Розуміння відповідності SOC 1 проти SOC 2 проти SOC 3

Автор

Важливість дотримання нормативних вимог у розвитку організації

Дотримання встановлених правил та норм є ключовим аспектом для сталого розвитку будь-якої організації. Зокрема, якщо ваша компанія працює у сфері SaaS і націлена на клієнтів середнього бізнесу, то суворе дотримання відповідних нормативів та забезпечення надійного захисту даних стає критично важливим.

Часто організації намагаються обійти ці вимоги, використовуючи анкети з питань безпеки. Однак, коли клієнт запитує сертифікат SOC, стає очевидною важливість формального підтвердження відповідності стандартам.

Відповідність стандартам контролю організації обслуговування (SOC) передбачає проведення незалежного аудиту, який засвідчує наявність конкретних механізмів контролю у вашій організації. Ця відповідність охоплює не лише внутрішні процеси, але й ланцюг постачання та кібербезпеку.

У квітні 2010 року Американський інститут сертифікованих громадських бухгалтерів (AICPA) вніс зміни до стандарту SAS 70, замінивши його на більш сучасний стандарт аудиту, відомий як Заява про стандарти для атестаційних завдань (SSAE 16). Разом з аудитом SSAE 16 були запроваджені три типи звітів для оцінки ефективності засобів контролю обслуговуючої організації: SOC 1, SOC 2 і SOC 3, кожен з яких має своє призначення.

У цій статті ми детально розглянемо кожен з цих звітів SOC, їх застосування та роль у забезпеченні ІТ-безпеки. Розпочнемо!

Що таке звіт SOC?

Звіти SOC є не просто формальністю, а й важливим інструментом, який може надати конкурентну перевагу організації, заощаджуючи час і ресурси. Незалежні аудитори проводять ретельну перевірку різних аспектів діяльності організації, зокрема:

  • Доступність систем
  • Конфіденційність даних
  • Захист приватності
  • Цілісність обробки інформації
  • Загальна безпека
  • Елементи контролю кібербезпеки
  • Контрольні механізми, пов’язані з фінансовою звітністю

Звіти SOC дають можливість компаніям переконатися в надійності та етичності потенційних постачальників послуг. Хоча процес аудиту може бути непростим, він забезпечує високий рівень довіри та безпеки, підтверджуючи надійність постачальника.

Звіти SOC також відіграють важливу роль у:

  • Програмах управління постачальниками
  • Організаційному нагляді
  • Регуляторному контролі
  • Процесах управління ризиками та внутрішньому корпоративному управлінні

Чому звіт SOC є важливим?

Багато організацій, що надають послуги, такі як центри обробки даних, провайдери SaaS, кредитні установи та обробники претензій, повинні проходити аудит SOC, оскільки вони зберігають фінансову інформацію або конфіденційні дані своїх клієнтів.

Фактично, будь-яка компанія, що надає послуги іншим організаціям або користувачам, може пройти оцінку SOC. Звіт SOC не лише підтверджує легітимність компанії для потенційних клієнтів, а й виявляє слабкі місця та недоліки у ваших системах контролю, допомагаючи покращити безпеку.

Чого очікувати від оцінки SOC?

Перш ніж розпочати процес оцінки SOC, необхідно визначити, який тип звіту найкраще відповідає потребам вашої організації. Далі слідує офіційний процес, починаючи з оцінки готовності до аудиту.

Обслуговуючі організації ретельно готуються до перевірки, виявляючи потенційні попередження, недоліки та прогалини в своїх процесах. Це дозволяє компанії розробити стратегію для усунення цих недоліків та посилення слабких місць.

Хто може проводити аудит SOC?

Аудити SOC проводяться незалежними сертифікованими громадськими бухгалтерами (CPA) або аудиторськими фірмами.

AICPA встановлює професійні стандарти, які регулюють роботу аудиторів SOC, а також надає інструкції щодо планування, виконання та контролю аудиту.

Кожен аудит AICPA проходить обов’язкову перевірку. Організації або фірми, які займаються професійним обслуговуванням, можуть також залучати фахівців з інформаційних технологій та безпеки, які не є сертифікованими бухгалтерами, для підготовки до аудиту SOC. Однак, остаточний звіт повинен бути підготовлений та оприлюднений CPA.

