Close

Политики Atlassian в сфере безопасности и технологий

В Atlassian создана программа по управлению информационной безопасностью (ISMP), в которой описаны принципы и основные правила обеспечения доверия и безопасности, применяемые в нашей компании. Мы достигаем этих целей за счет непрерывной оценки рисков в операционных процессах, а также улучшения характеристик безопасности, конфиденциальности, целостности и доступности сред Atlassian. Мы регулярно пересматриваем и обновляем политики безопасности, проводим тестирование безопасности приложений и сетевой среды, а также ведем мониторинг соответствия политикам безопасности.

Далее приведен список и краткое описание основных политик в сфере безопасности и технологий, которые Atlassian применяет как в своей внутренней, так и в облачной среде.

Политика, риск и управление

В этой политике заданы общие принципы и правила управления безопасностью в Atlassian.

Ниже перечислены основные принципы нашей политики безопасности.

  • Мы управляем доступом к информации, принадлежащей нашей компании и клиентам, основываясь на потребностях бизнеса и придерживаясь ценностей Atlassian
  • Atlassian внедряет средства управления для реализации принципов безопасности в соответствии с этой политикой
  • Atlassian периодически выполняет оценку рисков и эффективности систем, которые призваны обеспечить управление этими рисками

Управление доступом

В этой политике заданы основные принципы и правила управления доступом.

Основные принципы включают следующее.

Atlassian обеспечивает соблюдение политики управления доступом, в которой описаны принципы управления доступом к системам.

  • Для управления доступом пользователей применяются аккаунты и пароли
  • Ответственность за соблюдение правил доступа к используемым системам несут все пользователи
  • Возможность несанкционированного доступа к системам отслеживается с помощью ведения журналов и мониторинга
  • Управление удаленным доступом ведется с применением многофакторной аутентификации

Управление ресурсами

В этой политике заданы основные принципы и правила управления ИТ-ресурсами Atlassian, а также порядок работы с этими ресурсами.

Основные принципы управления ресурсами Atlassian включают следующее.

  • Atlassian поддерживает актуальный реестр ресурсов
  • Все ресурсы, отслеживаемые с помощью базы данных по управлению ресурсами, имеют конкретных владельцев
  • Для ресурсов определяются и документируются принципы приемлемого использования, которые затем применяются на практике
  • При увольнении из компании Atlassian используемые сотрудником ресурсы возвращаются в компанию

Непрерывность работы бизнеса и аварийное восстановление

В этой политике заданы основные принципы, которые определяют подход Atlassian к обеспечению надежности, доступности и непрерывности процессов, систем и сервисов. Здесь дается определение требований к обеспечению непрерывности бизнеса, аварийному восстановлению и процессам управления кризисными ситуациями.

Основные принципы включают следующее.

  • Владельцы критически важных для бизнеса систем, процессов и сервисов должны в полной мере реализовать непрерывную работу и (или) аварийное восстановление, которое обеспечивало бы должную отказоустойчивость на случай аварии.
  • Планы по обеспечению непрерывности бизнеса должны включать в себя «крайний вариант» среды, способный обеспечить базовую (минимальную) функциональность, и схему переключения на использование такой среды. Требуется также предусмотреть схемы восстановления обычных бизнес-процессов.
  • Все критически важные для бизнеса системы, процессы и функции должны развертываться в рабочей среде только при наличии соответствующего плана по обеспечению непрерывности.
  • Такие планы необходимо ежеквартально тестировать, выявляя и решая проблемные моменты.
  • Максимальное время восстановления (RTO) считается с момента обнаружения события до момента запуска основного функционала. Сервисы распределяются по уровням, для каждого из которых определены максимально допустимые показатели RTO и RPO.

Безопасность коммуникации

В этой политике сформулированы общие принципы и правила управления безопасностью коммуникаций и сетей в нашей компании.

Основные принципы включают следующее.

  • Доступ к сети необходимо контролировать
  • Доступ к сети предоставляется пользователям, и все они должны ознакомиться с глобальной политикой в отношении электронных систем и коммуникаций
  • Сети должны быть изолированы друг от друга по принципу значимости

Криптография и шифрование

В этой политике заданы общие принципы, следуя которым в Atlassian реализуются соответствующие криптографические процедуры и шифрование в целях обеспечения конфиденциальности наиболее важных данных. Atlassian выполняет развертывание криптографических механизмов для снижения рисков при хранении конфиденциальной информации и ее передаче по сетям, включая публично доступные сети (например, Интернет).

