Close
Логотип ACSC

ACSC: безопасность облачных вычислений для поставщиков облачных услуг — обзор рекомендаций на 2023 год

Разъяснительное замечание

Работающие в облаке клиенты из числа организаций государственного сектора, а также предприятий, которые Австралийский центр кибербезопасности (ACSC) считает регулируемыми субъектами, должны рассматривать эти рекомендации только применительно к продуктам Atlassian Cloud и предоставляемым компанией Atlassian услугам.

Данный отчет содержит только информацию и рекомендации, предоставляемые компанией Atlassian клиентам Cloud и касающиеся того, как мы обеспечиваем соответствие принципам безопасности облачных вычислений для поставщиков облачных услуг. Кроме того, мы составили специальный технический документ «Общая ответственность», в котором описаны обязанности, возлагаемые как на поставщика облачных услуг (CSP), так и на клиентов. Модель общей ответственности не избавляет клиентов, использующих продукты Atlassian Cloud, от ответственности и рисков, но облегчает задачу по обеспечению безопасности, которая с нашей стороны подразумевает управление компонентами системы и физическую защиту объектов. Кроме того, благодаря ей часть расходов на обеспечение безопасности и соответствия нормативным требованиям переносится с клиентов на Atlassian.

Подробнее об обязательствах Atlassian по защите данных клиентов см. на странице о принципах безопасности.

Риск

Ссылка

Меры по снижению рисков

Ответ Atlassian

Наиболее эффективные меры по снижению рисков, применимые ко всем типам облачных услуг

Глобальное несоблюдение принципов конфиденциальности, целостности и доступности данных держателя

Ссылка

1. Общее

Меры по снижению рисков

Оцените облачную услугу и базовую инфраструктуру (применяя меры по снижению рисков, приведенные в этой публикации) в соответствии с рекомендациями ISM [1] на соответствующем уровне классификации, необходимом для обработки данных держателя.

Ответ Atlassian

В Atlassian действуют надежные механизмы, обеспечивающие соблюдение основных принципов конфиденциальности данных, и средства правовой защиты для лиц, пострадавших от несоблюдения этих принципов, а также предусмотрены меры в случае их нарушения. Для этого мы проводим периодические и специальные мероприятия по самостоятельной оценке, а также организуем внешний аудит и проверки соответствия, когда это необходимо. В частности, мы ежегодно сотрудничаем с компанией TrustArc, которая является сторонним поставщиком и подтверждает, что наши процедуры соответствуют основным принципам обеспечения конфиденциальности данных. Они поддерживают нашу самостоятельную сертификацию, а также предоставляют услуги независимого посредничества при рассмотрении жалоб клиентов, связанных с конфиденциальностью. Мы также отслеживаем и контролируем соблюдение требований с помощью заявок Jira. Их можно использовать в качестве контрольного журнала наряду с нашими программами самостоятельной оценки, внешним аудитом и проверками соответствия, а также любыми планами по исправлению, которые мы периодически составляем. Мы контролируем методы обработки данных, а также поддерживаем программу отслеживания инцидентов и нарушений, связанных с конфиденциальностью данных.

 

Ссылка

2. Общее

Меры по снижению рисков

Внедрите управление безопасностью с участием руководителей высшего звена, направляющих и координирующих соответствующие мероприятия, в том числе эффективное управление изменениями, а также компетентных сотрудников, выполняющих определенные функции в области безопасности.

Ответ Atlassian

Бала Сатьямурти — директор Atlassian по ИТ-безопасности. Он работает в офисе в Сан-Франциско. В нашей команде по безопасности более 230 сотрудников: они занимаются защитой продуктов, сбором и анализом данных по безопасности, созданием архитектуры безопасности и разработкой принципов доверия, оценки рисков и обеспечения соответствия. Кроме того, есть сотрудники отдела разработки и обеспечения надежности, находящиеся в офисах в Сиднее, Амстердаме, Остине, Бангалоре, Маунтин-Вью, Сан-Франциско и Нью-Йорке, и участники команды, работающие удаленно.

 

Ссылка

3. Общее

Меры по снижению рисков

Внедрите и ежегодно тестируйте план реагирования на инциденты в сфере кибербезопасности, чтобы предоставить держателю контактные данные на случай чрезвычайных ситуаций, доступ к судебным доказательствам (который обычно не предоставляется держателям) и уведомления об инцидентах.