Давайте детально розглянемо кожен звіт SOC, щоб краще зрозуміти їх функціонування.

Що таке SOC 1?

Основна мета звіту SOC 1 полягає в тому, щоб оцінити ефективність внутрішнього контролю в тих сферах, які мають вплив на фінансову звітність організації-користувача. Простіше кажучи, цей звіт показує, як послуги, що надаються організацією, впливають на фінансову звітність її клієнтів.

Що таке звіт SOC 1?

Звіт SOC 1 описує засоби контролю організації, що надає послуги, які впливають на контроль фінансової звітності організації-користувача. Він розроблений для задоволення потреб різних зацікавлених сторін. Під час аудиту бухгалтери оцінюють ефективність внутрішнього контролю обслуговуючої організації.

Існує два типи звітів SOC 1:

  • SOC 1 Тип 1: Цей звіт описує систему обслуговуючої організації на певну дату та перевіряє придатність її засобів контролю для досягнення визначених цілей.

Звіти SOC 1 типу 1 надаються лише аудиторам, керівникам та користувачам, які зазвичай працюють з організаціями, що надають послуги. Аудитор підтверджує відповідність звіту всім вимогам SSAE 16.

  • SOC 1 Тип 2: Цей звіт містить аналогічну інформацію, що й звіт SOC 1 Тип 1, але включає оцінку ефективності засобів контролю протягом певного періоду.

Звіт SOC 1 типу 2 визначає потенційні ризики, які внутрішній контроль намагається мінімізувати. Він охоплює відповідні контрольні домени та надає обґрунтовані гарантії. Також підтверджується обмеження на виконання лише дозволених та відповідних дій.

Яка мета SOC 1?

Як ми вже згадували, SOC 1 є першою частиною серії “Контроль організації обслуговування”, що стосується внутрішнього контролю фінансової звітності. Він застосовується до компаній, які безпосередньо взаємодіють з фінансовими даними партнерів та клієнтів.

Таким чином, він забезпечує надійність взаємодії між організаціями, що зберігають та передають фінансову звітність користувачів. Звіт SOC 1 допомагає інвесторам, клієнтам, аудиторам та керівництву оцінити внутрішній контроль фінансової звітності відповідно до рекомендацій AICPA.

Як підтримувати відповідність SOC 1?

Відповідність SOC 1 передбачає управління всіма елементами контролю, включеними до звіту SOC 1 протягом визначеного періоду, та забезпечення їх ефективної роботи.

Засоби контролю зазвичай включають засоби контролю ІТ, бізнес-процесів, тощо, які забезпечують достатню впевненість у досягненні цілей контролю.

Що таке SOC 2?

SOC 2, розроблений AICPA, визначає критерії для контролю та управління інформацією про клієнтів на основі п’яти принципів надійних послуг:

  • Доступність: охоплює відновлення після аварій, обробку інцидентів безпеки та моніторинг продуктивності.
  • Конфіденційність: включає шифрування, двофакторну автентифікацію (2FA) та контроль доступу.
  • Безпека: передбачає виявлення вторгнень, двофакторну автентифікацію та міжмережеві екрани.
  • Конфіденційність: включає контроль доступу, шифрування та брандмауери додатків.
  • Цілісність обробки: включає моніторинг процесів обробки та забезпечення якості.

SOC 2 є унікальним для кожної організації через свої жорсткі вимоги, на відміну від стандарту PCI DSS. Кожна компанія розробляє власний набір контролів, що відповідають її бізнес-практиці, для забезпечення відповідності численним принципам довіри.

Що таке звіт SOC 2?

Звіт SOC 2 дозволяє організаціям, що надають послуги, надавати зацікавленим сторонам інформацію про загальні заходи ІТ-безпеки.

Існує два типи звітів SOC 2:

  • SOC 2 Тип 1: описує системи постачальника та підтверджує, що їх дизайн відповідає принципам довіри.
  • SOC 2 Тип 2: надає деталі про операційну ефективність систем постачальника протягом певного періоду.

