ACSC — Essential 8 Maturity Model (model dojrzałości Essential 8) — przegląd wytycznych 2023

Wyłączenie odpowiedzialności

Przedstawione wytyczne dotyczą wyłącznie sposobu, w jaki klienci korzystający z usług chmurowych w sektorze publicznym i organizacje korporacyjne uznane za podmioty regulowane przez Australian Cyber Security Center (ACSC) rozpatrują te wytyczne w odniesieniu wyłącznie do produktów Atlassian Cloud i świadczonych przez firmę usług.

Niniejszy raport ma charakter wyłącznie informacyjny i zawiera wytyczne dla klientów korzystających z usług chmurowych firmy Atlassian na temat jej zgodności z Cloud Computing Security for Cloud Service Providers (bezpieczeństwo przetwarzania w chmurze dla dostawców usług chmury). Równolegle zapewniamy dedykowany oficjalny dokument Wspólna odpowiedzialność, w którym omówiono różne obowiązki spoczywające na CSP i klientach. Model wspólnej odpowiedzialności nie zwalnia klientów korzystających z produktów Atlassian Cloud z odpowiedzialności ani nie eliminuje ryzyka, które ponoszą, jednak pomaga ich odciążyć, ponieważ to my zarządzamy komponentami systemu i je kontrolujemy, a także sprawujemy fizyczną kontrolę nad obiektami. Ponadto w ten sposób część kosztów związanych z zapewnianiem bezpieczeństwa i zgodności z przepisami zostaje przeniesiona z klientów na firmę Atlassian.

Więcej informacji o naszym zobowiązaniu do ochrony danych klientów można znaleźć na naszej stronie Praktyk bezpieczeństwa.

