Политики Atlassian в сфере безопасности и технологий
В компании Atlassian действует программа по управлению информационной безопасностью (ISMP), в которой описаны принципы и правила реализации программ доверия и безопасности. Для достижения поставленных целей мы непрерывно оцениваем риски в операционных процессах и улучшаем характеристики безопасности, конфиденциальности, целостности и доступности сред Atlassian. Мы регулярно пересматриваем и обновляем политики безопасности, проводим тестирование безопасности приложений и сетевой среды, а также ведем мониторинг соответствия политикам безопасности.
Далее приведен список и краткое описание основных политик в сфере безопасности и технологий, которые Atlassian применяет как в своей внутренней, так и в облачной среде.
Политика безопасности, риски и управление
В этой политике заданы общие принципы и правила управления безопасностью в Atlassian.
Основные принципы (в краткой форме) включают в себя следующее.
- Компания Atlassian управляет доступом к информации, которая принадлежит ей и клиентам, опираясь на потребности бизнеса и ценности Atlassian.
- Atlassian внедряет средства управления для реализации принципов безопасности в соответствии с этой политикой.
- Atlassian периодически выполняет оценку рисков и эффективности систем, которые призваны обеспечить управление этими рисками
- Компания Atlassian всеми силами стремится к поддержке и соблюдению применимого законодательства о защите персональных данных и договорных условий клиентов Atlassian Cloud.
Управление доступом
В этой политике заданы основные принципы и правила управления доступом.
Основные принципы (в краткой форме) включают в себя следующее.
- Atlassian реализует политику управления доступом, в которой описаны принципы управления доступом к системам.
- Для управления доступом пользователей применяются аккаунты.
- Ответственность за соблюдение правил доступа к используемым системам несут все пользователи
- Возможность несанкционированного доступа к системам отслеживается с помощью ведения журналов и мониторинга
- Управление удаленным доступом ведется с применением многофакторной аутентификации.
- Обязанности разделены в тех сферах, где это уместно.
Управление ресурсами
В этой политике заданы основные принципы и правила управления ИТ-ресурсами Atlassian, а также порядок работы с этими ресурсами.
Основные принципы управления ресурсами Atlassian (в краткой форме) включают следующее.
- Atlassian поддерживает актуальный реестр ресурсов.
- За всеми ресурсами, отслеживаемыми с помощью базы данных по управлению ресурсами, закреплены конкретные владельцы.
- Для ресурсов определяются и документируются принципы приемлемого использования, которые затем применяются на практике.
- При увольнении из компании Atlassian используемые сотрудником ресурсы возвращаются в компанию.
Непрерывность работы бизнеса и аварийное восстановление
В этой политике заданы основные принципы, которые определяют подход Atlassian к обеспечению надежности, доступности и непрерывности процессов, систем и сервисов. Здесь дается определение требований к обеспечению непрерывности бизнеса, аварийному восстановлению и процессам управления кризисными ситуациями.
Основные принципы (в краткой форме) включают в себя следующее.
- Владельцы критически важных для бизнеса систем, процессов и сервисов должны в полной мере реализовать непрерывную работу и (или) аварийное восстановление, которое обеспечивало бы должную отказоустойчивость на случай аварии.
- Планы по обеспечению непрерывности бизнеса должны включать в себя «крайний вариант» среды, способный обеспечить базовую (минимальную) функциональность, и схему переключения на использование такой среды. Требуется также предусмотреть схемы восстановления обычных бизнес-процессов.
- Все критически важные для бизнеса системы, процессы и функции должны развертываться в рабочей среде только при наличии соответствующего плана обеспечения непрерывности
- Такие планы необходимо ежеквартально тестировать, выявляя и решая проблемные моменты.
- Максимальное время восстановления (RTO) считается с момента обнаружения события до момента запуска основной функциональности. Сервисы распределяются по уровням, для каждого из которых определены максимально допустимые показатели RTO и RPO.
Безопасность коммуникации
В этой политике сформулированы общие принципы и правила управления безопасностью коммуникаций и сетей в нашей компании.
Основные принципы (в краткой форме) включают в себя следующее.
- Доступ к сети необходимо контролировать
- Доступ к сети предоставляется пользователям, и все они должны ознакомиться с политикой в отношении электронных систем и коммуникаций.
- Сети должны быть изолированы друг от друга по принципу значимости
Криптография и шифрование
В этой политике сформулированы общие принципы, следуя которым, Atlassian реализует соответствующие криптографические процедуры и шифрование в целях обеспечения конфиденциальности и целостности наиболее важных данных. Atlassian выполняет развертывание криптографических механизмов для снижения рисков при хранении конфиденциальной информации и ее передаче по сетям, включая публично доступные сети (например, Интернет). Внедряя надежные, безопасные и проверенные технологии шифрования, мы реализуем основную задачу этого стандарта и можем снизить риск несанкционированного доступа к конфиденциальной информации компании и (или) ее изменения.
