Wspólne ramowe zasady kontroli Atlassian
Podobnie jak wiele innych firm, Atlassian musi uwzględniać wiele międzynarodowych norm dotyczących środków kontroli, które mają zastosowanie do naszych środowisk tworzenia produktów i operacyjnych. Zdecydowaliśmy się przeprowadzić ocenę w celu wskazania obszarów wspólnych dla wielu spośród tych niezależnych norm, aby zyskać pojedynczą wizję zastosowania tych norm do naszych środowisk wewnętrznych. Głównym środowiskiem, w którym wdrażamy te normy, jest nasza platforma hostingowa w chmurze. Mamy świadomość, że musimy wykazać, że podejmujemy odpowiednie wysiłki w celu ochrony naszych klientów oraz ich danych. Jednak nie wszystkie spośród tych norm mają zastosowanie do każdego środowiska. Na przykład ustawa Sarbanes-Oxley (SOX) dotyczy systemów obsługujących nasze sprawozdania finansowe, a nasze usługi w chmurze pełnią tu w najlepszym razie rolę drugorzędną. Przyjrzyjmy się zatem normom, które poddajemy ewaluacji, i przeanalizujmy cele takiej oceny.
Obowiązujące normy międzynarodowe
Poniżej znajduje się lista norm, które zostały uwzględnione w naszych wspólnych ramowych zasadach kontroli:
Standard | Sponsor |
| ISO 27001 | Międzynarodowa Organizacja Normalizacyjna (ISO) |
| ISO 27002 | Międzynarodowa Organizacja Normalizacyjna (ISO) |
| ISO 27018 | Międzynarodowa Organizacja Normalizacyjna (ISO) |
| SOC2 | Amerykański Instytut Biegłych Rewidentów (AICPA) |
| NIST SP 800-53 Rev 4 | Narodowy Instytut Standaryzacji i Technologii (USA) |
| FedRAMP | Rząd federalny Stanów Zjednoczonych |
| CCM CSA | Cloud Security Alliance |
| HIPAA | Rząd federalny Stanów Zjednoczonych |
| SOX 404 (IT) | Rząd federalny Stanów Zjednoczonych |
| PCI DSS | Rada ds. norm bezpieczeństwa PCI |
Wspólne ramowe zasady kontroli
Jak można zauważyć w powyższej tabeli, istnieje szereg różnych i odmiennych wymagań, przy czym wiele z nich dotyczy tych samych środowisk, systemów lub zespołów. Aby nieco ułatwić naszym zespołom zrozumienie podobieństw między wieloma z tych norm i obszarów, w których ich wymagania się pokrywają, dokonaliśmy oceny każdego wymogu dotyczącego kontroli, wskazując obszary wspólne — miejsca, w których każda z norm odnosiła się zasadniczo do ewaluacji tej samej domeny. W ten sposób udało nam się opracować wspólne ramowe zasady kontroli, które można z łatwością odnieść do każdej z norm.
Wnioski
Organizacja wspólnych ramowych zasad kontroli Atlassian stanowiła ważny krok, który pozwolił naszym zespołom zastosować podejście „zmierz dwa razy, tnij raz”. Zamiast wielokrotnego zadawania pytań wielu różnym zespołom wykorzystaliśmy skuteczność tych zasad ramowych do zdefiniowania obszarów, w których można zorganizować i zastosować środki kontroli tak, aby cała firma mogła zrozumieć wymagania i sposób, w jaki każda część naszej organizacji działa wspólnie, aby zasłużyć na zaufanie wszystkich naszych klientów.