Strategia migracji	Pierwszy poziom dojrzałości	Drugi poziom dojrzałości	Trzeci poziom dojrzałości	Odpowiedź Atlassian
Kontrola aplikacji	Pierwszy poziom dojrzałości Uniemożliwiono wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów, instalatorów, skompilowanego kodu HTML, aplikacji HTML i apletów panelu sterowania na stacjach roboczych z poziomu standardowych profili użytkowników oraz folderów tymczasowych używanych przez system operacyjny, przeglądarki internetowe i klienty poczty e-mail.	Drugi poziom dojrzałości Kontrola aplikacji odbywa się na stacjach roboczych i serwerach z dostępem do Internetu. Kontrola aplikacji ogranicza wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów, instalatorów, skompilowanego kodu HTML, aplikacji HTML i apletów panelu sterowania do zestawu zatwierdzonego przez organizację. Rejestruje się zdarzenia dopuszczonego i zablokowanego wykonywania na stacjach roboczych i serwerach z dostępem do Internetu.	Trzeci poziom dojrzałości Kontrola aplikacji jest wdrożona na stacjach roboczych i serwerach. Kontrola aplikacji ogranicza wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów, instalatorów, skompilowanego kodu HTML, aplikacji HTML, apletów panelu sterowania i sterowników do zestawu zatwierdzonego przez organizację. Zaimplementowano „zalecane reguły blokowania” firmy Microsoft. Zaimplementowano „zalecane reguły blokowania sterowników” firmy Microsoft. Zestawy reguł kontroli aplikacji są zatwierdzane co najmniej raz w roku lub częściej. Rejestruje się zdarzenia dopuszczonego i zablokowanego wykonywania na stacjach roboczych i serwerach są rejestrowane centralnie. Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem. Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.	Odpowiedź Atlassian Korzystanie z programów narzędziowych w środowisku produkcyjnym jest ograniczone i kontrolowane. Wszystkie serwery są konfigurowane przy użyciu naszego scentralizowanego systemu konfiguracji Puppet do naszego standardowego środowiska operacyjnego, co obejmuje usuwanie wybranych pakietów z domyślnego obrazu i krytyczne aktualizacje pakietów. Wszystkie role serwera zakładają domyślne odrzucanie wszystkich przychodzących żądań sieciowych, przy czym wybrane porty są otwierane tylko dla innych ról serwera, których funkcjonowanie wymaga dostępu do tego portu. Nasza sieć korporacyjna jest odseparowana od naszej sieci produkcyjnej, a obrazy naszych maszyn mają ograniczone funkcjonalności, aby zezwalać tylko na niezbędne porty i protokoły. Wszystkie systemy produkcyjne są obecnie hostowane w Stanach Zjednoczonych, w regionach działalności naszego dostawcy chmury. Wszystkie dane przesyłane poza wzmocnionymi sieciami wirtualnych chmur prywatnych (VPC) są szyfrowane za pośrednictwem kanałów zgodnych ze standardami branżowymi. Ponadto na wszystkich serwerach produkcyjnych działa system IDS, który obejmuje monitorowanie w czasie rzeczywistym i powiadamianie o wszelkich zmianach w plikach systemu produkcyjnego lub konfiguracji oraz o anomaliach w zabezpieczeniach.
Aplikacje poprawek	Pierwszy poziom dojrzałości Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach. Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk. Skaner luk w zabezpieczeniach jest stosowany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach usług internetowych. Skaner luk w zabezpieczeniach jest używany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji pod kątem luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem. Poprawki, aktualizacje lub inne środki ograniczające przewidziane przez dostawców i dotyczące luk w zabezpieczeniach usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki. Poprawki, aktualizacje lub inne ograniczenia dostawców przewidziane przez dostawców i dotyczące luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem, wdrażane są w ciągu miesiąca od wydania. Usługi wymagające połączenia z Internetem, pakiety narzędzi biurowych, przeglądarki internetowe i ich rozszerzenia, klienty poczty e-mail, oprogramowanie do przeglądania plików PDF oraz produkty związane z bezpieczeństwem, które przestały być wspierane przez swoich dostawców, są usuwane.	Drugi poziom dojrzałości Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach. Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk. Skaner luk w zabezpieczeniach jest stosowany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach usług internetowych. Skaner luk w zabezpieczeniach jest używany co najmniej raz w tygodniu w celu identyfikowania brakujących poprawek lub aktualizacji pod kątem luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem. Skaner luk w zabezpieczeniach jest stosowany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach innych aplikacji. Poprawki, aktualizacje lub inne środki ograniczające przewidziane przez dostawców i dotyczące luk w zabezpieczeniach usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki. Poprawki, aktualizacje lub inne ograniczenia dostawców przewidziane przez dostawców i dotyczące luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem, wdrażane są w ciągu dwóch tygodni od wydania. Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach innych aplikacji są wdrażane w ciągu miesiąca od wydania. Usługi wymagające połączenia z Internetem, pakiety narzędzi biurowych, przeglądarki internetowe i ich rozszerzenia, klienty poczty e-mail, oprogramowanie do przeglądania plików PDF oraz produkty związane z bezpieczeństwem, które przestały być wspierane przez swoich dostawców, są usuwane.	Trzeci poziom dojrzałości Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach. Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk. Skaner luk w zabezpieczeniach jest stosowany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach usług internetowych. Skaner luk w zabezpieczeniach jest używany co najmniej raz w tygodniu w celu identyfikowania brakujących poprawek lub aktualizacji pod kątem luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem. Skaner luk w zabezpieczeniach jest stosowany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach innych aplikacji. Poprawki, aktualizacje lub inne środki ograniczające przewidziane przez dostawców i dotyczące luk w zabezpieczeniach usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki. Poprawki, aktualizacje lub inne ograniczenia dostawców przewidziane przez dostawców i dotyczące luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem, wdrażane są w ciągu dwóch tygodni od wydania bądź w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki. Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach innych aplikacji są wdrażane w ciągu miesiąca od wydania. Aplikacje, które nie są już wspierane przez swoich dostawców, są usuwane.	Odpowiedź Atlassian Wszystkie nasze produkty i oferowane usługi są objęte rozbudowanym procesem usuwania błędów (w którym wykorzystujemy nasz własny produkt Jira do rejestrowania zgłoszeń i ułatwiania zarządzania rozwiązywaniem wniosków). U jego podstaw leżą liczne zasady dotyczące naprawiania błędów zabezpieczeń, usługi doradcze oraz poziomy SLO, których przestrzegamy. Przyjmujemy zgłoszenia błędów za pośrednictwem naszego kanału wsparcia, programu wykrywania błędów oraz pod adresem security@atlassian.com. W naszym Centrum zaufania można znaleźć więcej informacji na temat naszych SLO poprawek błędów zabezpieczeń. Więcej informacji na temat naszego podejścia do testowania zabezpieczeń można również znaleźć w naszym Centrum zaufania: Podejście do zewnętrznych testów zabezpieczeń Zespół ds. bezpieczeństwa Atlassian wykorzystuje wiele metod wykrywania luk w zabezpieczeniach, zarówno w infrastrukturze wewnętrznej, jak i zewnętrznej. Zgłoszenia Jira są tworzone w celu śledzenia i naprawiania błędów, a terminy ustala się zgodnie z naszymi poziomami SLO, z uwzględnieniem zarówno ważności, jak i źródła luki w zabezpieczeniach. Prowadzimy ciągły proces tworzenia zgłoszeń dotyczących rozpoznanych luk w zabezpieczeniach kierowanych do właścicieli systemów, a nasz zespół ds. zarządzania bezpieczeństwem sprawdza każdą zgłoszoną lukę w zabezpieczeniach i dba o podjęcie stosownych działań zaradczych.
Konfigurowanie ustawienia makr pakietu Microsoft Office	Pierwszy poziom dojrzałości Makra pakietu Microsoft Office są wyłączone dla użytkowników, którzy nie wykazali, że są one niezbędne w ich pracy. Makra pakietu Microsoft Office w plikach pochodzących z Internetu są blokowane. Skanowanie antywirusowe makr pakietu Microsoft Office jest włączone. Użytkownicy nie mogą zmieniać ustawień zabezpieczeń dotyczących makr pakietu Microsoft Office.	Drugi poziom dojrzałości Makra pakietu Microsoft Office są wyłączone dla użytkowników, którzy nie wykazali, że są one niezbędne w ich pracy. Makra pakietu Microsoft Office w plikach pochodzących z Internetu są blokowane. Skanowanie antywirusowe makr pakietu Microsoft Office jest włączone. Makra pakietu Microsoft Office są zablokowane przed wykonywaniem wywołań interfejsu API Win32. Użytkownicy nie mogą zmieniać ustawień zabezpieczeń dotyczących makr pakietu Microsoft Office. Zdarzenia dopuszczenia i zablokowania zdarzeń wykonywania makr pakietu Microsoft Office są rejestrowane.	Trzeci poziom dojrzałości Makra pakietu Microsoft Office są wyłączone dla użytkowników, którzy nie wykazali, że są one niezbędne w ich pracy. Dopuszczalne jest jedynie wykonywaniem makr pakietu Microsoft Office uruchamianych ze środowiska piaskownicy, zaufanej lokalizacji lub makr podpisanych cyfrowo przez zaufanego wydawcę. Tylko użytkownicy mający specjalne uprawnienia, odpowiedzialni za sprawdzenie, czy makra pakietu Microsoft Office nie zawierają złośliwego kodu, mogą zapisywać i modyfikować treści w zaufanych lokalizacjach. Makr pakietu Microsoft Office podpisanych cyfrowo przez niezaufanego wydawcę nie można włączyć za pomocą paska komunikatów ani widoku Backstage. Lista zaufanych wydawców pakietu Microsoft Office jest sprawdzana nie rzadziej niż co roku. Makra pakietu Microsoft Office w plikach pochodzących z Internetu są blokowane. Skanowanie antywirusowe makr pakietu Microsoft Office jest włączone. Makra pakietu Microsoft Office są zablokowane przed wykonywaniem wywołań interfejsu API Win32. Użytkownicy nie mogą zmieniać ustawień zabezpieczeń dotyczących makr pakietu Microsoft Office. Zdarzenia dopuszczenia i zablokowania zdarzeń wykonywania makr pakietu Microsoft Office są centralnie rejestrowane. Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem. Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.	Odpowiedź Atlassian Atlassian współpracuje z zewnętrznymi podwykonawcami przy dostarczaniu witryn internetowych, tworzeniu aplikacji, hostingu, konserwacji, tworzeniu kopii zapasowych, przechowywaniu danych, infrastrukturze wirtualnej, przetwarzaniu płatności, analizie i innych usługach. Ci dostawcy usług mogą mieć dostęp do identyfikowalnych danych osobowych lub przetwarzać je w celu świadczenia tych usług dla nas. Atlassian informuje swoich klientów o korzystaniu z usług podwykonawców, którzy mogą przetwarzać ich dane osobowe, poprzez powiadomienie przed rozpoczęciem przetwarzania. Zewnętrzna lista podwykonawców, z którymi współpracuje Atlassian, znajduje się na stronie podrzędnych podmiotów przetwarzających dane tutaj: Lista podwykonawców podrzędnych podmiotów przetwarzających dane. Na stronie tej odwiedzających prosi się o subskrybowanie kanału RSS, aby otrzymywać powiadomienia o dodaniu nowych podrzędnych podmiotów Atlassian przetwarzających dane. Z myślą o naszej flocie laptopów typu Mac wdrożyliśmy scentralizowane rozwiązanie do zarządzania systemem (Mobile Device Management). Na potrzeby naszych urządzeń końcowych z systemem Windows oraz smartfonów wdrożyliśmy rozwiązanie do zarządzania urządzeniami mobilnymi (VMware Workplace ONE).