Atlassian обеспечивает реализацию следующих мер.

  • Конфиденциальные данные подвергаются шифрованию с использованием подходящих методов
  • Надежность применяемых методов шифрования соответствует классу информации
  • Управление криптографическими ключами выполняется с соблюдением мер безопасности
  • Применяются только утвержденные криптографические алгоритмы

Безопасность данных и управление жизненным циклом информации

Общие требования по обращению с данными наших клиентов определены в политике классификации данных по уровням безопасности. Примеры того, как мы обращаемся с различными типами данных, приведены ниже. Один из корпоративных принципов Atlassian звучит как «Открытая компания, никакой ерунды», однако все сотрудники должны помнить о том, как надлежит обращаться с данными наших внутренних и внешних клиентов.

Все сотрудники должны ознакомиться с политикой классификации данных, поскольку несут ответственность за обеспечение надлежащего уровня защиты используемой информации.

  • Классификация информации выполняется на основании юридических требований, значимости и важности для компании Atlassian
  • С целью обеспечения правильного обращения информация должна сопровождаться соответствующими метками
  • Управление любыми извлекаемыми носителями информации должно опираться на единые правила, изложенные далее
  • При утилизации носителей информации данные с них должны быть безопасно удалены
  • Носители информации, на которых хранятся корпоративные данные, должны быть защищены от несанкционированного доступа, ненадлежащего использования и повреждения при транспортировке

Мобильные технологии и использование собственных устройств (BYOD)

В этой политике сформулированы общие принципы и правила использования личных устройств в сетях и корпоративных средах Atlassian.

Atlassian обеспечивает реализацию следующих мер.

  • Политика использования собственных устройств (BYOD) призвана быть как можно менее навязчивой и максимально гибкой по отношению к возможностям BYOD для поддержания автономной работы сотрудников Atlassian, однако при этом обеспечивать компании возможности защитить как собственные данные, так и данные клиентов.
  • Основное внимание уделяется проверке конфигурации и общего состояния устройств, а также мониторингу соответствия устройств требованиям с опорой на наименее ограничивающие принципы, достаточные для обеспечения требуемого уровня безопасности, а не на принудительные запреты. Некоторые ограничения действительно потребуются, однако они будут применяться избирательно в зависимости от данных, к которым пользователь имеет доступ.
  • Данная политика охватывает как существующие, так и прогнозируемые потребности компании. Некоторые обозначенные здесь подходы могут быть реализованы в будущем.

Операции

В этой политике сформулированы общие принципы и правила ведения технологических операций в Atlassian.

В число основных принципов входят следующие.

  • Процедуры, применяемые в Atlassian, требуется задокументировать для операционного применения
  • Необходимо регулярно выполнять резервное копирование и тестировать его выполнение
  • Любые изменения вносятся под руководством нескольких человек и после оценки несколькими специалистами
  • Производительность необходимо оценивать и планировать
  • Действуют ограничения по установке программного обеспечения, установка ненужного ПО запрещена
  • Настроенные соответствующим образом журналы необходимо собирать на централизованной платформе
  • Управление любыми операционными инцидентами осуществляется в соответствии со стандартным корпоративным процессом обработки инцидентов

Безопасность персонала

В этой политике определены наши подходы к обеспечению безопасности сотрудников.

В компании Atlassian соблюдаются следующие принципы.

  • Ответственность в отношении безопасности оговаривается в должностных инструкциях
  • Все сотрудники и пользователи регулярно посещают тренинги по вопросам безопасности
  • В обязанности всех сотрудников и подрядчиков входит информирование о выявленных инцидентах безопасности или связанных уязвимостях
  • При увольнении сотрудники в оговоренные сроки обязаны вернуть корпоративные ресурсы и прекратить доступ к ним

Физическая защита и безопасность среды

В этой политике сформулированы общие принципы и правила обеспечения безопасности наших зданий, офисов и используемого оборудования.

В основные принципы физической защиты и создания безопасной среды входит следующее.

  • Atlassian обеспечивает сотрудникам безопасные рабочие места
  • Мы обеспечиваем защиту ИТ-оборудования компании, где бы оно ни находилось
  • Доступ в наши здания и офисы ограничен соответствующим кругом персонала

Конфиденциальность

В этой политике заданы общие принципы управления конфиденциальностью данных, связанных с нашими клиентами.

В основные принципы безопасности данных входит следующее.

