Что такое SOC 2 и нужно ли мне это IT?

SOC 2 расшифровывается как System and Organization Controls 2 (средства контроля систем и организаций, версия 2). Это отчетная рамка, которую используют многие компании в сфере ПО, облачных услуг и бизнес-сервисов, чтобы показать, что их меры контроля по вопросам безопасности и смежным областям продуманы и, в некоторых случаях, работают со временем.

Обычно SOC 2 не требуется локальной пекарне, розничному магазину, ресторану или небольшой офисной организации просто для того, чтобы функционировать. Он становится важнее, если ваша компания хранит данные клиентов, размещает программное обеспечение, поддерживает системы других компаний или в процессе продаж/проверки поставщиков вас просят предоставить отчет SOC 2.

Нужны ли вам ИТ для SOC 2. Обычно да — хотя бы частично. Даже если вы привлекаете внешнего аудитора и консультанта, большинству компаний все равно нужен повседневный технический setup и поддержка, например вопросы безопасности аккаунтов, управление устройствами, проверки резервных копий и документированные процессы. Если вы пытаетесь понять, какая именно поддержка подойдет вашему бизнесу, начните с наших страниц answers или services.

SOC 2 — это не бизнес-лицензия и не сертификация государства. Это независимый аудиторский отчет на основе мер контроля, связанных с Trust Services Criteria (критериями доверенных сервисов), чаще всего по безопасности, а иногда по доступности, целостности обработки, конфиденциальности и приватности.

Если сказать простыми словами, это структурированный способ показать, что в вашей компании есть правила, инструменты и практики для защиты систем и ответственной работы с данными. Это может включать: кто имеет доступ, как защищены ноутбуки, как утверждаются изменения, как проверяются резервные копии и как обрабатываются инциденты.

Вы можете услышать про Type I и Type II. Отчет Type I оценивает, корректно ли разработаны меры контроля на определенный момент времени. Отчет Type II показывает, работали ли эти меры контроля в течение периода времени. Клиенты часто предпочитают Type II, потому что он демонстрирует последовательность, а не просто снимок на дату.

Для многих небольших и средних компаний SOC 2 становится значимым, потому что его запрашивают клиенты. Это часто встречается в компаниях, разрабатывающих ПО, в облачных сервисах, среди аутсорсинговых бизнес-сервисов, в поддержке здравоохранения, в поддержке финансовых услуг и в любой компании, которая обрабатывает чувствительную информацию клиентов.

Если более крупный клиент доверяет вашей компании данные, ему может понадобиться подтверждение, что у вас есть базовые меры защиты. SOC 2 может помочь с доверием, обсуждениями при продажах, одобрением поставщика и продлением контрактов. В некоторых случаях отсутствие SOC 2 может замедлить сделки.

При этом не каждой компании нужен отчет SOC 2. Кому-то достаточно усилить базовые ИТ-контроли. Кому-то нужно ответить на опросник по безопасности. Кому-то сначала нужно выполнить другое требование — в зависимости от отрасли и правил в вашем штате. HIPAA (Health Insurance Portability and Accountability Act — закон о переносимости и подотчетности медицинского страхования) применяется к определенным ситуациям в здравоохранении. PCI (обычно подразумевается Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платежных карт) применяется к компаниям, которые обрабатывают платежи картами. SOC 2 — это другое.

Хороший поставщик managed IT, часто называемый MSP (managed services provider — провайдер управляемых услуг), может помочь понять практическую сторону готовности. NodeBridge IT не выполняет эту работу сам. Мы даем общее обучение и, если это полезно, помогаем вам найти независимого поставщика managed IT через наш бесплатный процесс get matched.

В большинстве случаев — да. SOC 2 затрагивает много повседневных ИТ-задач. Это не только документ с политиками. Аудиторы обычно хотят видеть, что у вашей компании есть меры контроля, которые действительно внедрены и которым следуют.

