Close

Политики Atlassian в сфере безопасности и технологий

В компании Atlassian действует программа по управлению информационной безопасностью (ISMP), в которой описаны принципы и правила реализации программ доверия и безопасности. Для достижения поставленных целей мы непрерывно оцениваем риски в операционных процессах и улучшаем характеристики безопасности, конфиденциальности, целостности и доступности сред Atlassian. Мы регулярно пересматриваем и обновляем политики безопасности, проводим тестирование безопасности приложений и сетевой среды, а также ведем мониторинг соответствия политикам безопасности.

Далее приведен список и краткое описание основных политик в сфере безопасности и технологий, которые Atlassian применяет как в своей внутренней, так и в облачной среде.

Политика безопасности, риски и управление

В этой политике заданы общие принципы и правила управления безопасностью в Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Компания Atlassian управляет доступом к информации, которая принадлежит ей и клиентам, опираясь на потребности бизнеса и ценности Atlassian.
  • Atlassian внедряет средства управления для реализации принципов безопасности в соответствии с этой политикой.
  • Atlassian периодически выполняет оценку рисков и эффективности систем, которые призваны обеспечить управление этими рисками
  • Компания Atlassian всеми силами стремится к поддержке и соблюдению применимого законодательства о защите персональных данных и договорных условий клиентов Atlassian Cloud.

Управление доступом

В этой политике заданы основные принципы и правила управления доступом.

Основные принципы (в краткой форме) включают в себя следующее.

  • Atlassian реализует политику управления доступом, в которой описаны принципы управления доступом к системам.
  • Для управления доступом пользователей применяются аккаунты.
  • Ответственность за соблюдение правил доступа к используемым системам несут все пользователи
  • Возможность несанкционированного доступа к системам отслеживается с помощью ведения журналов и мониторинга
  • Управление удаленным доступом ведется с применением многофакторной аутентификации.
  • Обязанности разделены в тех сферах, где это уместно.

Управление ресурсами

В этой политике заданы основные принципы и правила управления ИТ-ресурсами Atlassian, а также порядок работы с этими ресурсами.

Основные принципы управления ресурсами Atlassian (в краткой форме) включают следующее.

  • Atlassian поддерживает актуальный реестр ресурсов.
  • За всеми ресурсами, отслеживаемыми с помощью базы данных по управлению ресурсами, закреплены конкретные владельцы.
  • Для ресурсов определяются и документируются принципы приемлемого использования, которые затем применяются на практике.
  • При увольнении из компании Atlassian используемые сотрудником ресурсы возвращаются в компанию.

Непрерывность работы бизнеса и аварийное восстановление

В этой политике заданы основные принципы, которые определяют подход Atlassian к обеспечению надежности, доступности и непрерывности процессов, систем и сервисов. Здесь дается определение требований к обеспечению непрерывности бизнеса, аварийному восстановлению и процессам управления кризисными ситуациями.

Основные принципы (в краткой форме) включают в себя следующее.

  • Владельцы критически важных для бизнеса систем, процессов и сервисов должны в полной мере реализовать непрерывную работу и (или) аварийное восстановление, которое обеспечивало бы должную отказоустойчивость на случай аварии.
  • Планы по обеспечению непрерывности бизнеса должны включать в себя «крайний вариант» среды, способный обеспечить базовую (минимальную) функциональность, и схему переключения на использование такой среды. Требуется также предусмотреть схемы восстановления обычных бизнес-процессов.
  • Все критически важные для бизнеса системы, процессы и функции должны развертываться в рабочей среде только при наличии соответствующего плана обеспечения непрерывности
  • Такие планы необходимо ежеквартально тестировать, выявляя и решая проблемные моменты.
  • Максимальное время восстановления (RTO) считается с момента обнаружения события до момента запуска основной функциональности. Сервисы распределяются по уровням, для каждого из которых определены максимально допустимые показатели RTO и RPO.

Безопасность коммуникации

В этой политике сформулированы общие принципы и правила управления безопасностью коммуникаций и сетей в нашей компании.

Основные принципы (в краткой форме) включают в себя следующее.

  • Доступ к сети необходимо контролировать
  • Доступ к сети предоставляется пользователям, и все они должны ознакомиться с политикой в отношении электронных систем и коммуникаций.
  • Сети должны быть изолированы друг от друга по принципу значимости

Криптография и шифрование

В этой политике сформулированы общие принципы, следуя которым, Atlassian реализует соответствующие криптографические процедуры и шифрование в целях обеспечения конфиденциальности и целостности наиболее важных данных. Atlassian выполняет развертывание криптографических механизмов для снижения рисков при хранении конфиденциальной информации и ее передаче по сетям, включая публично доступные сети (например, Интернет). Внедряя надежные, безопасные и проверенные технологии шифрования, мы реализуем основную задачу этого стандарта и можем снизить риск несанкционированного доступа к конфиденциальной информации компании и (или) ее изменения.

