Разъяснение IT-комплаенса: HIPAA, PCI, SOC 2

Соответствие требованиям означает выполнение набора правил, ожиданий по безопасности или требований к документации. Для многих малых компаний это начинается тогда, когда вы работаете с определенными типами данных, принимаете платежи картами, ведете деятельность в сфере здравоохранения или продаете более крупным компаниям, которые задают вопросы по безопасности перед тем, как подписать контракт.

HIPAA, PCI и SOC 2 — это не одно и то же. HIPAA — это закон США о защищенной медицинской информации. PCI — это стандарт индустрии платежных карт для компаний, которые обрабатывают, хранят или передают данные держателей карт. SOC 2 — это структура отчетности, которую многие компании используют, чтобы показать клиентам, что у них есть меры контроля безопасности.

Важно вот что. Соответствие требованиям — это не только покупка инструмента. Обычно оно включает политики, защиту устройств, контроль доступа, резервное копирование, обучение персонала, ведение записей и регулярный пересмотр. И это не означает «идеальную безопасность». Ни один честный провайдер не обещает нулевой простой или сеть, которую невозможно взломать.

HIPAA — это Health Insurance Portability and Accountability Act (Закон о переносимости и подотчетности медицинского страхования). Если ваш бизнес обрабатывает защищенную медицинскую информацию, HIPAA может применяться. Это может касаться некоторых клиник, компаний по выставлению счетов (billing), медицинских сервисных фирм и вендоров, которые работают с организациями здравоохранения. HIPAA — про конфиденциальность, безопасность и то, как медицинская информация собирается, хранится и передается. Требования могут различаться в зависимости от вашей роли и типа данных, с которыми вы работаете.

PCI обычно относится к PCI DSS — Payment Card Industry Data Security Standard (Стандарт безопасности данных индустрии платежных карт). Если вы принимаете кредитные или дебетовые карты, PCI может быть для вас важным даже если вы очень небольшой бизнес. Конкретные требования зависят от того, как именно вы принимаете платежи. Компания, использующая защищенный платежный терминал или размещенную (hosted) страницу оплаты, может иметь более простой путь, чем компания, которая хранит данные карты или запускает собственную кастомную платежную систему.

SOC 2 — это не закон. Это независимая проверка того, как компания управляет определенными мерами контроля, обычно связанными с безопасностью и доступностью (availability). Доступность означает, что системы спроектированы так, чтобы быть пригодными к использованию так, как было обещано, а не то, что кто-то может гарантировать отсутствие сбоев. SOC 2 часто всплывает, когда более крупные клиенты просят вендора подтвердить, что безопасность — это серьезная часть их подхода. Для многих малых компаний вопрос не «Нам нужен отчет SOC 2 уже завтра?». Вопрос звучит так: «Какие меры контроля клиенты ожидают, что у нас будут, прежде чем мы сможем выиграть этот контракт?"

Если эти термины кажутся близкими, но при этом непонятными — это нормально. Хороший независимый провайдер управляемых ИТ-услуг (MSP, managed services provider) может помочь вам понять, что может применяться, и какой объем работ разумен с учетом ваших размеров и уровня риска.

Начните с данных. Уточните, какую чувствительную информацию вы собираете, где она хранится, кто имеет к ней доступ и как она проходит через ваш бизнес. Это касается ноутбуков, телефонов, электронной почты, облачных приложений, файлового хранилища, платежных систем и вендоров. В ИТ endpoint (устройство на конечной точке) — это любое отдельное устройство пользователя, например ноутбук, настольный компьютер, телефон или планшет, которое подключается к вашим системам.

Затем посмотрите на базовые меры контроля. Многие проекты по соответствию требованиям начинаются с одних и тех же практических шагов. Многофакторная аутентификация (MFA, multi-factor authentication) добавляет второй шаг помимо пароля, когда кто-то выполняет вход. Патчинг означает поддержание ПО и устройств в актуальном состоянии с исправлениями. Резервное копирование означает хранение восстанавливаемых копий важных данных. Подход «3-2-1 резервного копирования» означает три копии данных на двух разных типах носителей, при этом одна копия хранится вне площадки (offsite).

Возможно, вам также понадобятся письменные политики, проверка вендоров, обучение персонала, правила доступа и подтверждение того, что это действительно выполняется. Некоторым компаниям требуется формальная оценка рисков. Некоторым — ведение журналов (logging), мониторинг устройств и документированные шаги реагирования, если что-то пойдет не так. EDR (endpoint detection and response) — это ПО, которое помогает обнаруживать подозрительную активность на устройствах. RMM (remote monitoring and management) — это ПО, которое многие провайдеры используют, чтобы наблюдать за состоянием устройств, применять обновления и выполнять рутинное обслуживание.

Для владельца малого бизнеса главная проблема обычно — область применения (scope). Вам может не понадобиться программа уровня enterprise (корпоративного класса). Но вам нужно знать, что ожидает ваша отрасль, ваши клиенты, ваша страховая компания и любые правила штата или федеральные правила, которые применяются к вам.

Стоимость сильно различается. Реальная цифра зависит от численности, количества устройств, того, насколько сложны ваши системы, какие данные вы обрабатываете, вашей отрасли и региона. Эти диапазоны не являются коммерческими предложениями.

Если вы стартуете с базовой настройки и вам нужно улучшить управление устройствами, параметры безопасности, резервные копии и поддержку пользователей, многие малые компании тратят примерно $100–$250 на одного пользователя в месяц на постоянную поддержку управляемого ИТ и безопасность. Если работа по соответствию требованиям тяжелее, цифра может быть выше.

Разовая оценка «где есть разрыв» или проверка готовности может стоить несколько тысяч долларов для малого бизнеса, и больше — если среда крупнее или требования более регламентированы. Формальные аудиты, внешние юридические консультации, работа с политиками и специальные проекты могут добавлять отдельные расходы. Требования со стороны киберстрахования также могут увеличить объем того, что вам нужно делать.

Хорошая новость в том, что не каждой компании нужен одинаковый уровень работ. Компания, использующая стандартные облачные инструменты, защищенных платежных вендоров и небольшое количество устройств, может идти более простым путем, чем компания с кастомными системами, несколькими офисами или чувствительными записями, которые распределены по старым компьютерам и общим папкам.

Не начинайте с покупки случайных инструментов по безопасности только потому, что клиент задал сложный вопрос. Начните с определения требования. Спросите, кто именно задает вопрос, по какому стандарту или опроснику они работают, какой у вас дедлайн и нужно ли вам выполнить юридическое требование, отраслевой стандарт или просто разумную базовую политику по безопасности.

Составьте короткий список фактов о вашем бизнесе. Сколько у вас сотрудников. Сколько локаций. Какие устройства используют люди. Обрабатываете ли вы медицинскую информацию или проводите платежи картами. Какие облачные приложения поддерживают работу бизнеса. Обращались ли клиенты с запросом пройти опросник по безопасности, провести оценку рисков или предоставить отчет SOC 2. Это поможет провести полезную первую беседу.

Если вам нужна помощь в том, чтобы разобраться, NodeBridge IT поможет вам найти независимого провайдера управляемых ИТ-услуг, который работает с малыми и средними компаниями. Мы — бесплатный сервис подбора. Мы не управляем вашими системами и не имеем доступ к вашим аккаунтам. Мы используем только информацию о вашем бизнесе и контактные данные, чтобы связать вас с провайдером, который подходит под ваши задачи.

Также вы можете узнать больше о managed IT services и просмотреть другие понятные ответы по ИТ.