Ответ Atlassian

Мы располагаем документированной политикой и планом реагирования на инциденты в сфере безопасности, ключевые принципы которых включают:

  • Прогнозирование инцидентов в сфере безопасности и подготовку к реакции на инциденты.
  • Сдерживание последствий инцидентов, их устранение и восстановление систем.
  • Принятие мер, направленных на то, чтобы наши сотрудники, процессы и технологии были полностью готовы к выявлению и анализу инцидентов в сфере безопасности в случае их возникновения.
  • Защиту персональных данных и данных клиентов в качестве нашей главной задачей во время инцидентов в сфере безопасности.
  • Регулярную проверку процедуры реагирования на инциденты в сфере безопасности.
  • Накопление опыта и совершенствование функции управления инцидентами в сфере безопасности.
  • Информирование руководящей группы Atlassian о критических инцидентах в сфере безопасности.
В соответствии с этой политикой компания Atlassian придерживается плана реагирования на инциденты в сфере безопасности.  Дополнительные сведения о нашей процедуре реагирования на инциденты в сфере безопасности см. в разделе Управление инцидентами в сфере безопасности.

Данные держателя скомпрометированы при передаче в результате злонамеренных действий третьей стороны

Ссылка

4. Общее

Меры по снижению рисков

Поддерживайте и применяйте криптографические решения, подтвержденные ASD, для защиты данных, передаваемых между держателем и поставщиком облачных услуг (CSP). Такие решения могут включать TLS на уровне приложений или IPsec VPN с утвержденными алгоритмами, длиной ключа и управлением ключами.

Ответ Atlassian

Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью стандартного в отрасли шифрования AES-256.

При хранении мы, в частности, шифруем хранящиеся на диске данные клиентов, например данные о задачах Jira (подробности, комментарии, вложения) и данные страниц Confluence (содержимое страниц, комментарии, вложения). Шифрование данных при хранении помогает защитить их от несанкционированного доступа и обеспечивает доступ к данным только авторизованным ролям и службам с контролируемым доступом к ключам шифрования.

Для управления ключами компания Atlassian использует AWS Key Management Service (KMS). Процесс шифрования, дешифрования и управления ключами регулярно проверяется и контролируется AWS в рамках внутренних процессов валидации. Для каждого ключа назначается владелец, который отвечает за применение для него методов защиты соответствующего уровня.

Ссылка

5. Общее

Меры по снижению рисков

Применяйте криптографические решения, подтвержденные ASD, для защиты данных, передаваемых между центрами обработки данных, принадлежащих поставщику облачных услуг (CSP), по незащищенным каналам связи, таким как общедоступная интернет-инфраструктура.

Ответ Atlassian

В Atlassian разработана и поддерживается политика шифрования и криптографии, а также используются рекомендации по ее внедрению. Эта политика ежегодно пересматривается и обновляется в соответствии с нашей Программой управления политиками (PMP). Подробнее см. в разделе Наша система Atlassian Trust Management System (ATMS).

Ссылка

6. Общее

Меры по снижению рисков

Поддерживайте и применяйте криптографические решения, подтвержденные ASD, для защиты данных на носителях информации, передаваемых почтой/курьером между держателем и поставщиком облачных услуг (CSP) при обмене сведениями в рамках адаптации или увольнения персонала.

Ответ Atlassian

Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью стандартного в отрасли шифрования AES-256.

При хранении мы, в частности, шифруем хранящиеся на диске данные клиентов, например данные о задачах Jira (подробности, комментарии, вложения) и данные страниц Confluence (содержимое страниц, комментарии, вложения). Шифрование данных при хранении помогает защитить их от несанкционированного доступа и обеспечивает доступ к данным только авторизованным ролям и службам с контролируемым доступом к ключам шифрования.

Для управления ключами компания Atlassian использует AWS Key Management Service (KMS). Процесс шифрования, дешифрования и управления ключами регулярно проверяется и контролируется AWS в рамках внутренних процессов валидации. Для каждого ключа назначается владелец, который отвечает за применение для него методов защиты соответствующего уровня.

Учетные данные держателя, относящиеся к аккаунту в облачной службе, скомпрометированы в результате злонамеренных действий третьей стороны [2] [3] [4] [5]

Ссылка

7. Общее

Меры по снижению рисков

Обеспечьте идентификацию и управление доступом, например многофакторную аутентификацию и роли аккаунтов с различными правами [6], чтобы держатель мог взаимодействовать с облачной службой посредством панели управления сайтом, принадлежащей поставщику облачных услуг (CSP), и API.

Ответ Atlassian

Да. Если говорить о Confluence и Jira, то многофакторная аутентификация доступна для отдельных аккаунтов. Дополнительные сведения о том, как включить многофакторную аутентификацию, см. в разделе Принудительная двухфакторная аутентификация.

