Русский военный корабль, иди нах*й.
Пожертвувати на армію
×
Упс!
Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Алгоритм вибору сертифікації з безпеки для вашої компанії

Anastasiia Ostapenko
Anastasiia Ostapenko Засновник та CEO Simple Security & Compliance
4 вересня 2022 7 хвилин читання

Вступ

ІТ-компанія, що працює на закордон, часто стикається з питанням, яка сертифікація безпеки є найкращою. Серед найпопулярніших стандартів безпеки для сертифікації є SOC 2 та ISO 27001. У цій статті ми опишемо основні критерії, які допоможуть вам обрати правильну для вас сертифікацію.

Ці стандарти збігаються приблизно на 70%. Це означає, що обидва стандарти можуть задовольнити вашу головну потребу — довести, що ваша компанія захищає інформацію клієнтів та надає надійний продукт. Але водночас стандарти різні, і їхня відмінність має велике значення. Тож зануримося в деталі і відповімо на декілька допоміжних запитань.

Алгоритм вибору правильної сертифікації для вашої компанії

Яка галузь діяльності компанії?

Ви можете працювати в будь-якій галузі — як-от фінансова, юридична, медична, логістична, консалтингова сфера або роздрібна торгівля, нерухомість, засоби масової інформації, ІТ та телекомунікації — і отримати від клієнта запит на підтвердження безпеки вашого ІТ-продукту чи послуги. Але чи впливає ваша сфера діяльності на вибір стандарту для сертифікації?

Дійсно, ваша галузь може визначати спеціальні сертифікати, як-от HITRUST для медичних установ або PCI: DSS для систем з оброблення платіжної інформації. Ці стандарти містять вимоги до безпеки даних, тому в цьому випадку ви насамперед маєте розглянути стандарти, що стосуються саме вашої сфери.

Але якщо ваша галузь не потребує спеціальних сертифікатів, то який обрати — SOC 2 чи ISO 27001? Насправді обидва можуть використовувати компанії з будь-якої сфери . Тому потрібно розглядати інші критерії для визначення кращої сертифікації. 

Стандарти SOC 2 і ISO 27001 застосовують для компаній будь-якої галузі.

Які вимоги ваших клієнтів?

Інше важливе питання полягає в тому, що вимагають ваші клієнти. Вони можуть мати доволі точні вимоги до вашої безпеки, і, відповівши на це запитання, ви зможете визначити правильний стандарт для сертифікації.

Ми також рекомендуємо вам завчасно запитувати своїх потенційних клієнтів про їхні вимоги: на початку розробки продукту, виходу на новий ринок чи пропонування послуг для нового типу клієнтів. Так ви будете знати, що від вас вимагається і підготуєте компанію заздалегідь, не втративши час і лідерську позицію на ринку.

З нашого досвіду SOC 2 зазвичай вимагають на ринку США, а ISO 27001 — на ринку ЄС, але це не є 100%-ю вимогою.

Чи надає компанія ІТ-послуги клієнтам?

SOC розшифровується як service organization controls, що означає, що стандарт SOC 2 розроблений спеціально для організацій, які надають послуги або продукти як послуги (наприклад, SaaS-рішення). А стандарт ISO 27001 застосовують до організації незалежно від того, вона надає послуги чи продукти клієнтам.

Пам'ятаєте, ми вже говорили, що стандарти ISO 27001 та SOC 2 збігаються майже у 70%? Таким чином, 30% стандарту SOC 2, які не охоплюють вимог ISO 27001, стосуються вимог до безпеки організацій сервісного типу.

SOC 2 розробили спеціально для організацій, що надають ІТ-послуги, а ISO 27001 можна використовувати для організацій будь-якого типу.

Як швидко вам потрібно отримати докази вашої безпеки (звіт у випадку SOC 2 та сертифікат у випадку ISO)?

Обидва стандарти забезпечують гнучкість, яку частину організації сертифікувати – це називається «скоупом» сертифікації. Зазвичай, це частина компанії, яка виробляє та надає послуги чи продукти клієнтам та має доступ або оброблює клієнтську інформацію. Скоуп охоплює організаційні підрозділи, відділи або команди, ІТ-системи і фізичні локації компанії. Таким чином, ви можете обмежити скоуп тільки тими компонентами, які є критичними для ваших клієнтів.