Основные принципы (в краткой форме) включают в себя следующее.

  • Конфиденциальные данные подвергаются шифрованию с использованием подходящих методов.
  • Надежность применяемых методов шифрования соответствует классу информации.
  • Управление криптографическими ключами выполняется с соблюдением мер безопасности.
  • Используются только подтвержденные криптографические алгоритмы и программные модули.

Классификация данных

В этой политике определены уровни классификации данных, а также включены описания, примеры, требования и рекомендации по обработке данных, соответствующих каждому уровню. Уровни классификации определены с учетом законодательных требований, а также конфиденциальности, значимости и важности данных для компании Atlassian, ее клиентов, партнеров и поставщиков.

Основные принципы (в краткой форме) включают в себя следующее.

  • Данные классифицируются с учетом юридических требований, а также их значимости и важности для компании Atlassian.
  • Данные идентифицируются, маркируются и поддерживаются в актуальном состоянии на карте потока данных, чтобы обеспечить надлежащую обработку.
  • При утилизации носителей информации данные с них безопасно удаляются.
  • Носители информации, на которых хранятся корпоративные данные, защищаются от несанкционированного доступа, ненадлежащего использования и повреждения при транспортировке.

Мобильные технологии и использование собственных устройств (BYOD)

В этой политике сформулированы общие принципы и правила использования личных устройств в сетях и системах Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Политика использования собственных устройств (BYOD) призвана быть как можно менее навязчивой и максимально гибкой по отношению к возможностям BYOD для поддержания автономной работы сотрудников Atlassian, однако при этом она должна обеспечивать компании возможности защиты как собственных данных, так и данных клиентов.
  • Поэтому основное внимание уделяется проверке конфигурации и общего состояния устройств, а также мониторингу соответствия устройств требованиям с опорой на наименее ограничивающие принципы, достаточные для обеспечения требуемого уровня безопасности, а не на принудительные запреты. Некоторые ограничения действительно требуются, однако они применяются избирательно в зависимости от данных, к которым пользователь имеет доступ.
  • Данная политика охватывает как существующие, так и прогнозируемые потребности компании. Некоторые обозначенные здесь подходы могут быть реализованы в будущем.

Операции

В этой политике сформулированы общие принципы и правила ведения технологических операций в Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Процедуры, практикуемые в Atlassian, документируются для операционного применения.
  • Обеспечивается регулярное резервное копирование, а также тестирование резервных копий.
  • Изменения вносятся под руководством нескольких человек и после оценки несколькими специалистами.
  • Производительность необходимо оценивать и планировать.
  • Действуют ограничения по установке программного обеспечения, установка ненужного ПО запрещена.
  • Настроенные соответствующим образом журналы хранятся на централизованной платформе.
  • Управление любыми операционными инцидентами осуществляется в соответствии со стандартным корпоративным процессом HOT.

Безопасность персонала

В этой политике сформулированы общие принципы и правила управления безопасностью персонала в Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Ответственность в отношении безопасности оговаривается в должностных инструкциях
  • Все сотрудники и пользователи регулярно просматривают тренинги по вопросам безопасности.
  • В обязанности всех сотрудников и подрядчиков входит информирование о выявленных инцидентах безопасности или связанных уязвимостях
  • При увольнении сотрудники в оговоренные сроки обязаны вернуть корпоративные ресурсы и прекратить доступ к ним

Физическая защита и безопасность среды

В этой политике сформулированы общие принципы и правила обеспечения безопасности наших зданий, офисов и используемого оборудования.

Основные принципы (в краткой форме) включают в себя следующее.

  • Безопасность рабочего места.
  • Защита ИТ-оборудования компании, где бы оно ни находилось.
  • Ограничение доступа к зданиям и офисам компании.

Конфиденциальность

В этой политике сформулированы принципы, следуя которым, Atlassian реализует надлежащие меры безопасности для защиты конфиденциальности данных.

Компания Atlassian понимает: шифрование и другие технологии повышения конфиденциальности (PET) — мощные инструменты, однако командам нужно проводить тщательный анализ при выборе и внедрении таких решений. Atlassian реализует основанный на оценке рисков подход к конфиденциальности, который учитывает характер, область, контекст и цели обработки данных, а также вероятность и серьезность рисков для прав и свобод физических лиц.

Основные принципы (в краткой форме) включают в себя следующее.

  • Выбор технологий PET производится в соответствии с подходом, основанным на оценке рисков.
  • Технологии PET не препятствуют компании Atlassian при соблюдении нормативных требований в отношении прав на неприкосновенность частной жизни.
  • Технологии PET не снижают безопасность систем и служб, обрабатывающих данные.
  • Технологии PET не ограничивают возможность восстановления доступа к частным данным и их доступность в случае взлома.
  • Технологии PET позволяют наладить регулярное тестирование, анализ и оценку эффективности.