Основные принципы (в краткой форме) включают в себя следующее.
- Конфиденциальные данные подвергаются шифрованию с использованием подходящих методов.
- Надежность применяемых методов шифрования соответствует классу информации.
- Управление криптографическими ключами выполняется с соблюдением мер безопасности.
- Используются только подтвержденные криптографические алгоритмы и программные модули.
Классификация данных
В этой политике определены уровни классификации данных, а также включены описания, примеры, требования и рекомендации по обработке данных, соответствующих каждому уровню. Уровни классификации определены с учетом законодательных требований, а также конфиденциальности, значимости и важности данных для компании Atlassian, ее клиентов, партнеров и поставщиков.
Основные принципы (в краткой форме) включают в себя следующее.
- Данные классифицируются с учетом юридических требований, а также их значимости и важности для компании Atlassian.
- Данные идентифицируются, маркируются и поддерживаются в актуальном состоянии на карте потока данных, чтобы обеспечить надлежащую обработку.
- При утилизации носителей информации данные с них безопасно удаляются.
- Носители информации, на которых хранятся корпоративные данные, защищаются от несанкционированного доступа, ненадлежащего использования и повреждения при транспортировке.
Мобильные технологии и использование собственных устройств (BYOD)
В этой политике сформулированы общие принципы и правила использования личных устройств в сетях и системах Atlassian.
Основные принципы (в краткой форме) включают в себя следующее.
- Политика использования собственных устройств (BYOD) призвана быть как можно менее навязчивой и максимально гибкой по отношению к возможностям BYOD для поддержания автономной работы сотрудников Atlassian, однако при этом она должна обеспечивать компании возможности защиты как собственных данных, так и данных клиентов.
- Поэтому основное внимание уделяется проверке конфигурации и общего состояния устройств, а также мониторингу соответствия устройств требованиям с опорой на наименее ограничивающие принципы, достаточные для обеспечения требуемого уровня безопасности, а не на принудительные запреты. Некоторые ограничения действительно требуются, однако они применяются избирательно в зависимости от данных, к которым пользователь имеет доступ.
- Данная политика охватывает как существующие, так и прогнозируемые потребности компании. Некоторые обозначенные здесь подходы могут быть реализованы в будущем.
Операции
В этой политике сформулированы общие принципы и правила ведения технологических операций в Atlassian.
Основные принципы (в краткой форме) включают в себя следующее.
- Процедуры, практикуемые в Atlassian, документируются для операционного применения.
- Обеспечивается регулярное резервное копирование, а также тестирование резервных копий.
- Изменения вносятся под руководством нескольких человек и после оценки несколькими специалистами.
- Производительность необходимо оценивать и планировать.
- Действуют ограничения по установке программного обеспечения, установка ненужного ПО запрещена.
- Настроенные соответствующим образом журналы хранятся на централизованной платформе.
- Управление любыми операционными инцидентами осуществляется в соответствии со стандартным корпоративным процессом HOT.
Безопасность персонала
В этой политике сформулированы общие принципы и правила управления безопасностью персонала в Atlassian.
Основные принципы (в краткой форме) включают в себя следующее.
- Ответственность в отношении безопасности оговаривается в должностных инструкциях
- Все сотрудники и пользователи регулярно просматривают тренинги по вопросам безопасности.
- В обязанности всех сотрудников и подрядчиков входит информирование о выявленных инцидентах безопасности или связанных уязвимостях
- При увольнении сотрудники в оговоренные сроки обязаны вернуть корпоративные ресурсы и прекратить доступ к ним
Физическая защита и безопасность среды
В этой политике сформулированы общие принципы и правила обеспечения безопасности наших зданий, офисов и используемого оборудования.
Основные принципы (в краткой форме) включают в себя следующее.
- Безопасность рабочего места.
- Защита ИТ-оборудования компании, где бы оно ни находилось.
- Ограничение доступа к зданиям и офисам компании.
Конфиденциальность
В этой политике сформулированы принципы, следуя которым, Atlassian реализует надлежащие меры безопасности для защиты конфиденциальности данных.
Компания Atlassian понимает: шифрование и другие технологии повышения конфиденциальности (PET) — мощные инструменты, однако командам нужно проводить тщательный анализ при выборе и внедрении таких решений. Atlassian реализует основанный на оценке рисков подход к конфиденциальности, который учитывает характер, область, контекст и цели обработки данных, а также вероятность и серьезность рисков для прав и свобод физических лиц.
Основные принципы (в краткой форме) включают в себя следующее.
- Выбор технологий PET производится в соответствии с подходом, основанным на оценке рисков.
- Технологии PET не препятствуют компании Atlassian при соблюдении нормативных требований в отношении прав на неприкосновенность частной жизни.
- Технологии PET не снижают безопасность систем и служб, обрабатывающих данные.