Стандарт SOC 2 надає ще більше гнучкості:

  • Ви можете обрати для сертифікації лише частину стандарту. Так, SOC 2 має декілька частин, їх називають принципами довірчих послуг: безпека, доступність, конфіденційність, цілісність обробки та захист персональних даних. І компанія може сертифікуватися відповідно до одного чи декількох принципів. Це може значно скоротити час і зусилля, необхідних для підготовки до аудиту. ISO 27001 не надає можливості вибрати частину стандарту для відповідності – вам потрібно запровадити всі вимоги. 
  • SOC 2 має два типи звіту. Перший тип звіту ("SOC 2 Type 1") можна отримати відразу після того, як ви розробите та запровадите заходи безпеки відповідно до вимог стандарту. Другий тип звіту ("SOC 2 Type 2") можна отримати тільки після певного періоду, як вимоги були впроваджені. Зазвичай, мінімальний термін становить шість місяців. Водночас сертифікат ISO 27001 можна отримати як мінімум після півроку, як ви впровадили всі вимоги. 

Строки отримання звіту SOC 2 та сертифіката ISO 27001 можуть виглядати так:

SOC 2 Type 1 звіт можна отримати приблизно за 4 місяці:

  • 3 місяці для підготовки,
  • 1 місяць аудиту.

Сертифікат ISO 27001 можна отримати приблизно за рік:

  • 5 місяців для підготовки,
  • 6 місяців роботи заходів безпеки,
  • 1 місяць аудиту.

Важливо, що обсяг і час підготовки впливатимуть на витрати для підготовки до аудиту. Таким чином, отримання відповідності  SOC 2 є дешевшим, ніж ISO 27001.

SOC 2 Type 1 звіт можна отримати приблизно за 4 місяці, тоді як ISO 27001 сертифікацію можна отримати за рік. Таким чином, SOC 2 може бути дешевшим, ніж ISO 27001.

Що пропонують ваші конкуренти?

Ви також можете проаналізувати сертифікати своїх конкурентів, щоб підтвердити своє припущення щодо найкращої сертифікації безпеки для вашої компанії.

Але потрібно розуміти, що отримання всіх можливих сертифікатів безпеки не є обов'язковим, навіть якщо це роблять ваші конкуренти. Вам потрібно зосередитися на цілях вашої компанії та задовільнити вимоги саме ваших клієнтів. Таким чином ви зможете забезпечити баланс ресурсів, необхідних для підготовки, аудиту та підтримки відповідності стандарту.

Ваш вибір стандарту безпеки має ґрунтуватися на потребах вашої компанії та клієнтів, навіть якщо ваші конкуренти роблять інакше.

Який стандарт буде краще відповідати цілям безпеки вашої компанії?

Хоча в обох випадках вам потрібно впровадити заходи безпеки, ISO 27001 також вимагає від вас створити план перегляду та вдосконалення вашої системи управління інформаційною безпекою (СУІБ).

Основна ідея системи управління полягає в тому, що організація проактивно ставиться до забезпечення захисту своїх ІТ-систем та інфраструктури. Це означає, що:

  • Компанія визначає ролі та відповідальність за безпеку, всебічно залучаючи керівництво.
  • Щорічно планує цілі безпеки.
  • Виконує періодичні перевірки стану безпеки.
  • Покращує заходи безпеки для ефективного керування новими ризиками.

Впровадження цієї системи управління потребує ресурсів і залучення топменеджменту, не всі компанії можуть собі це дозволити. Але після впровадження основних заходів безпеки за стандартом SOC 2 ми рекомендуємо перевести безпеку компанії на наступний рівень зрілості, впровадивши вимоги ISO 27001.

Розглядайте SOC 2 як набір вимог безпеки, які слід запровадити та ефективно виконувати. Розглядайте ISO 27001 як систему управління цими заходами безпеки, яка гарантує, що безпека відреагує на нові загрози безпеки та допоможе досягти бізнес-цілей.
Якщо ви хочете поділитися з читачами SPEKA власним досвідом, розповісти свою історію чи опублікувати колонку на важливу для вас тему, долучайтеся. Відтепер ви можете зареєструватися на сайті SPEKA і самостійно опублікувати свій пост.
0
Прокоментувати
Інші матеріали

Український стартап Zeely App за два місяці збільшив свій дохід на 300%

Вадим Добровольський 5 годин тому

Україна скликає IT-спеціалістів Європи для розроблення рішень з відбудови країни

Вадим Добровольський 10 годин тому

Як змінився світ та чого чекати далі. Тиждень у спільноті

Наталія Миронова 18 годин тому

Іноземні ІТ-спеціалісти зможуть віддалено працювати в Україні

Вадим Добровольський 30 вересня 2022 16:55

У Львові стартувала ІТ Arena 2022. Сьогодні пітчать стартапи та чекають Халука Байрактара і Сергія Притулу

Юлія Даниленко 30 вересня 2022 10:29