Standardi u bezbednosti informacija ISO standardi INTERCERT Srbija

Standardi u bezbednosti informacija

SOC 2 “Service Organization Control 2” je standard za sigurnost podataka koji je razvio Američki institut za reviziju (AICPA) kako bi se ocenilo kako organizacije upravljaju i štite podatke svojih klijenata. Ovaj standard je posebno važan za pružanje usluga u cloud-u, IT kompanije, pružaoce usluga obrade podataka i slične organizacije koje manipulišu osetljivim podacima.

Standard SOC 2 definiše kriterijume upravljanja podacima o klijentima na osnovu pet principa usluga poverenja

  1. Sigurnost: Sistemi i podaci u okviru organizacije su zaštićeni od neovlaštenog pristupa i zloupotrebe.
  2. Dostupnost: Sistemi su dostupni kada je potrebno da korisnici pristupaju.
  3. Obrada podataka: Podaci se obrađuju tačno, potpuno, ispravno u skladu sa potrebama korisnika.
  4. Poverljivost: Informacije su zaštićene od neovlaštenog pristupa.
  5. Privatnost: Spremnost za prikupljanje, upotrebu, zadržavanje, otkrivanje i uništavanje ličnih podataka u skladu s politikama tvrtke i primenjivim zahtevima privatnosti.

Nakon što organizacija usaglasi sistem i izvrši proveru SOC 2, kompanija dobija SOC 2 izveštaj koji potvrđuje usaglašenost sa standardom bezbednosti. Ovakav izveštaj može biti dragocen alat u pregovorima s klijentima i pokazatelj predanosti zaštiti podataka kao i osiguranju pouzdanosti svojih usluga.

Pitanja koja vam mogu pomoći da bolje razumete koji standard bi bio najbolji izbor za vašu organizaciju u odnosu na vaše specifične potrebe i okolnosti:

  1. Koja je priroda vaše delatnosti?

SOC 2 se često koristi za pružaoce usluga, posebno one koji rukuju podacima klijenata u cloudu. Ako vaša organizacija pruža usluge i obrađuje osetljive podatke klijenata, SOC 2 može biti koristan, dok je ISMS šire primenjiv i može se koristiti u različitim sektorima i delatnostima.

  1. Kakav nivo međunarodne prepoznatljivosti vam je potreban?

ISO 27001 je standard sa sertifikacijom koju priznaje globalno tržište, za razliku od SOC 2 koji se ne sertifikuje, ali izveštaji mogu biti važni za klijente i partnere.

  1. Koliki su vaši resursi za implementaciju i održavanje standarda?

ISO 27001 može biti zahtevniji kada su u pitanju resursi i vreme za implementaciju zbog opsežnog sistema upravljanja sigurnošću informacija. S druge strane, SOC 2 može biti manje zahtevan za implementaciju, jer se fokusira na specifične kontrolne tačke.

  1. Koji su vaši dugoročni ciljevi?

SOC 2 fokusiran je na tretnutno stanje kontrola i usklađenost sa specifičnim zahtebima. ISO 27001 pruža okvir za stalno unapređenje sistema upravljanja bezbednošću infomarcija.

  1. Kakve zahteve imaju vaši klijenti?

Ukoliko vaši klijenti ili regulatorna tela zahtevaju određeni standard, to može biti ključan faktor u odabiru.

Prednosti iz posedovanja oba standarda

Iako pokrivaju slične kontrole, vaš klijent obično neće prihvatiti jedan standard usaglašenosti umesto drugog. Kada imate i ISO 27001 i SOC 2, možete da radite sa klijentima iz celog sveta bez ograničavanja vašeg poslovanja.

Kada implementirate bezbedne protokole i za SOC 2 i za ISO 27001, imate više kontrole za zaštitu podataka o klijentima.

Šta je NIST?

NIST je nacionalni institute za standard i tehnologije pri Ministarstvu trgovine SAD.

NIST razvija standarde, smernice, najbolje prakse i druge resurse za sajber bezbednost kako bi zadovoljili potrebe američke industrije, saveznih agencija i šire javnosti.

Neki od zadataka NIST-a u oblasti sajber bezbednosti su definisani saveznim statutima, izvršnim uredbama i politikama. Na primer, Kancelarija za upravljanje i budžet (OMB) nalaže da sve savezne agencije implementiraju NIST-ove standarde sajber bezbednosti i smernice za nenacionalne bezbednosne sisteme. Aktivnosti u oblasti bezbednosti sajbera takođe su vođene potrebama američke industrije i šire javnosti.

Prioritetne oblasti kojima NIST doprinosi i na koje se planira da se više fokusira uključuju kriptografiju, obrazovanje i radnu snag, nove tehnologije, upravljanje rizikom.

Komparacija SOC 2, NIST i ISO 27001

Sigurnosni standardi poput  SOC 2, NIST i ISO 27001 imaju različite svrhe i fokusiraju se na različite aspekte informacione sigurnosti.

 

Ukratko, dok su SOC 2 i ISO 27001 fokusirani na informacionu bezbednost, sa različitim pristupima i obimima, NIST pruža opsežne smernice koje se koriste široko, posebno u javnom sektoru u SAD.