SOC 2. Предварительная оценка готовности и подготовка к аудиту

Для кого предназначены аудиты SOC2?

Аудиты SOC 2 нацелены на организации, которые предоставляют услуги и системы организациям-клиентам (например, облачные вычисления, программное обеспечение как услуга, платформа как услуга).

Компания-клиент может попросить обслуживающую организацию предоставить отчет по аудиту, обеспечивающего уверенность, особенно если конфиденциальные или личные данные передаются обслуживающей организации. Если организация предоставляет облачные сервисы, аудиторский отчет SOC 2 будет иметь большое значение для установления доверия с клиентами и заинтересованными сторонами. Аудит SOC 2 часто является непременным условием для сервисных организаций, чтобы сотрудничать.

Аудиты SOC 2 являются важным компонентом регулирующего надзора, программ управления поставщиками, внутреннего управления и управления рисками.

Что такое AICPA TSC?

В рамках аудита SOC 2 анализируется информация и свидетельства в отношении безопасности, доступности, целостности обработки данных и/или конфиденциальности персональных данных обслуживающей организации в соответствии с AICPA’s (American Institute of Certified Public Accountants — Американский институт сертифицированных бухгалтеров) TSC (Trust Services Criteria — Критерии доверительных услуг).

TSC — это признанный отраслевой стандарт для проведения аудита в сервисных организациях, таких как поставщики облачных услуг, поставщики и разработчики программного обеспечения, компании веб-маркетинга и организации финансовых услуг.

Критерии доверительных услуг делятся на 5 категорий и обслуживающие организации должны выбрать, какая из пяти (или все пять) категорий доверительных услуг требуется для снижения основных рисков для услуги или системы, которые они предоставляют:

1. Общие критерии – когда информация и системы защищены от несанкционированного доступа, несанкционированного раскрытия информации и повреждения систем, которые могут поставить под угрозу доступность, целостность, конфиденциальность информации или систем, и повлиять на способность организации достичь своих целей. И это единственная обязательная категория трастовых услуг.
2. Доступность – когда информация и системы доступны для работы, и использования для достижения целей организации.
3. Целостность обработки – когда информация и системы доступны для работы, и использования для достижения целей организации.
4. Конфиденциальность – когда информация, обозначенная как конфиденциальная, защищена для достижения целей организации.
5. Конфиденциальность персональных данных – когда персональные данные собираются, используется, хранятся, раскрываются и удаляются для достижения целей организации.

TSC тесно связаны со следующими стандартами:

1. ISO 27001 и ISO 27002 (менеджмент информационной безопасности)
2. PCI DSS (Стандарт безопасности данных индустрии платежных карт)
3. Стандарты безопасности HIPAA (Закон США о переносимости и подотчетности медицинского страхования)
4. NIST SP 800-53 (контроль безопасности и конфиденциальности) и SP 800-66 (реализация правила безопасности HIPAA)
5. DoD 8500.2 (реализация информационного обеспечения)
6. NERC-CIP (защита критически важной инфраструктуры)

Что содержится в аудиторском отчете SOC2?

Аудиторский отчет SOC 2 предназначен для предоставления клиентам, руководству и пользователям сервисных организаций. Отчет отражает уверенность в пригодности и эффективности средств контроля обслуживающей организации, которые имеют отношение к безопасности, доступности, целостности обработки, конфиденциальности и/или конфиденциальности персональных данных. Отчет обычно предназначен для ограниченного использования существующими и потенциальными клиентами.

Существует два типа аудитов и отчетов SOC2:

1. Тип 1 – аудит и отчет, выполненные в указанную дату.
2. Тип 2 – аудит и отчет, выполненные за определенный период, обычно не менее шести месяцев.

Отчет об аудите SOC2 включает:

1. Заключение о результатах аудита.
2. Утверждение руководства проверяемой организации.
3. Подробное описание системы или услуги.
4. Подробная информация о выбранных категориях трастовых услуг.
5. Тесты средств контроля и результаты тестирования.
6. Необязательная дополнительная информация, которую организация хочет добавить в отчет.

Отчет об аудите SOC2 также указывает, соответствует ли обслуживающая организация требованиям AICPA TSC.

Кто может проводить аудит SOC?

Аудит SOC может проводить только независимый CPA (сертифицированный общественный бухгалтер) или бухгалтерская организация.

Аудиторы SOC регулируются и должны придерживаться определенных профессиональных стандартов, установленных AICPA. От них также требуется следовать конкретным указаниям, связанным с планированием, выполнением и надзором аудиторских процедур. Члены AICPA также должны пройти экспертную оценку, чтобы убедиться, что их аудиты проводятся в соответствии с принятыми стандартами аудита.

Организации CPA могут нанимать профессионалов, не имеющих отношения к CPA, с соответствующими навыками в области информационных технологий и безопасности для участия в подготовке к аудиту SOC, но окончательный отчет должен быть предоставлен и выпущен CPA. Успешный аудит SOC, проведенный CPA, позволяет обслуживающей организации использовать логотип AICPA на своем веб-сайте.

Предварительная оценка готовности к аудиту SOC 2 и устранение недостатков

Подготовка к аудиту SOC 2 любой организации заключается в следующем:

1. Оценка готовности
   Оценивается состояние готовности к SOC 2, включая тип услуги, которую организация предлагает, категории услуг доверия, применимые к этой услуге, и меры безопасности, относящиеся к предоставлению услуги. Помимо прочего, изучаются и анализируются процессы, и процедуры организации, файлы конфигурации системных настроек, снимки экрана, подписанные документы и организационная структура.
2. Исправление недостатков
   После выявления недостатков, предоставляются рекомендации по устранению их.  По необходимости определяется объем аудита, составляется описание системы или услуги, проводится оценка рисков, выбор средств контроля, определяются измерения и показатели эффективности контроля или интеграция требований SOC2 в существующую в организации СУИБ, соответствующую ISO 27001 (систему управления информационной безопасностью).
3. Тестирование и отчетность
   Проведение необходимого тестирования и составление отчетности.

Почему RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты