Close

Система Atlassian Trust Management System (ATMS)


Знакомство с системой Atlassian Trust Management System (ATMS)

Мы в Atlassian очень гордимся ценностями компании. Этими ценностями определяется все, что мы делаем. Одна из ценностей, на которую мы обращаем особое внимание, — «Открытая компания, никакой ерунды». Точный смысл этой ценности именно такой, какой определен на нашей странице ценностей:

И мы понимаем, что для откровенного выражения своего мнения в равной степени требуются ум (что сказать), внимательность (когда сказать) и забота (как сказать).

Мы с заметным постоянством слышим от клиентов, что им хотелось бы больше знать о том, как мы ведем бизнес и выполняем повседневные операции. С радостью выделяем немного времени, чтобы рассказать, как мы выполняем программу по управлению доверием, которая в соответствии со стандартом управления безопасностью ISO27001 называется системой Atlassian Trust Management System (ATMS).

Мы в Atlassian гордимся тем, что отличаемся от других компаний, о чем бы ни шла речь, — будь то уникальный подход к продажам, ценности нашей компании или подход к благотворительности. Мы распространили этот подход на нашу программу по управлению доверием.

Важна ли структурированная программа управления?

Любые системы управления несут в себе ценность, будь то системы управления качеством, системы управления дефектами, метод непрерывного совершенствования кайдзен или структурированная методология для оценки зрелости возможностей. Эти программы управления апробируются в реальных условиях, публикуются, рецензируются и совершенствуются. Наша программа Atlassian Trust Management Program основана на стандарте ISO 27001 для систем управления информационной безопасностью. Основное положение стандарта ISO 27001:

Этот международный стандарт может использоваться внутренними и внешними сторонами для оценки способности организации отвечать собственным требованиям информационной безопасности.

Ценность международных стандартов как ориентиров (но не обязательных требований)

Как и все организации (а особенно те, которые несут ответственность за размещение и обработку данных клиентов), мы получаем предсказуемо много вопросов от клиентов о том, заботится ли Atlassian (как поставщик облачных сервисов) о надлежащей защите и обеспечении конфиденциальности данных клиентов. Любой клиент, рассматривающий возможность использования облачных сервисов, задается подобными вопросами при выборе вариантов хостинга важных приложений или сервисов.

У каждого из наших клиентов есть свои требования к безопасности. Программа Atlassian по управлению доверием учитывает эти требования и вырабатывает набор собственных требований, уникальных для нашей компании и среды. Подход ISO 27001 к планированию, эксплуатации, оценке производительности и совершенствованию позволяет постоянно оценивать работу нашей программы и со временем оптимизировать ее с целью учета новых угроз, новых требований или общего повышения качества работы.

Мы оцениваем международные стандарты как набор хорошо структурированных руководящих принципов, но при этом мы анализируем каждое конкретное требование и решаем, подходят ли эти требования к конкретной среде. Мы применяем аналогичный подход при оценке общей применимости этих международных стандартов к нашей среде.

Программа управления правилами

The basis of the Trust Management System is our Policy Management Program (PMP). We have structured our policies to cover the domains included in both the ISO27001 standard as well as the Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM). We have developed a couple of foundational principles to our Policy Management Program:

  • Be posted and available - we aren't playing gotcha - we make it clear the bar our teams are expected to meet
  • Be supported by the security team to make it easy for you to comply - we are here to help our teams, help us
  • Outline our security objectives - we like to have goals and be clear about them
  • Show commitment to meet our regulatory obligations - we don't want to go to jail
  • Be focused on continual iteration and improvement - we continue to evaluate risks in our environment and in our program, and reflect those in our policies
  • Provide for an Exception Process - for when our teams absolutely, not even a chance, there is no way, can they meet the policies for a short window
  • Review annually - including updating our policies as we observe new threats and risks

Read on overview and excerpts of our Technology Policies.

Программа управления рисками

Чтобы постоянно измерять риски, которым подвержены наши среды и продукты, мы непрерывно проводим оценки рисков. Во многих случаях, особенно когда речь идет о наших продуктах, мы проводим оценки технического риска или проверки кода. Кроме того, мы оцениваем каждый наш продуктовый стек в целом, а также отдельные части нашей организации, чтобы выявлять бизнес-риски более высокого уровня. Мы приняли методологию управления рисками, соответствующую стандартам ISO 27005 или ISO 31010, и применяем эту методологию в определенных областях. Наш подход к управлению рисками включает в себя следующие принципы.

  • Проведение мероприятий по оценке рисков, в том числе выполнение измерений рисков и содействие принятию решений по обработке рисков. Сюда относятся определение области, подверженной рискам, ресурсов в этой области, выявление рисков, оценка их возможных последствий и вероятности их реализации, а также анализ рисков и отчетность по рискам.
  • Мониторинг проектов, предназначенных для управления рисками безопасности, и составление отчетов по ним: постоянный мониторинг программ или проектов, разработанных для управления рисками безопасности, и составление отчетов по ним.
  • Поддержка SMP: мы используем постоянную оценку рисков как механизм совершенствования среды, который подтверждает, что внедренные средства безопасности позволяют эффективно управлять обнаруживаемыми рисками безопасности.

Подробная информация приведена в нашей Программе управления корпоративными рисками.

Atlassian Trust Management Forum (ATMF)

Finally, we maintain a structured Trust Management Forum that includes representatives from each of the pillars of our Trust program to ensure we apply not only security controls but also reliability, privacy and compliance controls and how to manage risks across each of these pillars. We have created  separate forum meetings to ensure coverage of particular topics as well as appropriate input.

The ATMF’s purpose is to:

  • Agree on priorities and actions required to protect Atlassian and our customers from security threats
  • Champion and drive activities within each business division to address deficiencies or vulnerabilities that may allow an attack to occur
  • Provide direction and support to working groups on critical security risks and compliance programs
  • Champion a security awareness culture throughout the organisation

We maintain the following forum meetings:

  • ATMF: Management Review (Annually - in line with annual budgeting)
  • ATMF: Resource Review (Annually - in line with annual budgeting)
  • ATMF: Risk Review (Quarterly)
  • ATMF: Security Health Review (Monthly)
  • ATMF: Compliance Health Review (Monthly)
  • ATMF: Management Reviews (Weekly - each function team has a Management Review)

The structure and frequency of these meetings ensure we are continuously reviewing our threat profile, as well as our response to those threats.

There are as many different approaches to manage a security organization as there are organizations out there. We, at Atlassian, believe we have set up a program to be flexible, responsive, but also with enough structure to ensure we are evaluating and addressing new threats and risks to both us, as well as our customers.