Wzmacnianie aplikacji użytkownika	Pierwszy poziom dojrzałości Przeglądarki internetowe nie przetwarzają języka Java z Internetu. Przeglądarki internetowe nie przetwarzają reklam internetowych. Internet Explorer 11 nie przetwarza treści z Internetu. Użytkownicy nie mogą zmieniać ustawienia zabezpieczeń przeglądarki internetowej.	Drugi poziom dojrzałości Przeglądarki internetowe nie przetwarzają języka Java z Internetu. Przeglądarki internetowe nie przetwarzają reklam internetowych. Internet Explorer 11 nie przetwarza treści z Internetu. Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla przeglądarek internetowych. Użytkownicy nie mogą zmieniać ustawienia zabezpieczeń przeglądarki internetowej. Zablokowano możliwość tworzenia procesów podrzędnych przez Microsoft Office. Zablokowano możliwość tworzenia zawartości wykonywalnej przez Microsoft Office. Zablokowano możliwość wstrzykiwania kodu do innych procesów przez Microsoft Office. Pakiet Microsoft Office jest skonfigurowany tak, aby uniemożliwiać aktywację pakietów OLE. Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla pakietu Microsoft Office. Użytkownicy nie mogą zmieniać ustawień zabezpieczeń pakietu Microsoft Office. Zablokowano możliwość tworzenia procesów podrzędnych przez oprogramowanie PDF. Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla oprogramowania PDF. Użytkownicy nie mogą zmieniać ustawień zabezpieczeń oprogramowania PDF. Zablokowane zdarzenia wykonywania skryptów PowerShell są rejestrowane.	Trzeci poziom dojrzałości Przeglądarki internetowe nie przetwarzają języka Java z Internetu. Przeglądarki internetowe nie przetwarzają reklam internetowych. Przeglądarka Internet Explorer 11 jest wyłączona lub usunięta. Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla przeglądarek internetowych. Użytkownicy nie mogą zmieniać ustawienia zabezpieczeń przeglądarki internetowej. Zablokowano możliwość tworzenia procesów podrzędnych przez Microsoft Office. Zablokowano możliwość tworzenia zawartości wykonywalnej przez Microsoft Office. Zablokowano możliwość wstrzykiwania kodu do innych procesów przez Microsoft Office. Pakiet Microsoft Office jest skonfigurowany tak, aby uniemożliwiać aktywację pakietów OLE. Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla pakietu Microsoft Office. Użytkownicy nie mogą zmieniać ustawień zabezpieczeń pakietu Microsoft Office. Zablokowano możliwość tworzenia procesów podrzędnych przez oprogramowanie PDF. Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla oprogramowania PDF. Użytkownicy nie mogą zmieniać ustawień zabezpieczeń oprogramowania PDF. Program .NET Framework 3.5 (w tym .NET 2.0 i 3.0) jest wyłączony lub usunięty. Program Windows PowerShell 2.0 jest wyłączony lub usunięty. Program PowerShell jest skonfigurowany pod kątem korzystania z trybu ograniczonego języka. Zablokowane zdarzenia wykonywania skryptów PowerShell są rejestrowane centralnie. Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem. Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.	Odpowiedź Atlassian Kompilacje podstawowego obrazu systemu operacyjnego AWS Linux AMI mają ograniczone porty, protokoły i usługi. Porównujemy nasze kompilacje z obecną wersją AMI, aby zapewnić odpowiednie ustawienia. Nasze obrazy Docker są zarządzane w ściśle kontrolowanym środowisku zmian, aby umożliwić odpowiedni przegląd i zatwierdzanie wszelkich zmian. Nasze punkty końcowe są wzmocnione, aby chronić naszych użytkowników, jednak nie ograniczamy dostępu do portów sprzętowych. Używamy zewnętrznego produktu proxy HTTP dla naszej publicznej krawędzi Jira/Confluence i wdrożyliśmy w niej reguły zabezpieczeń HTTP warstwy 7. (można to nazwać WAF — funkcjonalność jest zasadniczo taka sama).
Ogranicz uprawnienia administracyjne	Pierwszy poziom dojrzałości Wnioski o uprzywilejowany dostęp do systemów i aplikacji są weryfikowane z chwilą ich otrzymania po raz pierwszy. Konta uprzywilejowane (z wyłączeniem uprzywilejowanych kont usług) nie mają dostępu do Internetu, poczty elektronicznej ani usług internetowych. Uprzywilejowani użytkownicy korzystają z oddzielnych uprzywilejowanych i nieuprzywilejowanych środowisk. Nieuprzywilejowane konta nie mogą logować się do uprzywilejowanych środowisk operacyjnych. Konta uprzywilejowane (z wyłączeniem kont administratorów lokalnych) nie mogą logować się do nieuprzywilejowanych środowisk operacyjnych.	Drugi poziom dojrzałości Wnioski o uprzywilejowany dostęp do systemów i aplikacji są weryfikowane z chwilą ich otrzymania po raz pierwszy. Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 12 miesiącach, chyba że zostanie ponownie zatwierdzony. Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 45 dniach braku aktywności. Konta uprzywilejowane (z wyłączeniem uprzywilejowanych kont usług) nie mają dostępu do Internetu, poczty elektronicznej ani usług internetowych. Uprzywilejowani użytkownicy korzystają z oddzielnych uprzywilejowanych i nieuprzywilejowanych środowisk. Uprzywilejowane środowiska operacyjne nie są wirtualizowane w nieuprzywilejowanych środowiskach operacyjnych. Nieuprzywilejowane konta nie mogą logować się do uprzywilejowanych środowisk operacyjnych. Konta uprzywilejowane (z wyłączeniem kont administratorów lokalnych) nie mogą logować się do nieuprzywilejowanych środowisk operacyjnych. Działania administracyjne są prowadzone za pośrednictwem serwerów typu jump. Dane uwierzytelniające kont administratorów lokalnych i kont usług są długie, unikatowe, nieprzewidywalne i zarządzane. Zdarzenia dostępu uprzywilejowanego są rejestrowane. Zdarzenia związane z zarządzaniem grupami i kontami uprzywilejowanymi są rejestrowane.	Trzeci poziom dojrzałości Wnioski o uprzywilejowany dostęp do systemów i aplikacji są weryfikowane z chwilą ich otrzymania po raz pierwszy. Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 12 miesiącach, chyba że zostanie ponownie zatwierdzony. Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 45 dniach braku aktywności. Uprzywilejowany dostęp do systemów i aplikacji jest ograniczony tylko do tego, czego wymagają użytkownicy i usługi do wykonywania swoich obowiązków. Konta uprzywilejowane nie mają dostępu do Internetu, poczty elektronicznej ani usług internetowych. Uprzywilejowani użytkownicy korzystają z oddzielnych uprzywilejowanych i nieuprzywilejowanych środowisk. Uprzywilejowane środowiska operacyjne nie są wirtualizowane w nieuprzywilejowanych środowiskach operacyjnych. Nieuprzywilejowane konta nie mogą logować się do uprzywilejowanych środowisk operacyjnych. Konta uprzywilejowane (z wyłączeniem kont administratorów lokalnych) nie mogą logować się do nieuprzywilejowanych środowisk operacyjnych. Administracja just-in-time służy do administrowania systemami i aplikacjami. Działania administracyjne są prowadzone za pośrednictwem serwerów typu jump. Dane uwierzytelniające kont administratorów lokalnych i kont usług są długie, unikatowe, nieprzewidywalne i zarządzane. Windows Defender Credential Guard i Windows Defender Remote Credential Guard są włączone. Zdarzenia dostępu uprzywilejowanego są rejestrowane centralnie. Zdarzenia związane z zarządzaniem grupami i kontami uprzywilejowanymi są rejestrowane centralnie. Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem. Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.	Odpowiedź Atlassian Firma Atlassian ogranicza dostęp do personelu, który potrzebuje tego dostępu ze względu na swoją rolę i obowiązki. Wszystkie systemy warstwy 1 są zarządzane za pośrednictwem scentralizowanej usługi logowania jednokrotnego (SSO) oraz katalogu Atlassian. Użytkownicy otrzymują odpowiednie prawa dostępu w oparciu o te profile, sterowane za pomocą przepływu pracy z naszego systemu zarządzania HR. W przypadku dostępu do wszystkich systemów warstwy 1 firma Atlassian stosuje uwierzytelnianie wieloskładnikowe. Włączyliśmy usługę uwierzytelniania dwuskładnikowego w konsoli zarządzania usługą hipernadzorcy oraz w interfejsie API AWS, a także codzienny raport z audytu na temat wszystkich prób uzyskania dostępu do funkcji zarządzania usługą hipernadzorcy. Listy dostępu do konsoli zarządzania usługą hipernadzorcy oraz interfejsu API AWS są przeglądane co kwartał. Co 8 godzin przeprowadzamy również synchronizację naszego systemu HR i magazynu tożsamości. W procesie weryfikacji uprawnień stosujemy cykl przeglądu usług krytycznych składający się z dwóch przeglądów na rok. Weryfikacja dostępu użytkowników odbywa się regularnie z udziałem właścicieli systemów w przypadku wewnętrznych kont użytkowników korporacyjnych.