BBC по-прежнему поддерживает двухфакторную аутентификацию по состоянию на февраль 2022 года, обладает интеграцией с Atlassian Access и поддерживает дополнительные функции, предлагаемые Access. Принудительную многофакторную аутентификацию можно настроить на уровне организации с помощью Atlassian Access. Дополнительные сведения см. в разделе Принудительная двухфакторная аутентификация.

Информация о конкретных продуктах. В Bitbucket поддерживается использование разных вариантов SSO на основе MFA. Дополнительные сведения см. в разделе Принудительная двухфакторная аутентификация | Bitbucket Cloud

В Halp используется система единого входа через Slack OAuth и MS Teams. Slack и MS Teams предоставляют несколько вариантов многофакторной аутентификации. Дополнительные сведения см. в разделах Система единого входа на базе SAML и Azure AD Connect: простая система единого входа.
В Opsgenie поддерживается использование разных вариантов SSO на основе MFA. Дополнительные сведения см. в разделе Настройка SSO для Opsgenie.
В Statuspage поддерживается использование разных вариантов SSO на основе MFA.
В Trello поддерживается многофакторная аутентификация. Дополнительные сведения о том, как включить многофакторную аутентификацию, см. в разделе «Включение двухфакторной аутентификации для аккаунта Trello». В Jira Align поддерживается использование разных вариантов SSO на основе MFA.

Ссылка

8. Общее

Меры по снижению рисков

Поддерживайте и применяйте криптографические решения, подтвержденные ASD, для защиты учетных данных и сведений об административной деятельности при передаче, когда держатель взаимодействует с облачной службой посредством панели управления сайтом, принадлежащей поставщику облачных услуг (CSP), и API.

Ответ Atlassian

Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью стандартного в отрасли шифрования AES-256.

При хранении мы, в частности, шифруем хранящиеся на диске данные клиентов, например данные о задачах Jira (подробности, комментарии, вложения) и данные страниц Confluence (содержимое страниц, комментарии, вложения). Шифрование данных при хранении помогает защитить их от несанкционированного доступа и обеспечивает доступ к данным только авторизованным ролям и службам с контролируемым доступом к ключам шифрования.

Для управления ключами компания Atlassian использует AWS Key Management Service (KMS). Процесс шифрования, дешифрования и управления ключами регулярно проверяется и контролируется AWS в рамках внутренних процессов валидации. Для каждого ключа назначается владелец, который отвечает за применение для него методов защиты соответствующего уровня.

Ссылка

9. Общее

Меры по снижению рисков

Разрешите держателю загружать подробные синхронизированные по времени журналы и получать оповещения в реальном времени для аккаунтов держателя в облачной службе, которые используются для доступа к службе, в частности для ее администрирования.

Ответ Atlassian

Основные системные журналы передаются из каждой системы на централизованную платформу журналов, причем они доступны только для чтения. Команда по обеспечению безопасности Atlassian создает оповещения на нашей платформе аналитики безопасности (Splunk) и отслеживает признаки угрозы. С помощью этой платформы наши команды по обеспечению надежности отслеживают проблемы, влияющие на доступность и производительность. Журналы хранятся в течение 30 дней в архивах «горячего» резервирования и в течение 365 дней в архивах «холодного» резервирования.

Подробные сведения об основных журналах см. в разделе Отслеживание деятельности организации с помощью журнала.

Данные держателя скомпрометированы в результате злонамеренных действий поставщика облачных услуг (CSP) или третьей стороны

Ссылка

10. Общее

Меры по снижению рисков

Разрешите держателю загружать подробные синхронизированные по времени журналы и получать оповещения в реальном времени, генерируемые облачной службой, которую использует держатель, например журналы операционной системы, веб-сервера и приложений.

Ответ Atlassian

Мы можем выбирать, какие данные записать в журналы и как долго эти журналы следует хранить. Для этого используются Casper (https://www.jamf.com) и osquery (https://osquery.io/). Журналы хранятся в логическом разделе системы, а доступ на запись в них предоставляется только участникам команды по обеспечению безопасности. При обнаружении в журналах определенных действий или событий сотрудники команды по обеспечению безопасности или службы поддержки получают оповещения. Наш централизованный сервис ведения журналов (Splunk) встроен в инфраструктуру аналитики безопасности, тем самым реализуя возможность автоматического анализа и оповещения для выявления потенциальных проблем.

Наши внутренние и внешние средства обнаружения уязвимостей способны отправлять оповещения обо всех открытых без видимой причины портах или других изменениях конфигурации (например, о профилях TLS серверов прослушивания). При обнаружении в журналах определенных действий или событий сотрудники команды по обеспечению безопасности или службы поддержки получают оповещения.

