Close

Система Atlassian Trust Management System (ATMS)


Знакомство с системой Atlassian Trust Management System (ATMS)

В Atlassian мы очень гордимся ценностями нашей компании. Этими ценностями определяется все, что мы делаем. Одна из ценностей, на которую мы обращаем особое внимание, — «Открытая компания, никакой ерунды». Точный смысл этой ценности именно такой, какой определен на нашей странице ценностей:

И мы понимаем, что для откровенного высказывания своего мнения в равной степени требуются ум (что сказать), внимательность (когда сказать) и забота (как сказать).

Мы с заметным постоянством слышим от клиентов, что вам хотелось бы больше знать о том, как мы ведем бизнес и выполняем повседневные операции. Мы хотели бы потратить немного времени и рассказать вам, как мы выполняем нашу программу по управлению доверием, которая в соответствии со стандартом управления безопасностью ISO27001 называется системой Atlassian Trust Management System (ATMS).

В Atlassian мы гордимся тем, что немного отличаемся от других компаний, о чем бы ни шла речь, — будь то уникальный подход к продажам, ценности нашей компании или подход к благотворительности. Мы распространили этот подход на нашу программу по управлению доверием.

 

Важность структурированной программы управления 

Любые системы управления несут в себе ценность, будь то системы управления качеством, системы управления дефектами, метод непрерывного совершенствования кайдзен или структурированная методология для оценки зрелости возможностей. Эти программы управления апробируются в реальных условиях, публикуются, рецензируются и совершенствуются. Программа Atlassian по управлению доверием основана на стандарте ISO27001 для систем управления информационной безопасностью. Основное положение стандарта ISO27001.

Этот международный стандарт может использоваться внутренними и внешними сторонами для оценки способности организации отвечать собственным требованиям информационной безопасности.

 

Ценность международных стандартов как ориентиров (но не обязательных требований)

Как и все организации (а особенно те, которые несут ответственность за размещение и обработку данных клиентов), мы по понятным причинам получаем много вопросов от клиентов о том, заботится ли Atlassian как поставщик облачных сервисов о защите и конфиденциальности данных клиентов должным образом. Любой клиент, рассматривающий возможность использования облачных сервисов, сталкивается с подобными рассуждениями при выборе вариантов хостинга важных приложений или сервисов.

У каждого из наших клиентов есть собственные требования к безопасности. Программа Atlassian по управлению доверием учитывает эти требования к безопасности и вырабатывает набор требований, уникальных для нашей компании и среды. Подход ISO27001 к планированию, эксплуатации, оценке производительности и совершенствованию позволяет постоянно оценивать работу нашей программы и со временем совершенствовать ее с целью учета новых угроз, новых требований или общего повышения качества работы.

Мы учитываем международные стандарты как набор хорошо структурированных руководящих принципов, но при этом мы анализируем каждое конкретное требование и оцениваем, подходят ли эти требования к конкретной среде.  Мы применяем аналогичный подход при оценке общей применимости этих международных стандартов к нашей среде.

 

Программа управления политиками

Базой системы Trust Management System является наша программа управления политиками (PMP). Мы структурировали политики так, чтобы охватить области, включенные как в стандарт ISO27001, так и в Матрицу контроля облачных вычислений (CCM) Альянса безопасности облачных вычислений (CSA). Мы разработали несколько основополагающих принципов для своей программы управления политиками.

  • Доступно и зафиксировано: мы не играем в догонялки — мы четко задаем уровень, которому должны соответствовать наши команды
  • Поддержка команды по безопасности, чтобы клиентам было проще соответствовать требованиям: мы доступны для помощи нашим командам (и самим себе)
  • Ясные цели в области безопасности: нам нравится задавать цели и иметь четкое представление о них
  • Приверженность выполнению нормативных обязательств: мы не хотим попасть в тюрьму
  • Цель — постоянное совершенствовании и работа итерациями: мы постоянно оцениваем риски в нашей среде и в нашей программе и отражаем их в наших политиках
  • Выполнение процессов в исключительных ситуациях — на тот случай, когда наши команды ни при каких условиях не могут выполнить требования политик за короткий период времени
  • Ежегодный анализ, включая обновление наших политик по мере обнаружения новых угроз и рисков

 

Программа управления рисками

Чтобы постоянно измерять риски, которым подвержены наши среды и продукты, мы непрерывно проводим оценки рисков. Во многих случаях, особенно в случае наших продуктов, эти оценки выполняются как оценки технического риска либо как проверки кода. Кроме того, мы оцениваем каждый наш продуктовый стек в целом, а также отдельные части нашей организации, чтобы выявлять бизнес-риски более высокого уровня. В целом мы приняли методологию управления рисками, соответствующую стандартам ISO27005 или ISO31010, и применяем эту методологию в определенных областях. Наш подход к управлению рисками включает в себя следующие принципы.

  • Проведение мероприятий по оценке рисков, в том числе выполнение измерений рисков и содействие принятию решений по обработке рисков.  Это включает в себя определение области, подверженной рискам, ресурсов в этой области, выявление рисков, оценку их возможных последствий и вероятности их реализации, а также анализ рисков и отчетность по рискам.
  • Мониторинг и сбор отчетности о проектах, предназначенных для управления рисками безопасности: постоянный мониторинг и сбор отчетности о программах или проектах, разработанных для управления рисками безопасности.
  • Поддержка SMP: мы используем постоянную оценку рисков как механизм совершенствования среды, который подтверждает, что внедренные средства безопасности позволяют эффективно управлять обнаруживаемыми рисками безопасности.

 

Форум Atlassian по управлению доверием (ISMF)

Наконец, мы поддерживаем структурированный форум по управлению доверием, в который входят представители каждого из направлений программы по доверию. Этот форум дает нам уверенность в том, что мы применяем не только меры безопасности, но и средства управления надежностью, конфиденциальностью и соответствием требованиям, а также владеем необходимыми способами управления рисками в каждом из этих направлений. В рамках форума мы проводим отдельные собрания, чтобы обеспечить освещение определенных тем, а также соответствующий вклад участников.

Цель ISMF заключается в следующем.

  • Согласование приоритетов и действий, необходимых для защиты Atlassian и наших клиентов от угроз безопасности
  • Продвижение и стимулирование в каждом бизнес-подразделении действий, необходимых для устранения недостатков или уязвимостей, которые могут стать причиной атаки
  • Предоставление рекомендаций и поддержки рабочим группам по вопросам, связанным с критическими рисками безопасности и программами соответствия требованиям
  • Распространение культуры осведомленности о безопасности во всей организации

Мы проводим следующие собрания в рамках форума

  • ATMF: анализ системы управления (ежегодно)
  • ATMF: анализ ресурсов (ежегодно)
  • ATMF: анализ рисков (ежеквартально)
  • ATMF: анализ работоспособности системы безопасности (ежемесячно)
  • ATMF: анализ соответствия требованиям (ежемесячно)
  • ATMF: анализ системы управления (еженедельно)

Структура и периодичность этих собраний гарантируют, что мы постоянно анализируем профиль существующих угроз, а также наши действия в ответ на эти угрозы.

Существует столько же разных подходов к управлению организацией, работающей в области безопасности, сколько и самих организаций. Мы считаем, что созданная в компании Atlassian программа является гибкой, отзывчивой и при этом имеет подходящую структуру для того, чтобы гарантировать, что мы оцениваем и учитываем новые угрозы и риски как для нас, так и для наших клиентов.