Poprawki systemów operacyjnych	Pierwszy poziom dojrzałości Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach. Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk. Skaner luk w zabezpieczeniach jest używany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych usług internetowych. Skaner luk w zabezpieczeniach jest używany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych stacji roboczych, serwerów i urządzeń sieciowych. Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki. Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych stacji roboczych, serwerów i urządzeń sieciowych są wdrażane w ciągu miesiąca od wydania. Systemy operacyjne, które nie są już obsługiwane przez dostawców, są zastępowane.	Drugi poziom dojrzałości Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach. Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk. Skaner luk w zabezpieczeniach jest używany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych usług internetowych. Skaner luk w zabezpieczeniach jest używany co najmniej raz na tydzień w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych stacji roboczych, serwerów i urządzeń sieciowych. Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki. Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych stacji roboczych, serwerów i urządzeń sieciowych są wdrażane w ciągu dwóch tygodni od wydania. Systemy operacyjne, które nie są już obsługiwane przez dostawców, są zastępowane.	Trzeci poziom dojrzałości Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach. Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk. Skaner luk w zabezpieczeniach jest używany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych usług internetowych. Skaner luk w zabezpieczeniach jest używany co najmniej raz na tydzień w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych stacji roboczych, serwerów i urządzeń sieciowych. Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki. Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych stacji roboczych, serwerów i urządzeń sieciowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki. Używane są najnowsze lub poprzednie wydania systemów operacyjnych. Systemy operacyjne, które nie są już obsługiwane przez dostawców, są zastępowane.	Odpowiedź Atlassian Wszystkie nasze produkty i oferowane usługi są objęte rozbudowanym procesem usuwania błędów (w którym wykorzystujemy nasz własny produkt Jira do rejestrowania zgłoszeń i ułatwiania zarządzania rozwiązywaniem wniosków). U jego podstaw leżą liczne zasady dotyczące naprawiania błędów zabezpieczeń, usługi doradcze oraz poziomy SLO, których przestrzegamy. Przyjmujemy zgłoszenia błędów za pośrednictwem naszego kanału wsparcia, programu wykrywania błędów oraz pod adresem security@atlassian.com. W naszym Centrum zaufania można znaleźć więcej informacji na temat naszych SLO poprawek błędów zabezpieczeń. Więcej informacji na temat naszego podejścia do testowania zabezpieczeń można również znaleźć w naszym Centrum zaufania: Podejście do zewnętrznych testów zabezpieczeń Zespół ds. bezpieczeństwa Atlassian wykorzystuje wiele metod wykrywania luk w zabezpieczeniach, zarówno w infrastrukturze wewnętrznej, jak i zewnętrznej. Zgłoszenia Jira są tworzone w celu śledzenia i naprawiania błędów, a terminy ustala się zgodnie z naszymi poziomami SLO, z uwzględnieniem zarówno ważności, jak i źródła luki w zabezpieczeniach. Prowadzimy ciągły proces tworzenia zgłoszeń dotyczących rozpoznanych luk w zabezpieczeniach kierowanych do właścicieli systemów, a nasz zespół ds. zarządzania bezpieczeństwem sprawdza każdą zgłoszoną lukę w zabezpieczeniach i dba o podjęcie stosownych działań zaradczych.
Uwierzytelnianie wieloskładnikowe	Pierwszy poziom dojrzałości Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w usługach internetowych swojej organizacji. Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują poufne dane organizacji. Uwierzytelnianie wieloskładnikowe (gdy jest dostępne) jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują niepoufne dane organizacji. Uwierzytelnianie wieloskładnikowe jest domyślnie włączone dla użytkowników nienależących do organizacji (ale mogą z niego zrezygnować), gdy uwierzytelniają się w usługach internetowych organizacji.	Drugi poziom dojrzałości Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w usługach internetowych swojej organizacji. Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują poufne dane organizacji. Uwierzytelnianie wieloskładnikowe (gdy jest dostępne) jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują niepoufne dane organizacji. Uwierzytelnianie wieloskładnikowe jest domyślnie włączone dla użytkowników nienależących do organizacji (ale mogą z niego zrezygnować), gdy uwierzytelniają się w usługach internetowych organizacji. Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania uprzywilejowanych użytkowników systemów. Uwierzytelnianie wieloskładnikowe wykorzystuje coś, co użytkownicy mają, coś, co użytkownicy wiedzą, albo coś, co użytkownicy mają, a co jest odblokowywane przez coś, co użytkownicy wiedzą, lub przez coś, czym są. Udane i nieudane zdarzenia uwierzytelniania wieloskładnikowego są rejestrowane.	Trzeci poziom dojrzałości Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w usługach internetowych swojej organizacji. Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują poufne dane swojej organizacji. Uwierzytelnianie wieloskładnikowe (gdy jest dostępne) jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują niepoufne dane organizacji. Uwierzytelnianie wieloskładnikowe jest domyślnie włączone dla użytkowników nienależących do organizacji (ale mogą z niego zrezygnować), gdy uwierzytelniają się w usługach internetowych organizacji. Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania uprzywilejowanych użytkowników systemów. Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania użytkowników ważnych repozytoriów danych. Uwierzytelnianie wieloskładnikowe jest odporne na ataki typu phishing i wykorzystuje coś, co użytkownicy mają, coś, co użytkownicy wiedzą, albo coś, co użytkownicy mają, a co jest odblokowywane przez coś, co użytkownicy wiedzą, lub przez coś, czym są. Udane i nieudane zdarzenia uwierzytelniania wieloskładnikowego są rejestrowane centralnie. Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem. Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.	Odpowiedź Atlassian W przypadku Confluence, Jira uwierzytelnianie wieloskładnikowe jest dostępne dla poszczególnych kont. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, zobacz: Wymuszanie weryfikacji dwuetapowej BBC nadal obsługuje 2FA od lutego 2022 r. zasadniczo jest częścią narzędzia Atlassian Access i obsługuje dodatkowe funkcje oferowane przez Access. Wymuszone uwierzytelnianie wieloskładnikowe można ustawić na poziomie organizacji za pomocą narzędzia Atlassian Access. Aby uzyskać więcej informacji, patrz Wymuszanie weryfikacji dwuetapowej W odniesieniu do określonych produktów BitBucket obsługuje używanie opcji SSO opartych na MFA. Aby uzyskać więcej informacji, patrz Wymuszanie weryfikacji dwuetapowej \| Bitbucket Cloud Halp używa SSO za pośrednictwem Slack OAuth i MS Teams. Slack i MS Teams zapewniają wiele opcji uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, patrz Logowanie jednokrotne SAML i Azure AD Connect: bezproblemowe logowanie jednokrotne Opsgenie obsługuje używanie opcji SSO opartych na MFA. Aby uzyskać więcej informacji, patrz Konfigurowanie SSO dla Opsgenie Statuspage obsługuje używanie opcji SSO opartych na MFA. Trello obsługuje uwierzytelnianie wieloskładnikowe. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, patrz Włączanie uwierzytelniania dwuskładnikowego na koncie Trello Jira Align obsługuje używanie opcji SSO opartych na MFA.
Regularne kopie zapasowe	Pierwszy poziom dojrzałości Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są wykonywane i przechowywane z częstotliwością i przedziałem czasowym przechowywania zgodnymi z wymaganiami dotyczącymi zapewniania ciągłości działalności biznesowej. Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są synchronizowane tak, aby umożliwić ich przywrócenie do wspólnego punktu w czasie. Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są przechowywane w bezpieczny i niezawodny sposób. Przywracanie ważnych danych, oprogramowania i ustawień konfiguracji z kopii zapasowych do wspólnego punktu w czasie jest testowane w ramach testów odzyskiwania awaryjnego. Konta nieuprzywilejowane nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont. Nieuprzywilejowane konta nie mogą modyfikować ani usuwać kopii zapasowych.	Drugi poziom dojrzałości Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są wykonywane i przechowywane z częstotliwością i przedziałem czasowym przechowywania zgodnymi z wymaganiami dotyczącymi zapewniania ciągłości działalności biznesowej. Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są synchronizowane tak, aby umożliwić ich przywrócenie do wspólnego punktu w czasie. Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są przechowywane w bezpieczny i niezawodny sposób. Przywracanie ważnych danych, oprogramowania i ustawień konfiguracji z kopii zapasowych do wspólnego punktu w czasie jest testowane w ramach testów odzyskiwania awaryjnego. Konta nieuprzywilejowane nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont. Konta uprzywilejowane (poza kontami administratorów kopii zapasowych) nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont. Nieuprzywilejowane konta nie mogą modyfikować ani usuwać kopii zapasowych. Konta uprzywilejowane (poza kontami administratorów kopii zapasowych) nie mogą modyfikować ani usuwać kopii zapasowych.	Trzeci poziom dojrzałości Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są wykonywane i przechowywane z częstotliwością i przedziałem czasowym przechowywania zgodnymi z wymaganiami dotyczącymi zapewniania ciągłości działalności biznesowej. Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są synchronizowane tak, aby umożliwić ich przywrócenie do wspólnego punktu w czasie. Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są przechowywane w bezpieczny i niezawodny sposób. Przywracanie ważnych danych, oprogramowania i ustawień konfiguracji z kopii zapasowych do wspólnego punktu w czasie jest testowane w ramach testów odzyskiwania awaryjnego. Konta nieuprzywilejowane nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont ani ich własnych kont. Konta uprzywilejowane (poza kontami administratorów kopii zapasowych) nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont ani ich własnych kont. Nieuprzywilejowane konta nie mogą modyfikować ani usuwać kopii zapasowych. Konta uprzywilejowane (w tym konta administratorów kopii zapasowych) nie mogą modyfikować ani usuwać kopii zapasowych w okresie ich przechowywania.	Odpowiedź Atlassian Firma Atlassian przestrzega standardów dotyczących przechowywania i niszczenia danych, które określają, jak długo musimy zatrzymywać różnego rodzaju dane. Dane są klasyfikowane zgodnie z zasadami firmy Atlassian dotyczącymi bezpieczeństwa danych i cyklu życia informacji, a na tej podstawie wdrażane są środki kontroli. W przypadku danych klienta w momencie rozwiązania umowy z firmą Atlassian dane należące do zespołu klienta zostaną usunięte z aktywnej produkcyjnej bazy danych, w wszystkie pliki załączników przekazane bezpośrednio do firmy Atlassian zostaną usunięte w ciągu 14 dni. Dane zespołu zostaną zachowane w zaszyfrowanych kopiach zapasowych przez 60 dni, a następnie zniszczone zgodnie z zasadami przechowywania danych firmy Atlassian. Jeśli w ciągu 60 dni od zażądania usunięcia danych konieczne okaże się przywrócenie bazy danych, zespół odpowiedzialny za eksploatację systemów ponownie usunie dane możliwie jak najszybciej po pełnym przywróceniu aktywnego systemu produkcyjnego. Aby uzyskać więcej informacji, zobacz temat: Monitorowanie pamięci masowej i przenoszenie danych między produktami