Ссылка

11. Общее

Меры по снижению рисков

Раскрывайте информацию о странах и правовых юрисдикциях, в которых данные держателя хранятся (или будут храниться в течение ближайших месяцев), добавляются к резервным копиям, обрабатываются и к которым получают доступ сотрудники CSP для устранения неполадок, удаленного администрирования и поддержки клиентов.

Ответ Atlassian

Компания Atlassian использует решения Amazon Web Services (AWS) в следующих регионах: Восток США, Запад США, Ирландия, Франкфурт, Сингапур и Сидней (Confluence и Jira). Дополнительные сведения см. в разделе Инфраструктура облачного хостинга.

Информация о конкретных продуктах. Решение Trello доступно в AWS в регионе «Восток США» (штат Огайо). Jira Align: физическое местоположение клиентских данных можно запросить, обратившись в службу поддержки. См. раздел Служба поддержки Jira Align.

Сервис Statuspage доступен в регионах AWS «Запад США» (штаты Орегон, Калифорния) и «Восток США» (штат Огайо). У Opsgenie есть аккаунты AWS как в США, так и в Европе. При регистрации клиент должен выбрать в AWS регион «США» (штаты Орегон, Калифорния) или «ЕС» (Франкфурт).

Сервис Halp размещен в AWS в регионах «Восток-2 США» и «Запад-2 США». Репозитории Bitbucket и основные функции приложений размещены в AWS в регионах «Восток США» и «Запад США».

Ссылка

12. Общее

Меры по снижению рисков

Проводите проверку биографии сотрудников CSP в соответствии с уровнем их доступа к системам и данным. Следите за допуском сотрудников, имеющих доступ к особо конфиденциальным данным [7].

Ответ Atlassian

Новые сотрудники Atlassian по всему миру проходят проверку биографии в обязательном порядке. Сотрудники, перешедшие в компанию в результате поглощения, проходят такую проверку после даты поглощения. Проверку отсутствия судимости проходят все сотрудники и независимые подрядчики. Сведения об образовании и опыте работы, а также кредитная история сотрудника проверяются, если того требует уровень должности или характер выполняемой работы. Мы проводим полную проверку биографических данных руководителей высшего звена и бухгалтеров.

Ссылка

13. Общее

Меры по снижению рисков

Используйте физически защищенные центры обработки данных и офисы в случае, если в них хранятся данные держателей или есть доступ к этим данным [8]. Проверяйте и регистрируйте всех сотрудников и посетителей. Сопровождайте посетителей, чтобы предотвратить несанкционированный доступ к данным.

Ответ Atlassian

В офисах Atlassian следуют внутренней политике обеспечения физической защиты и безопасности среды, в которой, помимо прочего, описывается порядок мониторинга физических точек входа и выхода. Для подтверждения соответствия требованиям наши партнеры, предоставляющие центры обработки данных, проходят множество сертификаций. Они касаются физической защиты, доступности системы, доступа к сети и IP-магистрали, подготовки клиентских аккаунтов и управления проблемами. Доступ к центрам обработки данных осуществляется только уполномоченным персоналом после биометрической аутентификации. Меры физической безопасности включают охрану на месте, видеонаблюдение по замкнутому контуру, ловушки и дополнительные меры защиты от вторжения. AWS обладает множеством сертификатов, относящихся к защите собственных центров обработки данных. Подробнее об обеспечении физической защиты на объектах AWS см. на странице http://aws.amazon.com/compliance/.

Ссылка

14. Общее

Меры по снижению рисков

Ограничивайте привилегированный доступ сотрудников CSP к системам и данным в зависимости от их рабочих задач [9]. Требуйте повторного подтверждения каждые три месяца для сотрудников CSP, которым требуется привилегированный доступ. Запрещайте доступ сотрудникам CSP после их увольнения.

Ответ Atlassian

В Atlassian ограничен круг сотрудников, которым необходим этот уровень доступа для выполнения работы и исполнения обязанностей. Для управления всеми системами 1-го уровня используется централизованное решение Atlassian, за счет которого реализована система единого входа (SSO) и каталоги пользователей. Пользователям предоставляются права доступа на основании этих профилей, которые формируются рабочим процессом в нашей системе управления кадрами. Для доступа ко всем системам 1-го уровня используется многофакторная аутентификация. Для доступа к консоли управления гипервизором и API AWS нужно пройти двухфакторную аутентификацию. Кроме того, ежедневно составляется отчет о проверке, в котором содержатся данные обо всех случаях получения доступа к функциям управления гипервизором. Списки доступа к консоли управления гипервизором и API AWS пересматриваются ежеквартально. Синхронизация между системой управления кадрами и хранилищем учетных данных происходит каждые 8 часов.

