Изисквания за съответствие със SOC 2: Обяснение
Alexander Sverdlov
Анализатор по сигурността
🎯 Какво обхваща това ръководство
-
Какво наистина означава съответствието със SOC 2
-
5-те критерия за доверителни услуги (TSC)
-
Необходима документация и доказателства
-
Технически и организационни области на контрол
-
Инструменти за оптимизиране на съответствието
-
Изисквания за политики и процеси
-
Как да се подготвите за одит
🧠 Какво е съответствие със SOC 2?
SOC 2 е доброволна рамка за съответствие, управлявана от AICPA. Тя се фокусира върху начина, по който организациите обработват клиентски данни, базиран на 5 критерия за доверителни услуги (TSC):
-
Security
-
Availability
-
Processing Integrity
-
Confidentiality
-
Privacy
По същество SOC 2 отговаря на:
„Можем ли да ви се доверим да защитавате и управлявате нашите данни отговорно - не само веднъж, а непрекъснато?"
🔐 5-те критерия за доверителни услуги (TSC)
| TSC | Задължителен? | Описание |
|---|---|---|
| Security | ✅ Задължителен | Защита на системите от неоторизиран достъп и промени |
| Availability | По избор | Осигуряване, че системите работят, са наблюдавани и поддържани |
| Processing Integrity | По избор | Осигуряване, че системите изпълняват предназначената си функция надеждно |
| Confidentiality | По избор | Защита на поверителна информация като изходен код, договори, PII |
| Privacy | По избор | Управление на събирането, съхранението и изтриването на данни при съгласие |
Повечето стартъпи започват само със Security. Други критерии се добавят в зависимост от индустрията.
📑 Ключова документация, която трябва да имате
| Category | Documents You’ll Need |
| Политики | Контрол на достъпа, Осведоменост по сигурността, Приемливо използване, Управление на промени |
| Процеси | Наемане/напускане, реакция при инциденти, прегледи на доставчици |
| Логове и доказателства | Одитни следи, логове от обучения, прегледи на достъпа, тестове за възстановяване |
| Управление на риска | Регистър на рисковете, инвентар на активите, анализ на въздействието |
🛡️ Основни области на контрол за SOC 2
Управление на идентичността и достъпа
-
MFA прилагане на всички системи
-
Контрол на достъпа базиран на роли (RBAC)
-
Тримесечни прегледи на достъпа, подписани от мениджъри
Сигурност на инфраструктурата
-
Сигурна облачна конфигурация (S3 не е публичен, VPC, групи за сигурност)
-
Редовно управление на корекции
-
CI/CD защитни бариери (SAST, сканиране на зависимости)
Мониторинг и логване
-
Централизирано логване (напр. CloudTrail, Datadog, Panther)
-
SIEM правила за неоторизиран достъп, ескалация на привилегии
-
Откриване на инциденти и документирани процедури за реакция
Непрекъснатост на бизнеса и възстановяване при бедствия
-
Логове от архивни задачи с доклади от учения за възстановяване
-
Анализ на бизнес въздействието
-
Определени Recovery Time Objective (RTO) и Recovery Point Objective (RPO)
Риск от доставчици и трети страни
-
Попълнен въпросник за сигурност на доставчика
-
Договорни задължения (DPA-та, SLA-та)
-
Периодична повторна оценка на критичните доставчици
⚙️ Инструменти, които улесняват процеса
| Област | Инструменти |
| GRC | Drata, Vanta, Secureframe |
| IAM | Okta, Azure AD, Google Workspace |
| Logging | AWS CloudTrail, Datadog, Panther |
| HRIS | Rippling, BambooHR, Gusto |
| Asset Mgmt | Jamf, Kandji, Intune |
| Backup | AWS Backup, Veeam, Backblaze |
📋 Политики, които трябва да поддържате
-
Access Control Policy
-
Acceptable Use Policy
-
Политика за осведоменост и обучение по сигурност
-
Change Management Policy
-
Политика за съхранение и изтриване на данни
-
Incident Response Policy
-
Политика за управление на доставчици
Всички политики трябва да:
-
Бъдат с контрол на версиите
-
Се преглеждат ежегодно
-
Бъдат потвърдени от всички служители
✅ Контролен списък за готовност за одит
| Изискване | Статус |
| MFA активирано за облачни и SaaS системи | ☐ |
| Тримесечни прегледи на достъпа документирани | ☐ |
| Политики одобрени и потвърдени | ☐ |
| Тест за реакция при инциденти завършен | ☐ |
| Тестове за архивиране и възстановяване проверени | ☐ |
| Оценки на доставчици с подписани DPA-та | ☐ |
| Наемане/напускане на служители проследено | ☐ |
| Инвентар на активите актуален | ☐ |
📎 Заключителни мисли
SOC 2 compliance isn’t just about checking boxes. It’s about:
-
Намаляване на реалните рискове за сигурността
-
Изграждане на доверие у купувача
-
По-бързо сключване на сделки
-
Правене на сигурността оперативна - не само амбициозна
Ready to prepare for a real audit? Let’s build your evidence and checklist library.
Вижте също: Best Practices for CPS 234 Incident Response in Australia
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.