Kontrola aplikacji

Pierwszy poziom dojrzałości

Uniemożliwiono wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów, instalatorów, skompilowanego kodu HTML, aplikacji HTML i apletów panelu sterowania na stacjach roboczych z poziomu standardowych profili użytkowników oraz folderów tymczasowych używanych przez system operacyjny, przeglądarki internetowe i klienty poczty e-mail.

Drugi poziom dojrzałości

Kontrola aplikacji odbywa się na stacjach roboczych i serwerach z dostępem do Internetu.
Kontrola aplikacji ogranicza wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów, instalatorów, skompilowanego kodu HTML, aplikacji HTML i apletów panelu sterowania do zestawu zatwierdzonego przez organizację.
Rejestruje się zdarzenia dopuszczonego i zablokowanego wykonywania na stacjach roboczych i serwerach z dostępem do Internetu.

Trzeci poziom dojrzałości

Kontrola aplikacji jest wdrożona na stacjach roboczych i serwerach.
Kontrola aplikacji ogranicza wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów, instalatorów, skompilowanego kodu HTML, aplikacji HTML, apletów panelu sterowania i sterowników do zestawu zatwierdzonego przez organizację.
Zaimplementowano „zalecane reguły blokowania” firmy Microsoft. Zaimplementowano „zalecane reguły blokowania sterowników” firmy Microsoft.
Zestawy reguł kontroli aplikacji są zatwierdzane co najmniej raz w roku lub częściej.
Rejestruje się zdarzenia dopuszczonego i zablokowanego wykonywania na stacjach roboczych i serwerach są rejestrowane centralnie.
Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem. Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.

Odpowiedź Atlassian

Korzystanie z programów narzędziowych w środowisku produkcyjnym jest ograniczone i kontrolowane. Wszystkie serwery są konfigurowane przy użyciu naszego scentralizowanego systemu konfiguracji Puppet do naszego standardowego środowiska operacyjnego, co obejmuje usuwanie wybranych pakietów z domyślnego obrazu i krytyczne aktualizacje pakietów. Wszystkie role serwera zakładają domyślne odrzucanie wszystkich przychodzących żądań sieciowych, przy czym wybrane porty są otwierane tylko dla innych ról serwera, których funkcjonowanie wymaga dostępu do tego portu. Nasza sieć korporacyjna jest odseparowana od naszej sieci produkcyjnej, a obrazy naszych maszyn mają ograniczone funkcjonalności, aby zezwalać tylko na niezbędne porty i protokoły. Wszystkie systemy produkcyjne są obecnie hostowane w Stanach Zjednoczonych, w regionach działalności naszego dostawcy chmury. Wszystkie dane przesyłane poza wzmocnionymi sieciami wirtualnych chmur prywatnych (VPC) są szyfrowane za pośrednictwem kanałów zgodnych ze standardami branżowymi.
Ponadto na wszystkich serwerach produkcyjnych działa system IDS, który obejmuje monitorowanie w czasie rzeczywistym i powiadamianie o wszelkich zmianach w plikach systemu produkcyjnego lub konfiguracji oraz o anomaliach w zabezpieczeniach.

Aplikacje poprawek

Pierwszy poziom dojrzałości

Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk. Skaner luk w zabezpieczeniach jest stosowany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach usług internetowych.
Skaner luk w zabezpieczeniach jest używany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji pod kątem luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem.
Poprawki, aktualizacje lub inne środki ograniczające przewidziane przez dostawców i dotyczące luk w zabezpieczeniach usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
Poprawki, aktualizacje lub inne ograniczenia dostawców przewidziane przez dostawców i dotyczące luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem, wdrażane są w ciągu miesiąca od wydania.
Usługi wymagające połączenia z Internetem, pakiety narzędzi biurowych, przeglądarki internetowe i ich rozszerzenia, klienty poczty e-mail, oprogramowanie do przeglądania plików PDF oraz produkty związane z bezpieczeństwem, które przestały być wspierane przez swoich dostawców, są usuwane.

Drugi poziom dojrzałości

Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
Skaner luk w zabezpieczeniach jest stosowany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach usług internetowych.
Skaner luk w zabezpieczeniach jest używany co najmniej raz w tygodniu w celu identyfikowania brakujących poprawek lub aktualizacji pod kątem luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem.
Skaner luk w zabezpieczeniach jest stosowany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach innych aplikacji.
Poprawki, aktualizacje lub inne środki ograniczające przewidziane przez dostawców i dotyczące luk w zabezpieczeniach usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
Poprawki, aktualizacje lub inne ograniczenia dostawców przewidziane przez dostawców i dotyczące luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem, wdrażane są w ciągu dwóch tygodni od wydania.
Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach innych aplikacji są wdrażane w ciągu miesiąca od wydania.
Usługi wymagające połączenia z Internetem, pakiety narzędzi biurowych, przeglądarki internetowe i ich rozszerzenia, klienty poczty e-mail, oprogramowanie do przeglądania plików PDF oraz produkty związane z bezpieczeństwem, które przestały być wspierane przez swoich dostawców, są usuwane.

Trzeci poziom dojrzałości

Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
Skaner luk w zabezpieczeniach jest stosowany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach usług internetowych.
Skaner luk w zabezpieczeniach jest używany co najmniej raz w tygodniu w celu identyfikowania brakujących poprawek lub aktualizacji pod kątem luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem.
Skaner luk w zabezpieczeniach jest stosowany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach innych aplikacji.
Poprawki, aktualizacje lub inne środki ograniczające przewidziane przez dostawców i dotyczące luk w zabezpieczeniach usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
Poprawki, aktualizacje lub inne ograniczenia dostawców przewidziane przez dostawców i dotyczące luk w zabezpieczaniach pakietów narzędzi biurowych, przeglądarek internetowych i ich rozszerzeń, klientów poczty e-mail, oprogramowania do przeglądania plików PDF oraz produktów związanych z bezpieczeństwem, wdrażane są w ciągu dwóch tygodni od wydania bądź w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach innych aplikacji są wdrażane w ciągu miesiąca od wydania.
Aplikacje, które nie są już wspierane przez swoich dostawców, są usuwane.

Odpowiedź Atlassian

Wszystkie nasze produkty i oferowane usługi są objęte rozbudowanym procesem usuwania błędów (w którym wykorzystujemy nasz własny produkt Jira do rejestrowania zgłoszeń i ułatwiania zarządzania rozwiązywaniem wniosków). U jego podstaw leżą liczne zasady dotyczące naprawiania błędów zabezpieczeń, usługi doradcze oraz poziomy SLO, których przestrzegamy. Przyjmujemy zgłoszenia błędów za pośrednictwem naszego kanału wsparcia, programu wykrywania błędów oraz pod adresem security@atlassian.com. W naszym Centrum zaufania można znaleźć więcej informacji na temat naszych SLO poprawek błędów zabezpieczeń.

Więcej informacji na temat naszego podejścia do testowania zabezpieczeń można również znaleźć w naszym Centrum zaufania: Podejście do zewnętrznych testów zabezpieczeń

Zespół ds. bezpieczeństwa Atlassian wykorzystuje wiele metod wykrywania luk w zabezpieczeniach, zarówno w infrastrukturze wewnętrznej, jak i zewnętrznej. Zgłoszenia Jira są tworzone w celu śledzenia i naprawiania błędów, a terminy ustala się zgodnie z naszymi poziomami SLO, z uwzględnieniem zarówno ważności, jak i źródła luki w zabezpieczeniach. Prowadzimy ciągły proces tworzenia zgłoszeń dotyczących rozpoznanych luk w zabezpieczeniach kierowanych do właścicieli systemów, a nasz zespół ds. zarządzania bezpieczeństwem sprawdza każdą zgłoszoną lukę w zabezpieczeniach i dba o podjęcie stosownych działań zaradczych.

Konfigurowanie ustawienia makr pakietu Microsoft Office

Pierwszy poziom dojrzałości

Makra pakietu Microsoft Office są wyłączone dla użytkowników, którzy nie wykazali, że są one niezbędne w ich pracy.
Makra pakietu Microsoft Office w plikach pochodzących z Internetu są blokowane.
Skanowanie antywirusowe makr pakietu Microsoft Office jest włączone.
Użytkownicy nie mogą zmieniać ustawień zabezpieczeń dotyczących makr pakietu Microsoft Office.