Управление инцидентами безопасности

В этой политике сформулированы общие принципы и правила, целью которых является обеспечение адекватной реакции со стороны Atlassian на любые возникающие или потенциальные инциденты безопасности. В обязанности Atlassian входит мониторинг происходящих внутри организации инцидентов, в результате которых может быть нарушена конфиденциальность, целостность или доступность данных или информационных систем. Необходимо сообщать обо всех потенциальных инцидентах и выполнять их оценку. Политика была внедрена для того, чтобы сотрудники отдела безопасности Atlassian могли ограничивать длительность инцидентов и негативное воздействие на компанию и ее клиентов, а также делать из инцидентов полезные выводы.

Основные принципы (в краткой форме) включают в себя следующее.

  • Прогнозирование инцидентов безопасности и подготовка к реакции на инциденты.
  • Сдерживание последствий инцидентов, их устранение и восстановление систем.
  • Принятие мер, направленных на то, чтобы наши сотрудники, процессы и технологии были полностью готовы к выявлению и анализу инцидентов безопасности в случае их возникновения.
  • Защита персональных данных и данных клиентов становится нашей главной задачей во время инцидентов безопасности.
  • Регулярная проверка процедуры реакции на инциденты безопасности.
  • Мы накапливаем опыт и совершенствуем все функции, связанные с управлением инцидентами безопасности
  • Мы информируем руководящую группу Atlassian о критических инцидентах безопасности.

Управление поставщиками

В этой политике сформулированы общие принципы и рекомендации по отбору поставщиков, а также по привлечению их к сотрудничеству, отслеживанию их работы и выведению их из штата.

Основные принципы включают следующее.

  • Atlassian обеспечивает целенаправленное управление процессом подбора продавцов
  • Все поставщики проходят адаптацию и регулируются в соответствии с процедурами оценки рисков и комплексной проверки поставщиков, разработанными в компании Atlassian.
  • Владелец бизнеса, который выражает интерес к сотрудничеству с Atlassian в качестве продавца, несет ответственность за выполнение условий стандартных договоров Atlassian
  • Atlassian ведет надзор за сотрудничеством, чтобы обеспечить соблюдение всех корпоративных стандартов.
  • Atlassian оставляет за собой право расторгнуть договор с любым поставщиком, если его услуги больше не требуются.

Приобретение, разработка и техническое обслуживание систем

В этой политике сформулированы общие принципы и правила разработки приложений как для внутреннего использования, так и для внешних клиентов, а также оговариваются ограничения по вопросам управления средами разработки/тестирования и применения ПО с открытым исходным кодом в продуктах Atlassian.

Основные принципы (в краткой форме) включают в себя следующее.

  • Требования безопасности обязательны к соблюдению и применению в любой среде, в процессах разработки приложений или их приобретения
  • Разработка продуктов ведется в соответствии с внутренним процессом контроля качества, который включает в себя проверки безопасности
  • Данные рабочей среды, доступ к которым ограничен в соответствии с политикой управления жизненным циклом информации о безопасности данных, обезличиваются или маскируются при использовании в средах разработки/тестирования.
  • Интеграция любых платформ или библиотек с открытым исходным кодом выполняется в соответствии с нашим внутренним стандартом по использованию стороннего кода в продуктах Atlassian.

Защита от угроз и управление уязвимостями

В этой политике сформулированы общие принципы и правила управления угрозами безопасности и уязвимостями как в среде Atlassian, так и в наших продуктах.

Основные принципы (в краткой форме) включают в себя следующее.

  • Мы управляем уязвимостями в защите своих продуктов и сервисов (включая выпуск обновлений, исправлений и рекомендаций).
  • Управление угрозами безопасности и уязвимостями во всех наших средах (как внутренних, так и размещенных клиентами).
  • Мы управляем угрозами проникновения вредоносного ПО в наши среды.

Управление аудитом и обеспечение соответствия требованиям

В этой политике сформулированы общие принципы Atlassian по управлению и проведению аудита соответствия в области средств контроля.

Основные принципы (в краткой форме) включают в себя следующее.

  • Мы внедряем средства контроля для надлежащего управления рисками, а также обеспечения соответствия профильным политикам, нормативным актам и внешним отраслевым стандартам.
  • Мы используем аудит в целях проверки соответствия и операционной эффективности собственных средств контроля.
  • Процессы аудита согласовываются и исполняются должным образом, чтобы обеспечить высокий уровень защиты в наших системах управления, а также получить сертификацию на внутреннем и внешнем уровне.
  • Atlassian запрашивает внешнюю проверку средств управления.
  • Atlassian поддерживает единый подход ко всем соответствующим задачам, мероприятиям и испытаниям в области средств контроля.