Часто это, например, Multi-Factor Authentication (MFA — многофакторная аутентификация), то есть пользователям нужна вторая проверка для входа, а не только пароль. Может потребоваться патчинг (патчирование) — поддержание актуальности программного обеспечения и устройств. Может потребоваться endpoint protection (защита конечных устройств), где endpoint — это любой ноутбук, настольный компьютер, телефон или сервер, подключенный к вашей бизнес-среде, а также инструменты вроде EDR (Endpoint Detection and Response — обнаружение и реагирование на угрозы на конечных устройствах), чтобы помогать выявлять подозрительную активность на этих устройствах.

Вам также могут понадобиться учет инвентаря устройств, проверки доступов, процедуры резервного копирования, онбординг и офбординг сотрудников, а также базовая документация. Если вы работаете с поставщиком managed IT, он может использовать RMM (Remote Monitoring and Management — удаленный мониторинг и управление), чтобы отслеживать состояние устройств и выполнять плановое обслуживание. Некоторые компании также работают с vCIO (virtual Chief Information Officer — виртуальный директор по информационным технологиям) для планирования, бюджетирования и рекомендаций по политике.

Не каждая компания нуждается во всем этом сразу, и правильная настройка зависит от вашего размера, систем, ожиданий клиентов и уровня риска. Ни один честный провайдер не должен обещать сеть «невзламываемую» или «нулевой простой». Цель — снизить риски, повысить последовательность и помочь вам соответствовать разумным ожиданиям клиентов и требованиям аудита.

Хорошая подготовка к SOC 2 обычно скучная — но в хорошем смысле. Сотрудники знают, как создаются и удаляются аккаунты. Устройства отслеживаются. Обновления происходят по расписанию. Важные файлы создаются в резервных копиях и проверяются. Доступ ограничен теми, кому он реально нужен. Политики написаны простым языком и реально используются.

«Хорошо» также означает, что ваш бизнес может предоставить доказательства. Например, вы можете показать, что включена MFA, прошла обучающая программа по безопасности, администраторский доступ ограничен, резервные копии запускались, а если случались инциденты — они были бы задокументированы. Для резервного копирования вы можете услышать фразу 3-2-1 backup. Это означает хранение 3 копий данных на 2 разных типах хранилищ, при этом 1 копия хранится вне офиса (offsite).

Если ваши клиенты спрашивают о SOC 2, хорошая подготовка — начинать заранее. Многие компании ждут, пока появится крупная сделка, а затем понимают, что потребуется несколько месяцев на очистку (устранение пробелов), документацию и изменения процессов. Постепенный, стабильный подход обычно проще и менее разрушителен для работы.

Индивидуальная сторона готовности к SOC 2 со стороны ИТ может сильно различаться. Небольшой компании может понадобиться несколько сотен до нескольких тысяч долларов в месяц на постоянную поддержку управляемых ИТ (managed IT), в зависимости от численности персонала, количества устройств, потребностей в безопасности и области работ. Отдельно учитываются затраты на аудит, консультации, ПО для комплаенса и юридические расходы — они могут добавиться. Это диапазоны, а не коммерческие предложения.

Если ваш бизнес слышит от клиентов фразу «У вас есть SOC 2?», следующий шаг обычно не стоит начинать с паники. Сначала определите, какие данные вы обрабатываете, что именно запрашивают клиенты и какие меры контроля у вас уже есть. Затем решите, нужно ли вам базовое «наведение порядка» в ИТ, консультации по комплаенсу, формальный путь к аудиту или какая-то комбинация этих шагов.

NodeBridge IT не является MSP, аудитором или компанией по безопасности. Мы не управляем системами и не получаем доступ к вашим аккаунтам. Мы предоставляем общую образовательную помощь и можем связать вас с независимым поставщиком managed IT, если вам нужна поддержка для сравнения вариантов. Вы можете узнать больше на нашей странице services или начать с get matched.