SOC 2 відрізняється від організації до організації за структурою та стандартами інформаційної безпеки, оскільки не існує чітко визначених вимог. AICPA надає критерії, які організація може використовувати, щоб продемонструвати свої засоби контролю для захисту наданих послуг.

Яка мета SOC 2?

Відповідність SOC 2 свідчить про те, що організація контролює та підтримує високий рівень інформаційної безпеки. Суворе дотримання вимог SOC 2 дозволяє організаціям гарантувати безпеку своєї важливої інформації.

Дотримання SOC 2 надає такі переваги:

  • Покращені методи захисту даних, що захищають організацію від кібератак та витоків інформації.
  • Конкурентна перевага, оскільки клієнти віддають перевагу співпраці з постачальниками послуг з надійними методами захисту даних, особливо для хмарних та ІТ-сервісів.

Відповідність SOC 2 обмежує несанкціоноване використання даних та активів, якими оперує організація. Принципи безпеки вимагають від організацій впровадження контролю доступу для захисту даних від зловмисних атак, неправомірного використання, несанкціонованого розголошення, зміни або видалення інформації.

Як підтримувати відповідність SOC 2?

Відповідність SOC 2 є добровільним стандартом, розробленим AICPA, який визначає, як організація керує інформацією про своїх клієнтів. Стандарт базується на п’яти критеріях довіри: безпека, цілісність обробки, конфіденційність, приватність та доступність.

Відповідність вимогам SOC є індивідуальною для кожної організації. Залежно від бізнес-практики, організація може обрати засоби контролю, що відповідають одному або декільком принципам довірчого обслуговування. Це поширюється на всі послуги, включаючи захист від DDoS, балансування навантаження, аналітику атак, безпеку веб-додатків, доставку контенту через CDN та інші.

Простіше кажучи, відповідність SOC 2 не є списком інструментів, процесів або контролів; вона вказує на необхідність дотримання критеріїв, важливих для підтримки інформаційної безпеки. Це дозволяє кожній організації впроваджувати найкращі процеси та практики, що відповідають її діяльності та цілям.

Основний контрольний список для відповідності SOC 2 включає:

  • Контроль доступу
  • Системні операції
  • Зниження ризику
  • Управління змінами

Що таке SOC 3?

SOC 3 є процедурою аудиту, розробленою AICPA для оцінки ефективності внутрішнього контролю обслуговуючої організації над центрами обробки даних та безпекою у хмарі. Структура SOC 3 базується на тих же критеріях довіри, що й SOC 2, а саме:

  • Безпека: системи та інформація захищені від несанкціонованого доступу, розголошення або пошкодження.
  • Цілісність процесу: обробка даних є точною, авторизованою, своєчасною та повною відповідно до вимог організації.
  • Доступність: системи та інформація доступні для використання згідно з вимогами організації.
  • Конфіденційність: персональна інформація використовується, зберігається, збирається та утилізується відповідно до вимог організації.
  • Приватність: інформація, визначена як конфіденційна, захищена згідно з вимогами організації.

В рамках SOC 3 обслуговуючі організації визначають, які з цих критеріїв довіри застосовні до їхніх послуг. Додаткові вимоги до звітності, ефективності та застосування можна знайти у відповідних стандартах.

Що таке звіт SOC 3?

Звіти SOC 3 містять ту саму інформацію, що й звіти SOC 2, але відрізняються цільовою аудиторією. Звіт SOC 3 призначений для широкого загалу та містить менш детальну інформацію, ніж SOC 2. Він розроблений для зацікавлених сторін та широкої громадськості.

Оскільки звіт SOC 3 є більш загальним, його можна вільно публікувати на веб-сайті компанії разом з печаткою відповідності. Це допомагає організації відповідати міжнародним стандартам бухгалтерського обліку.

Наприклад, AWS надає публічний доступ до звіту SOC 3.

Яка мета SOC 3?

Компанії, особливо невеликі або стартапи, часто не мають достатньо ресурсів для внутрішнього управління певними основними послугами. Тому вони часто звертаються до зовнішніх постачальників замість того, щоб створювати нові відділи для цих послуг.

