Standardi u bezbednosti informacija
SOC 2 “Service Organization Control 2” je standard za sigurnost podataka koji je razvio Američki institut za reviziju (AICPA) kako bi se ocenilo kako organizacije upravljaju i štite podatke svojih klijenata. Ovaj standard je posebno važan za pružanje usluga u cloud-u, IT kompanije, pružaoce usluga obrade podataka i slične organizacije koje manipulišu osetljivim podacima.
Standard SOC 2 definiše kriterijume upravljanja podacima o klijentima na osnovu pet principa usluga poverenja
- Sigurnost: Sistemi i podaci u okviru organizacije su zaštićeni od neovlaštenog pristupa i zloupotrebe.
- Dostupnost: Sistemi su dostupni kada je potrebno da korisnici pristupaju.
- Obrada podataka: Podaci se obrađuju tačno, potpuno, ispravno u skladu sa potrebama korisnika.
- Poverljivost: Informacije su zaštićene od neovlaštenog pristupa.
- Privatnost: Spremnost za prikupljanje, upotrebu, zadržavanje, otkrivanje i uništavanje ličnih podataka u skladu s politikama tvrtke i primenjivim zahtevima privatnosti.
Nakon što organizacija usaglasi sistem i izvrši proveru SOC 2, kompanija dobija SOC 2 izveštaj koji potvrđuje usaglašenost sa standardom bezbednosti. Ovakav izveštaj može biti dragocen alat u pregovorima s klijentima i pokazatelj predanosti zaštiti podataka kao i osiguranju pouzdanosti svojih usluga.
Pitanja koja vam mogu pomoći da bolje razumete koji standard bi bio najbolji izbor za vašu organizaciju u odnosu na vaše specifične potrebe i okolnosti:
- Koja je priroda vaše delatnosti?
SOC 2 se često koristi za pružaoce usluga, posebno one koji rukuju podacima klijenata u cloudu. Ako vaša organizacija pruža usluge i obrađuje osetljive podatke klijenata, SOC 2 može biti koristan, dok je ISMS šire primenjiv i može se koristiti u različitim sektorima i delatnostima.
- Kakav nivo međunarodne prepoznatljivosti vam je potreban?
ISO 27001 je standard sa sertifikacijom koju priznaje globalno tržište, za razliku od SOC 2 koji se ne sertifikuje, ali izveštaji mogu biti važni za klijente i partnere.
- Koliki su vaši resursi za implementaciju i održavanje standarda?
ISO 27001 može biti zahtevniji kada su u pitanju resursi i vreme za implementaciju zbog opsežnog sistema upravljanja sigurnošću informacija. S druge strane, SOC 2 može biti manje zahtevan za implementaciju, jer se fokusira na specifične kontrolne tačke.
- Koji su vaši dugoročni ciljevi?
SOC 2 fokusiran je na tretnutno stanje kontrola i usklađenost sa specifičnim zahtebima. ISO 27001 pruža okvir za stalno unapređenje sistema upravljanja bezbednošću infomarcija.
- Kakve zahteve imaju vaši klijenti?
Ukoliko vaši klijenti ili regulatorna tela zahtevaju određeni standard, to može biti ključan faktor u odabiru.
Prednosti iz posedovanja oba standarda
Iako pokrivaju slične kontrole, vaš klijent obično neće prihvatiti jedan standard usaglašenosti umesto drugog. Kada imate i ISO 27001 i SOC 2, možete da radite sa klijentima iz celog sveta bez ograničavanja vašeg poslovanja.
Kada implementirate bezbedne protokole i za SOC 2 i za ISO 27001, imate više kontrole za zaštitu podataka o klijentima.
Šta je NIST?
NIST je nacionalni institute za standard i tehnologije pri Ministarstvu trgovine SAD.
NIST razvija standarde, smernice, najbolje prakse i druge resurse za sajber bezbednost kako bi zadovoljili potrebe američke industrije, saveznih agencija i šire javnosti.
Neki od zadataka NIST-a u oblasti sajber bezbednosti su definisani saveznim statutima, izvršnim uredbama i politikama. Na primer, Kancelarija za upravljanje i budžet (OMB) nalaže da sve savezne agencije implementiraju NIST-ove standarde sajber bezbednosti i smernice za nenacionalne bezbednosne sisteme. Aktivnosti u oblasti bezbednosti sajbera takođe su vođene potrebama američke industrije i šire javnosti.
Prioritetne oblasti kojima NIST doprinosi i na koje se planira da se više fokusira uključuju kriptografiju, obrazovanje i radnu snag, nove tehnologije, upravljanje rizikom.
Komparacija SOC 2, NIST i ISO 27001
Sigurnosni standardi poput SOC 2, NIST i ISO 27001 imaju različite svrhe i fokusiraju se na različite aspekte informacione sigurnosti.
Ukratko, dok su SOC 2 i ISO 27001 fokusirani na informacionu bezbednost, sa različitim pristupima i obimima, NIST pruža opsežne smernice koje se koriste široko, posebno u javnom sektoru u SAD.