- Технологии PET не ограничивают возможность восстановления доступа к частным данным и их доступность в случае взлома.
- Технологии PET позволяют наладить регулярное тестирование, анализ и оценку эффективности.
Управление инцидентами безопасности
В этой политике сформулированы общие принципы и правила, целью которых является обеспечение адекватной реакции со стороны Atlassian на любые возникающие или потенциальные инциденты безопасности. В обязанности Atlassian входит мониторинг происходящих внутри организации инцидентов, в результате которых может быть нарушена конфиденциальность, целостность или доступность данных или информационных систем. Необходимо сообщать обо всех потенциальных инцидентах и выполнять их оценку. Политика была внедрена для того, чтобы сотрудники отдела безопасности Atlassian могли ограничивать длительность инцидентов и негативное воздействие на компанию и ее клиентов, а также делать из инцидентов полезные выводы.
Основные принципы (в краткой форме) включают в себя следующее.
- Прогнозирование инцидентов безопасности и подготовка к реакции на инциденты.
- Сдерживание последствий инцидентов, их устранение и восстановление систем.
- Принятие мер, направленных на то, чтобы наши сотрудники, процессы и технологии были полностью готовы к выявлению и анализу инцидентов безопасности в случае их возникновения.
- Защита персональных данных и данных клиентов становится нашей главной задачей во время инцидентов безопасности.
- Регулярная проверка процедуры реакции на инциденты безопасности.
- Мы накапливаем опыт и совершенствуем все функции, связанные с управлением инцидентами безопасности
- Мы информируем руководящую группу Atlassian о критических инцидентах безопасности.
Управление поставщиками
В этой политике сформулированы общие принципы и рекомендации по отбору поставщиков, а также по привлечению их к сотрудничеству, отслеживанию их работы и выведению их из штата.
Основные принципы включают следующее.
- Atlassian обеспечивает целенаправленное управление процессом подбора продавцов
- Все поставщики проходят адаптацию и регулируются в соответствии с процедурами оценки рисков и комплексной проверки поставщиков, разработанными в компании Atlassian.
- Владелец бизнеса, который выражает интерес к сотрудничеству с Atlassian в качестве продавца, несет ответственность за выполнение условий стандартных договоров Atlassian
- Atlassian ведет надзор за сотрудничеством, чтобы обеспечить соблюдение всех корпоративных стандартов.
- Atlassian оставляет за собой право расторгнуть договор с любым поставщиком, если его услуги больше не требуются.
Приобретение, разработка и техническое обслуживание систем
В этой политике сформулированы общие принципы и правила разработки приложений как для внутреннего использования, так и для внешних клиентов, а также оговариваются ограничения по вопросам управления средами разработки/тестирования и применения ПО с открытым исходным кодом в продуктах Atlassian.
Основные принципы (в краткой форме) включают в себя следующее.
- Требования безопасности обязательны к соблюдению и применению в любой среде, в процессах разработки приложений или их приобретения
- Разработка продуктов ведется в соответствии с внутренним процессом контроля качества, который включает в себя проверки безопасности
- Данные рабочей среды, доступ к которым ограничен в соответствии с политикой управления жизненным циклом информации о безопасности данных, обезличиваются или маскируются при использовании в средах разработки/тестирования.
- Интеграция любых платформ или библиотек с открытым исходным кодом выполняется в соответствии с нашим внутренним стандартом по использованию стороннего кода в продуктах Atlassian.
Защита от угроз и управление уязвимостями
В этой политике сформулированы общие принципы и правила управления угрозами безопасности и уязвимостями как в среде Atlassian, так и в наших продуктах.
Основные принципы (в краткой форме) включают в себя следующее.
- Мы управляем уязвимостями в защите своих продуктов и сервисов (включая выпуск обновлений, исправлений и рекомендаций).
- Управление угрозами безопасности и уязвимостями во всех наших средах (как внутренних, так и размещенных клиентами).
- Мы управляем угрозами проникновения вредоносного ПО в наши среды.
Управление аудитом и обеспечение соответствия требованиям
В этой политике сформулированы общие принципы Atlassian по управлению и проведению аудита соответствия в области средств контроля.
Основные принципы (в краткой форме) включают в себя следующее.
- Мы внедряем средства контроля для надлежащего управления рисками, а также обеспечения соответствия профильным политикам, нормативным актам и внешним отраслевым стандартам.
- Мы используем аудит в целях проверки соответствия и операционной эффективности собственных средств контроля.
- Процессы аудита согласовываются и исполняются должным образом, чтобы обеспечить высокий уровень защиты в наших системах управления, а также получить сертификацию на внутреннем и внешнем уровне.
- Atlassian запрашивает внешнюю проверку средств управления.
- Atlassian поддерживает единый подход ко всем соответствующим задачам, мероприятиям и испытаниям в области средств контроля.