Drugi poziom dojrzałości

Makra pakietu Microsoft Office są wyłączone dla użytkowników, którzy nie wykazali, że są one niezbędne w ich pracy.
Makra pakietu Microsoft Office w plikach pochodzących z Internetu są blokowane. Skanowanie antywirusowe makr pakietu Microsoft Office jest włączone.
Makra pakietu Microsoft Office są zablokowane przed wykonywaniem wywołań interfejsu API Win32.
Użytkownicy nie mogą zmieniać ustawień zabezpieczeń dotyczących makr pakietu Microsoft Office.
Zdarzenia dopuszczenia i zablokowania zdarzeń wykonywania makr pakietu Microsoft Office są rejestrowane.

Trzeci poziom dojrzałości

Makra pakietu Microsoft Office są wyłączone dla użytkowników, którzy nie wykazali, że są one niezbędne w ich pracy.
Dopuszczalne jest jedynie wykonywaniem makr pakietu Microsoft Office uruchamianych ze środowiska piaskownicy, zaufanej lokalizacji lub makr podpisanych cyfrowo przez zaufanego wydawcę.
Tylko użytkownicy mający specjalne uprawnienia, odpowiedzialni za sprawdzenie, czy makra pakietu Microsoft Office nie zawierają złośliwego kodu, mogą zapisywać i modyfikować treści w zaufanych lokalizacjach.
Makr pakietu Microsoft Office podpisanych cyfrowo przez niezaufanego wydawcę nie można włączyć za pomocą paska komunikatów ani widoku Backstage.
Lista zaufanych wydawców pakietu Microsoft Office jest sprawdzana nie rzadziej niż co roku.
Makra pakietu Microsoft Office w plikach pochodzących z Internetu są blokowane.
Skanowanie antywirusowe makr pakietu Microsoft Office jest włączone.
Makra pakietu Microsoft Office są zablokowane przed wykonywaniem wywołań interfejsu API Win32.
Użytkownicy nie mogą zmieniać ustawień zabezpieczeń dotyczących makr pakietu Microsoft Office.
Zdarzenia dopuszczenia i zablokowania zdarzeń wykonywania makr pakietu Microsoft Office są centralnie rejestrowane.
Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem.
Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.

Odpowiedź Atlassian

Atlassian współpracuje z zewnętrznymi podwykonawcami przy dostarczaniu witryn internetowych, tworzeniu aplikacji, hostingu, konserwacji, tworzeniu kopii zapasowych, przechowywaniu danych, infrastrukturze wirtualnej, przetwarzaniu płatności, analizie i innych usługach. Ci dostawcy usług mogą mieć dostęp do identyfikowalnych danych osobowych lub przetwarzać je w celu świadczenia tych usług dla nas. Atlassian informuje swoich klientów o korzystaniu z usług podwykonawców, którzy mogą przetwarzać ich dane osobowe, poprzez powiadomienie przed rozpoczęciem przetwarzania. Zewnętrzna lista podwykonawców, z którymi współpracuje Atlassian, znajduje się na stronie podrzędnych podmiotów przetwarzających dane tutaj: Lista podwykonawców podrzędnych podmiotów przetwarzających dane. Na stronie tej odwiedzających prosi się o subskrybowanie kanału RSS, aby otrzymywać powiadomienia o dodaniu nowych podrzędnych podmiotów Atlassian przetwarzających dane.

Z myślą o naszej flocie laptopów typu Mac wdrożyliśmy scentralizowane rozwiązanie do zarządzania systemem (Mobile Device Management).
Na potrzeby naszych urządzeń końcowych z systemem Windows oraz smartfonów wdrożyliśmy rozwiązanie do zarządzania urządzeniami mobilnymi (VMware Workplace ONE).

Wzmacnianie aplikacji użytkownika

Pierwszy poziom dojrzałości

Przeglądarki internetowe nie przetwarzają języka Java z Internetu.
Przeglądarki internetowe nie przetwarzają reklam internetowych.
Internet Explorer 11 nie przetwarza treści z Internetu.
Użytkownicy nie mogą zmieniać ustawienia zabezpieczeń przeglądarki internetowej.

Drugi poziom dojrzałości

Przeglądarki internetowe nie przetwarzają języka Java z Internetu.
Przeglądarki internetowe nie przetwarzają reklam internetowych.
Internet Explorer 11 nie przetwarza treści z Internetu.
Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla przeglądarek internetowych.
Użytkownicy nie mogą zmieniać ustawienia zabezpieczeń przeglądarki internetowej.
Zablokowano możliwość tworzenia procesów podrzędnych przez Microsoft Office.
Zablokowano możliwość tworzenia zawartości wykonywalnej przez Microsoft Office.
Zablokowano możliwość wstrzykiwania kodu do innych procesów przez Microsoft Office.
Pakiet Microsoft Office jest skonfigurowany tak, aby uniemożliwiać aktywację pakietów OLE.
Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla pakietu Microsoft Office.
Użytkownicy nie mogą zmieniać ustawień zabezpieczeń pakietu Microsoft Office.
Zablokowano możliwość tworzenia procesów podrzędnych przez oprogramowanie PDF.
Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla oprogramowania PDF.
Użytkownicy nie mogą zmieniać ustawień zabezpieczeń oprogramowania PDF.
Zablokowane zdarzenia wykonywania skryptów PowerShell są rejestrowane.

Trzeci poziom dojrzałości

Przeglądarki internetowe nie przetwarzają języka Java z Internetu.
Przeglądarki internetowe nie przetwarzają reklam internetowych.
Przeglądarka Internet Explorer 11 jest wyłączona lub usunięta.
Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla przeglądarek internetowych.
Użytkownicy nie mogą zmieniać ustawienia zabezpieczeń przeglądarki internetowej.
Zablokowano możliwość tworzenia procesów podrzędnych przez Microsoft Office.
Zablokowano możliwość tworzenia zawartości wykonywalnej przez Microsoft Office.
Zablokowano możliwość wstrzykiwania kodu do innych procesów przez Microsoft Office.
Pakiet Microsoft Office jest skonfigurowany tak, aby uniemożliwiać aktywację pakietów OLE.
Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla pakietu Microsoft Office.
Użytkownicy nie mogą zmieniać ustawień zabezpieczeń pakietu Microsoft Office.
Zablokowano możliwość tworzenia procesów podrzędnych przez oprogramowanie PDF.
Wdrożono wytyczne dotyczące wzmacniania ACSC lub dostawców dla oprogramowania PDF.
Użytkownicy nie mogą zmieniać ustawień zabezpieczeń oprogramowania PDF.
Program .NET Framework 3.5 (w tym .NET 2.0 i 3.0) jest wyłączony lub usunięty.
Program Windows PowerShell 2.0 jest wyłączony lub usunięty.
Program PowerShell jest skonfigurowany pod kątem korzystania z trybu ograniczonego języka.
Zablokowane zdarzenia wykonywania skryptów PowerShell są rejestrowane centralnie.
Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem.
Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.

Odpowiedź Atlassian

Kompilacje podstawowego obrazu systemu operacyjnego AWS Linux AMI mają ograniczone porty, protokoły i usługi. Porównujemy nasze kompilacje z obecną wersją AMI, aby zapewnić odpowiednie ustawienia.

Nasze obrazy Docker są zarządzane w ściśle kontrolowanym środowisku zmian, aby umożliwić odpowiedni przegląd i zatwierdzanie wszelkich zmian.

Nasze punkty końcowe są wzmocnione, aby chronić naszych użytkowników, jednak nie ograniczamy dostępu do portów sprzętowych.

Używamy zewnętrznego produktu proxy HTTP dla naszej publicznej krawędzi Jira/Confluence i wdrożyliśmy w niej reguły zabezpieczeń HTTP warstwy 7. (można to nazwać WAF — funkcjonalność jest zasadniczo taka sama).

Ogranicz uprawnienia administracyjne

Pierwszy poziom dojrzałości

Wnioski o uprzywilejowany dostęp do systemów i aplikacji są weryfikowane z chwilą ich otrzymania po raz pierwszy.
Konta uprzywilejowane (z wyłączeniem uprzywilejowanych kont usług) nie mają dostępu do Internetu, poczty elektronicznej ani usług internetowych.
Uprzywilejowani użytkownicy korzystają z oddzielnych uprzywilejowanych i nieuprzywilejowanych środowisk.
Nieuprzywilejowane konta nie mogą logować się do uprzywilejowanych środowisk operacyjnych.
Konta uprzywilejowane (z wyłączeniem kont administratorów lokalnych) nie mogą logować się do nieuprzywilejowanych środowisk operacyjnych.

