlassian по управлению и проведению аудита соответствия в области средств контроля.

Основные принципы (в краткой форме) включают в себя следующее.

  • Мы внедряем средства контроля для надлежащего управления рисками, а также обеспечения соответствия профильным политикам, нормативным актам и внешним отраслевым стандартам.
  • Мы используем аудит в целях проверки соответствия и операционной эффективности собственных средств контроля.
  • Процессы аудита согласовываются и исполняются должным образом, чтобы обеспечить высокий уровень защиты в наших системах управления, а также получить сертификацию на внутреннем и внешнем уровне.
  • Atlassian запрашивает внешнюю проверку средств управления.
  • Atlassian поддерживает единый подход ко всем соответствующим задачам, мероприятиям и испытаниям в области средств контроля.