Аутсорсинг може бути вигідним рішенням, але несе певні ризики. Причина полягає в тому, що організація передає дані клієнтів або конфіденційну інформацію стороннім постачальникам залежно від обраних послуг.

Тому організації повинні співпрацювати лише з тими постачальниками, які мають підтвердження відповідності SOC 3.

Відповідність SOC 3 базується на розділах 205 AT-C та 105 AT-C SSAE 18. Вона включає основну інформацію про незалежне керівництво та висновок аудитора. Це стосується всіх постачальників послуг, які зберігають інформацію про клієнтів у хмарі, включаючи PaaS, IaaS та SaaS.

Як підтримувати відповідність SOC 3?

SOC 3 є похідною версією SOC 2, тому процедура аудиту є аналогічною. Аудитори перевіряють відповідність таким політикам та засобам контролю:

Після завершення аудиту аудитор готує звіт на основі своїх висновків. Звіт SOC 3 є менш детальним, оскільки він призначений для широкої аудиторії. Обслуговуюча організація може вільно використовувати результати аудиту в маркетингових цілях, демонструючи свою надійність. Для успішного проходження аудиту сервісній організації рекомендується:

  • Ретельно обирати засоби контролю.
  • Проводити оцінку для виявлення прогалин у контролі.
  • Визначати регулярні дії.
  • Описувати кроки для сповіщення про інциденти.
  • Залучати кваліфікованого аудитора для проведення остаточної перевірки.

Тепер, коли ми розглянули кожен тип відповідності, давайте розберемося з їхніми відмінностями, щоб визначити їх роль у різних компаніях.

SOC 1 проти SOC 2 проти SOC 3: відмінності

У таблиці нижче описано цілі та переваги кожного звіту SOC.

SOC 1 SOC 2 SOC 3
Опис Надає висновки щодо конструкції типу 1 та конструкції або функціонування типу 2, включаючи процедури тестування та результати. Єдиний результат для задоволення вимог партнерів щодо операцій організації, включаючи результати та процедури. Подібно до відповідності SOC 2, але містить менше інформації. Він не включає процедури тестування, результати чи засоби контролю.
Контроль Контролює вимоги, необхідні для внутрішнього контролю щодо фінансової звітності. Нефінансовий контроль оцінюється за п’ятьма Принципами довіри, важливими для предмета. Залежить від п’яти критеріїв довірчих послуг.
Розповсюдження Обмежений розподіл замовникам і аудиторам Обмежений розподіл регуляторам, клієнтам та аудиторам, як зазначено у звіті. Допомога в маркетингу клієнтів. Необмежене розповсюдження.
Прозорість Зберігає прозорість опису, контролю, процедур і результатів системи. Забезпечує такий самий рівень прозорості, як і SOC 1 Загальне розповсюдження звітів для маркетингових цілей.
Фокус Зосереджений на фінансовому контролі. Зосереджений на операційному контролі. Схожий на SOC 2, але містить менше інформації.
Системи Описує системи організації, що надає послуги. Описує системи організації, що надає послуги. Описує думку CPA щодо належного контролю організації над системою.
Звітність Повідомляє про внутрішній контроль. Повідомляє про доступність, конфіденційність, приватність, цілісність обробки та засоби контролю безпеки. Подібний до SOC 2.
Аудиторія Офіс контролера користувачів та аудитор користувача використовують SOC 1. Згідно з угодою про нерозголошення, він надається регулюючим органам, керівництву та іншим. Доступний для широкого загалу.
Потреба Більшості аудиторів «Потрібно знати». Більшості зацікавлених сторін та клієнтів «Потрібно знати». Широка громадськість.
Приклад Обробники медичних претензій. Компанія хмарного зберігання даних. Державне підприємство.

Висновок

Для визначення, який тип відповідності SOC є найбільш прийнятним для вашої організації, необхідно врахувати тип інформації, з якою ви працюєте: дані клієнтів чи власні дані.

Якщо ви надаєте послуги з обробки заробітної плати, вам може знадобитися SOC 1. Якщо ви обробляєте або розміщуєте дані клієнтів, вам слід отримати звіт SOC 2. Якщо ж вам потрібна менш формальна відповідність для маркетингових цілей, ви можете скористатися звітом SOC 3.