Drugi poziom dojrzałości

Wnioski o uprzywilejowany dostęp do systemów i aplikacji są weryfikowane z chwilą ich otrzymania po raz pierwszy.
Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 12 miesiącach, chyba że zostanie ponownie zatwierdzony.
Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 45 dniach braku aktywności.
Konta uprzywilejowane (z wyłączeniem uprzywilejowanych kont usług) nie mają dostępu do Internetu, poczty elektronicznej ani usług internetowych.
Uprzywilejowani użytkownicy korzystają z oddzielnych uprzywilejowanych i nieuprzywilejowanych środowisk.
Uprzywilejowane środowiska operacyjne nie są wirtualizowane w nieuprzywilejowanych środowiskach operacyjnych.
Nieuprzywilejowane konta nie mogą logować się do uprzywilejowanych środowisk operacyjnych.
Konta uprzywilejowane (z wyłączeniem kont administratorów lokalnych) nie mogą logować się do nieuprzywilejowanych środowisk operacyjnych.
Działania administracyjne są prowadzone za pośrednictwem serwerów typu jump.
Dane uwierzytelniające kont administratorów lokalnych i kont usług są długie, unikatowe, nieprzewidywalne i zarządzane.
Zdarzenia dostępu uprzywilejowanego są rejestrowane.
Zdarzenia związane z zarządzaniem grupami i kontami uprzywilejowanymi są rejestrowane.

Trzeci poziom dojrzałości

Wnioski o uprzywilejowany dostęp do systemów i aplikacji są weryfikowane z chwilą ich otrzymania po raz pierwszy.
Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 12 miesiącach, chyba że zostanie ponownie zatwierdzony.
Uprzywilejowany dostęp do systemów i aplikacji jest automatycznie wyłączany po 45 dniach braku aktywności.
Uprzywilejowany dostęp do systemów i aplikacji jest ograniczony tylko do tego, czego wymagają użytkownicy i usługi do wykonywania swoich obowiązków.
Konta uprzywilejowane nie mają dostępu do Internetu, poczty elektronicznej ani usług internetowych.
Uprzywilejowani użytkownicy korzystają z oddzielnych uprzywilejowanych i nieuprzywilejowanych środowisk.
Uprzywilejowane środowiska operacyjne nie są wirtualizowane w nieuprzywilejowanych środowiskach operacyjnych.
Nieuprzywilejowane konta nie mogą logować się do uprzywilejowanych środowisk operacyjnych.
Konta uprzywilejowane (z wyłączeniem kont administratorów lokalnych) nie mogą logować się do nieuprzywilejowanych środowisk operacyjnych.
Administracja just-in-time służy do administrowania systemami i aplikacjami.
Działania administracyjne są prowadzone za pośrednictwem serwerów typu jump.
Dane uwierzytelniające kont administratorów lokalnych i kont usług są długie, unikatowe, nieprzewidywalne i zarządzane.
Windows Defender Credential Guard i Windows Defender Remote Credential Guard są włączone.
Zdarzenia dostępu uprzywilejowanego są rejestrowane centralnie.
Zdarzenia związane z zarządzaniem grupami i kontami uprzywilejowanymi są rejestrowane centralnie.
Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem.
Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.

Odpowiedź Atlassian

Firma Atlassian ogranicza dostęp do personelu, który potrzebuje tego dostępu ze względu na swoją rolę i obowiązki. Wszystkie systemy warstwy 1 są zarządzane za pośrednictwem scentralizowanej usługi logowania jednokrotnego (SSO) oraz katalogu Atlassian. Użytkownicy otrzymują odpowiednie prawa dostępu w oparciu o te profile, sterowane za pomocą przepływu pracy z naszego systemu zarządzania HR. W przypadku dostępu do wszystkich systemów warstwy 1 firma Atlassian stosuje uwierzytelnianie wieloskładnikowe. Włączyliśmy usługę uwierzytelniania dwuskładnikowego w konsoli zarządzania usługą hipernadzorcy oraz w interfejsie API AWS, a także codzienny raport z audytu na temat wszystkich prób uzyskania dostępu do funkcji zarządzania usługą hipernadzorcy. Listy dostępu do konsoli zarządzania usługą hipernadzorcy oraz interfejsu API AWS są przeglądane co kwartał. Co 8 godzin przeprowadzamy również synchronizację naszego systemu HR i magazynu tożsamości.

W
procesie weryfikacji uprawnień stosujemy cykl przeglądu usług krytycznych składający się z dwóch przeglądów na rok. Weryfikacja dostępu użytkowników odbywa się regularnie z udziałem właścicieli systemów w przypadku wewnętrznych kont użytkowników korporacyjnych.

Poprawki systemów operacyjnych

Pierwszy poziom dojrzałości

Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
Skaner luk w zabezpieczeniach jest używany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych usług internetowych.
Skaner luk w zabezpieczeniach jest używany co najmniej raz na dwa tygodnie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych stacji roboczych, serwerów i urządzeń sieciowych.
Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych stacji roboczych, serwerów i urządzeń sieciowych są wdrażane w ciągu miesiąca od wydania.
Systemy operacyjne, które nie są już obsługiwane przez dostawców, są zastępowane.

Drugi poziom dojrzałości

Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
Skaner luk w zabezpieczeniach jest używany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych usług internetowych.
Skaner luk w zabezpieczeniach jest używany co najmniej raz na tydzień w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych stacji roboczych, serwerów i urządzeń sieciowych.
Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych stacji roboczych, serwerów i urządzeń sieciowych są wdrażane w ciągu dwóch tygodni od wydania.
Systemy operacyjne, które nie są już obsługiwane przez dostawców, są zastępowane.

Trzeci poziom dojrzałości

Nie rzadziej niż co dwa tygodnie stosuje się zautomatyzowaną metodę odkrywania zasobów, która wspomaga wykrywanie zasobów na potrzeby późniejszych czynności związanych ze skanowaniem luk w zabezpieczeniach.
Do realizacji czynności związanych ze skanowaniem luk w zabezpieczeniach stosowany jest skaner takich luk w połączeniu z aktualną bazą danych luk.
Skaner luk w zabezpieczeniach jest używany co najmniej raz dziennie w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych usług internetowych.
Skaner luk w zabezpieczeniach jest używany co najmniej raz na tydzień w celu identyfikowania brakujących poprawek lub aktualizacji luk w zabezpieczeniach systemów operacyjnych stacji roboczych, serwerów i urządzeń sieciowych.
Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych usług internetowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
Poprawki, aktualizacje lub inne środki ograniczające dostawców dotyczące luk w zabezpieczeniach w systemach operacyjnych stacji roboczych, serwerów i urządzeń sieciowych są wdrażane w ciągu dwóch tygodni od wydania lub w ciągu 48 godzin, jeśli istnieje program wykorzystujący luki.
Używane są najnowsze lub poprzednie wydania systemów operacyjnych. Systemy operacyjne, które nie są już obsługiwane przez dostawców, są zastępowane.

Odpowiedź Atlassian

Uwierzytelnianie wieloskładnikowe

Pierwszy poziom dojrzałości

Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w usługach internetowych swojej organizacji.
Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują poufne dane organizacji.
Uwierzytelnianie wieloskładnikowe (gdy jest dostępne) jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują niepoufne dane organizacji.
Uwierzytelnianie wieloskładnikowe jest domyślnie włączone dla użytkowników nienależących do organizacji (ale mogą z niego zrezygnować), gdy uwierzytelniają się w usługach internetowych organizacji.

Drugi poziom dojrzałości

Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w usługach internetowych swojej organizacji.
Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują poufne dane organizacji.
Uwierzytelnianie wieloskładnikowe (gdy jest dostępne) jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują niepoufne dane organizacji.
Uwierzytelnianie wieloskładnikowe jest domyślnie włączone dla użytkowników nienależących do organizacji (ale mogą z niego zrezygnować), gdy uwierzytelniają się w usługach internetowych organizacji.
Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania uprzywilejowanych użytkowników systemów.
Uwierzytelnianie wieloskładnikowe wykorzystuje coś, co użytkownicy mają, coś, co użytkownicy wiedzą, albo coś, co użytkownicy mają, a co jest odblokowywane przez coś, co użytkownicy wiedzą, lub przez coś, czym są.
Udane i nieudane zdarzenia uwierzytelniania wieloskładnikowego są rejestrowane.