  • Средства управления процессом сбора клиентских данных
  • Проверка того, что данные клиентов хранятся только в целях поддержки
  • Клонирование данных клиентов выполняется только в сценариях, связанных с резервным копированием или поддержкой клиентов

Управление инцидентами безопасности

В этой политике сформулированы общие принципы и правила, целью которых является обеспечение адекватной реакции со стороны Atlassian на любые возникающие или потенциальные инциденты безопасности. В обязанности Atlassian входит мониторинг инцидентов, происходящих внутри организации, в результате которых может быть нарушена конфиденциальность, целостность или доступность данных или информационных систем. Необходимо сообщать обо всех потенциальных инцидентах и выполнять их оценку.

Команда Atlassian по обеспечению безопасности предпринимает следующие меры.

  • Рассматривает возможность возникновения инцидентов безопасности и подготавливает соответствующие планы реагирования
  • Обеспечивает сдерживание последствий инцидентов, их устранение и восстановление систем
  • Мы прилагаем специальные усилия, чтобы наши сотрудники, процессы и технологии были полностью готовы к выявлению и анализу инцидентов в случае возникновения таковых
  • В процессе реагирования на инцидент первоочередное внимание уделяется защите данных наших клиентов
  • Мы накапливаем опыт и совершенствуем все функции, связанные с управлением инцидентами безопасности

Управление данными поставщиков и третьих лиц

В этой политике заданы общие принципы и правила подбора продавцов, привлечения их к сотрудничеству и предоставления им доступа к данным Atlassian.

Atlassian обеспечивает реализацию следующих мер.

  • Atlassian обеспечивает целенаправленное управление процессом подбора продавцов
  • Владелец бизнеса, который выражает интерес к сотрудничеству с Atlassian в качестве продавца, несет ответственность за выполнение условий стандартных договоров Atlassian
  • Мы ведем надзор за процессом сотрудничества, чтобы обеспечить соблюдение всех стандартов Atlassian
  • Мы оставляем за собой право расторгнуть договор с любым продавцом, если его услуги больше не требуются

Приобретение, разработка и техническое обслуживание систем

В этой политике сформулированы общие принципы и правила разработки приложений как для внутреннего использования, так и для внешних клиентов, а также оговариваются ограничения по вопросам управления средами разработки / тестирования и применения ПО с открытым исходным кодом в продуктах Atlassian.

Основные принципы включают следующее.

  • Требования безопасности обязательны к соблюдению и применению в любой среде, в процессах разработки приложений или их приобретения
  • Разработка продуктов ведется в соответствии с внутренним процессом контроля качества, который включает в себя проверки безопасности
  • Данные рабочей среды при использовании в средах разработки и тестирования необходимо анонимизировать или скрывать
  • Интеграция любых платформ или библиотек с открытым исходным кодом выполняется в соответствии с внутренними правилами компании

Защита от угроз и управление уязвимостями

В этой политике сформулированы общие принципы и правила управления угрозами безопасности и уязвимостями как в среде Atlassian, так и в наших продуктах.

Atlassian обеспечивает реализацию следующих мер.

  • Мы обеспечиваем управление уязвимостями, связанными с безопасностью, в своих продуктах и сервисах. Сюда входит выпуск обновлений, исправлений и рекомендаций
  • Мы обеспечиваем управление угрозами безопасности и уязвимостями во всех наших средах (как внутренних, так и размещенных клиентами)
  • Мы обеспечиваем управление угрозами возникновения вредоносного ПО в наших средах

Управление аудитом и обеспечение соответствия требованиям

В этой политике заданы общие принципы и правила управления аудитом и программами соответствия требованиям в целях проверки платформы управления Atlassian.

Atlassian обеспечивает реализацию следующих мер.

  • Мы внедряем технологические операции, средства управления безопасностью и конфиденциальностью, чтобы сохранять уверенность в их соответствии нашим внутренним политикам, нормативным требованиям и внешним отраслевым стандартам
  • Процессы аудита согласовываются и исполняются должным образом, чтобы обеспечить высокий уровень защиты в наших системах управления, а также получить сертификацию на внутреннем и внешнем уровне
  • Atlassian ищет способы внешней проверки реализованных в компании средств управления безопасностью, конфиденциальностью, операционными процессами и другими системами
  • Atlassian поддерживает объединенный подход ко всем связанным с управлением целям, действиям и тестам (платформа управления Atlassian, ACF)