Trzeci poziom dojrzałości

Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w usługach internetowych swojej organizacji.
Uwierzytelnianie wieloskładnikowe jest używane przez użytkowników organizacji, gdy uwierzytelniają się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują poufne dane swojej organizacji.
Uwierzytelnianie wieloskładnikowe (gdy jest dostępne) jest używane przez użytkowników organizacji do uwierzytelniania się w zewnętrznych usługach internetowych, które przetwarzają, przechowują lub przekazują niepoufne dane organizacji.
Uwierzytelnianie wieloskładnikowe jest domyślnie włączone dla użytkowników nienależących do organizacji (ale mogą z niego zrezygnować), gdy uwierzytelniają się w usługach internetowych organizacji.
Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania uprzywilejowanych użytkowników systemów.
Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania użytkowników ważnych repozytoriów danych.
Uwierzytelnianie wieloskładnikowe jest odporne na ataki typu phishing i wykorzystuje coś, co użytkownicy mają, coś, co użytkownicy wiedzą, albo coś, co użytkownicy mają, a co jest odblokowywane przez coś, co użytkownicy wiedzą, lub przez coś, czym są.
Udane i nieudane zdarzenia uwierzytelniania wieloskładnikowego są rejestrowane centralnie.
Dzienniki zdarzeń są chronione przed nieautoryzowaną modyfikacją i usuwaniem.
Dzienniki zdarzeń są monitorowane pod kątem oznak naruszenia, a każde stwierdzenie wystąpienia takich oznak powoduje podjęcie stosownych działań.

Odpowiedź Atlassian

W przypadku Confluence, Jira uwierzytelnianie wieloskładnikowe jest dostępne dla poszczególnych kont. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, zobacz: Wymuszanie weryfikacji dwuetapowej

BBC nadal obsługuje 2FA od lutego 2022 r. zasadniczo jest częścią narzędzia Atlassian Access i obsługuje dodatkowe funkcje oferowane przez Access. Wymuszone uwierzytelnianie wieloskładnikowe można ustawić na poziomie organizacji za pomocą narzędzia Atlassian Access. Aby uzyskać więcej informacji, patrz Wymuszanie weryfikacji dwuetapowej

W odniesieniu do określonych produktów

BitBucket obsługuje używanie opcji SSO opartych na MFA. Aby uzyskać więcej informacji, patrz Wymuszanie weryfikacji dwuetapowej | Bitbucket Cloud

Halp używa SSO za pośrednictwem Slack OAuth i MS Teams. Slack i MS Teams zapewniają wiele opcji uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, patrz Logowanie jednokrotne SAML i Azure AD Connect: bezproblemowe logowanie jednokrotne

Opsgenie obsługuje używanie opcji SSO opartych na MFA. Aby uzyskać więcej informacji, patrz Konfigurowanie SSO dla Opsgenie

Statuspage obsługuje używanie opcji SSO opartych na MFA.

Trello obsługuje uwierzytelnianie wieloskładnikowe. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, patrz Włączanie uwierzytelniania dwuskładnikowego na koncie Trello

Jira Align obsługuje używanie opcji SSO opartych na MFA.

Regularne kopie zapasowe

Pierwszy poziom dojrzałości

Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są wykonywane i przechowywane z częstotliwością i przedziałem czasowym przechowywania zgodnymi z wymaganiami dotyczącymi zapewniania ciągłości działalności biznesowej.
Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są synchronizowane tak, aby umożliwić ich przywrócenie do wspólnego punktu w czasie.
Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są przechowywane w bezpieczny i niezawodny sposób.
Przywracanie ważnych danych, oprogramowania i ustawień konfiguracji z kopii zapasowych do wspólnego punktu w czasie jest testowane w ramach testów odzyskiwania awaryjnego.
Konta nieuprzywilejowane nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont.
Nieuprzywilejowane konta nie mogą modyfikować ani usuwać kopii zapasowych.

Drugi poziom dojrzałości

Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są wykonywane i przechowywane z częstotliwością i przedziałem czasowym przechowywania zgodnymi z wymaganiami dotyczącymi zapewniania ciągłości działalności biznesowej.
Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są synchronizowane tak, aby umożliwić ich przywrócenie do wspólnego punktu w czasie.
Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są przechowywane w bezpieczny i niezawodny sposób.
Przywracanie ważnych danych, oprogramowania i ustawień konfiguracji z kopii zapasowych do wspólnego punktu w czasie jest testowane w ramach testów odzyskiwania awaryjnego.
Konta nieuprzywilejowane nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont.
Konta uprzywilejowane (poza kontami administratorów kopii zapasowych) nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont.
Nieuprzywilejowane konta nie mogą modyfikować ani usuwać kopii zapasowych.
Konta uprzywilejowane (poza kontami administratorów kopii zapasowych) nie mogą modyfikować ani usuwać kopii zapasowych.

Trzeci poziom dojrzałości

Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są wykonywane i przechowywane z częstotliwością i przedziałem czasowym przechowywania zgodnymi z wymaganiami dotyczącymi zapewniania ciągłości działalności biznesowej.
Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są synchronizowane tak, aby umożliwić ich przywrócenie do wspólnego punktu w czasie.
Kopie zapasowe ważnych danych, oprogramowania i ustawień konfiguracyjnych są przechowywane w bezpieczny i niezawodny sposób.
Przywracanie ważnych danych, oprogramowania i ustawień konfiguracji z kopii zapasowych do wspólnego punktu w czasie jest testowane w ramach testów odzyskiwania awaryjnego.
Konta nieuprzywilejowane nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont ani ich własnych kont.
Konta uprzywilejowane (poza kontami administratorów kopii zapasowych) nie mogą uzyskać dostępu do kopii zapasowych należących do innych kont ani ich własnych kont.
Nieuprzywilejowane konta nie mogą modyfikować ani usuwać kopii zapasowych. Konta uprzywilejowane (w tym konta administratorów kopii zapasowych) nie mogą modyfikować ani usuwać kopii zapasowych w okresie ich przechowywania.

Odpowiedź Atlassian

Firma Atlassian przestrzega standardów dotyczących przechowywania i niszczenia danych, które określają, jak długo musimy zatrzymywać różnego rodzaju dane. Dane są klasyfikowane zgodnie z zasadami firmy Atlassian dotyczącymi bezpieczeństwa danych i cyklu życia informacji, a na tej podstawie wdrażane są środki kontroli.
W przypadku danych klienta w momencie rozwiązania umowy z firmą Atlassian dane należące do zespołu klienta zostaną usunięte z aktywnej produkcyjnej bazy danych, w wszystkie pliki załączników przekazane bezpośrednio do firmy Atlassian zostaną usunięte w ciągu 14 dni. Dane zespołu zostaną zachowane w zaszyfrowanych kopiach zapasowych przez 60 dni, a następnie zniszczone zgodnie z zasadami przechowywania danych firmy Atlassian. Jeśli w ciągu 60 dni od zażądania usunięcia danych konieczne okaże się przywrócenie bazy danych, zespół odpowiedzialny za eksploatację systemów ponownie usunie dane możliwie jak najszybciej po pełnym przywróceniu aktywnego systemu produkcyjnego. Aby uzyskać więcej informacji, zobacz temat: Monitorowanie pamięci masowej i przenoszenie danych między produktami

Polecane

Jira

Confluence

Jira Service Management

Trello

Rovo NOWOŚĆ

Jira Product Discovery NOWOŚĆ

Compass NOWOŚĆ

Guard NOWOŚĆ

Loom NOWOŚĆ

Programiści

Jira

Bitbucket

Compass NOWOŚĆ

Menedżerowie produktu

Jira

Confluence

Jira Product Discovery NOWOŚĆ

Specjaliści IT

Jira Service Management

Guard NOWOŚĆ

Zespoły biznesowe

Jira

Confluence

Trello

Loom NOWOŚĆ

Kadra zarządzająca

Jira Align

Jira

Confluence

Loom NOWOŚĆ

Zespoły

Oprogramowanie

Marketing

IT

rozwiązanie

Według wielkości zespołu

Według branży

Dlaczego Atlassian

Narzędzia Integracji

Klienci

FedRAMP

Odporność

Platforma

Centrum zaufania

Zasoby

Obsługa klienta

Znajdź partnerów

Program migracji

University

Wsparcie

Uczenie się

ACSC — Essential 8 Maturity Model (model dojrzałości Essential 8) — przegląd wytycznych 2023

Strategia migracji

Pierwszy poziom dojrzałości

Drugi poziom dojrzałości

Trzeci poziom dojrzałości

Odpowiedź Atlassian

produkty

Zasoby

Uczenie się