Ссылка

15. Общее

Меры по снижению рисков

Оперативно анализируйте журналы действий сотрудников CSP, которые регистрируются на защищенном и изолированном сервере журналов. Внедрите разделение обязанностей: требуйте, чтобы анализ журналов выполнялся сотрудниками CSP, не имеющими других привилегий или должностных обязанностей.

Ответ Atlassian

В основных продуктах Atlassian предусмотрены средства контроля за разделением обязанностей, в том числе:

  • Проверка средств управления доступом.
  • Группы безопасности, контролируемые приложением по управлению персоналом.
  • Подтверждение, экспертная оценка и реализация изменений (PRGB).
  • Средства управления рабочим процессом.
Сертификаты SOC2 и ISO 27001 доступны для загрузки на странице Комплексная защита данных.

Ссылка

16. Общее

Меры по снижению рисков

Проводите комплексную проверку поставщиков перед приобретением программного, аппаратного обеспечения или услуг, чтобы оценить потенциальное повышение рисков безопасности CSP.

Ответ Atlassian

Новые поставщики Atlassian должны согласиться с нашим приложением и политиками конфиденциальности и безопасности в договорах. Юридический отдел и отдел закупок Atlassian анализируют договоры, SLA и внутренние политики поставщиков и проверяют их на соответствие требованиям безопасности, доступности и конфиденциальности. Компания Atlassian ведет общедоступную страницу Список субобработчиков данных.

Ссылка

17. Общее

Меры по снижению рисков

Применяйте криптографические решения, подтвержденные ASD, для защиты конфиденциальных данных при хранении. Очищайте носители информации перед их ремонтом или утилизацией, а также перед увольнением держателей в соответствии с соглашением о неразглашении данных, имеющихся в остаточных резервных копиях.

Ответ Atlassian

Этим процессом управляет команда по технологиям рабочего места. Оборудование соответствующим образом очищается и размагничивается. Компания Atlassian не управляет физическими носителями, поддерживающими свои облачные продукты и услуги.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью отраслевого стандарта шифрования AES-256.

Данные держателя скомпрометированы в результате злонамеренных действий другого держателя или его компрометации [10] [11] [12] [13] [14] [15] [16] [17] [18]

Ссылка

18. Общее

Меры по снижению рисков

Внедряйте механизмы коллективной аренды, чтобы предотвратить доступ к данным держателя со стороны других держателей. Изолируйте сетевой трафик, хранилище, память и обработку данных. Очищайте носители данных перед повторным использованием.

Ответ Atlassian

Atlassian — это SaaS-приложение, рассчитанное на множество держателей. Архитектура с несколькими держателями является ключевой особенностью Atlassian Cloud, которая позволяет нескольким клиентам совместно использовать один экземпляр уровня приложений Jira или Confluence, изолируя при этом данные приложений каждого держателя. Atlassian Cloud решает эту задачу с помощью службы контекста держателей (TCS). Каждый идентификатор пользователя, используемый для доступа к приложениям Atlassian Cloud, связан ровно с одним держателем. Подробнее см. в разделе Правила и процедуры в сфере безопасности.
Мы соблюдаем логическое и физическое разделение сред на рабочую и нерабочую (т. е. среду разработки) и применяем методы изоляции этих сред.
Для раздела проиндексированных файлов существует логическое разделение (но не физическое), но управляется он процессами контроля изменений и доступа, отвечающими уровню рабочей среды.

Данные держателя недоступны из-за повреждения или удаления [19] либо из-за ситуации, в которой действие аккаунта или службы было прекращено на стороне поставщика облачных услуг (CSP)

Ссылка

19. Общее

Меры по снижению рисков

Дайте держателю возможность выполнять резервное копирование актуальных данных в формате, исключающем привязку к CSP. Если действие аккаунта или облачной службы будет прекращено, немедленно сообщите об этом держателю и предоставьте ему не менее месяца на загрузку данных.

Ответ Atlassian

Компания Atlassian придерживается стандарта по сохранению и уничтожению данных, в котором определены сроки хранения данных разных типов. Данные разделены по категориям в соответствии с политикой Atlassian в отношении безопасности данных и жизненного цикла информации. Кроме того, на основе ее положений реализованы средства управления данными. В случае прекращения действия договора с компанией Atlassian данные, принадлежащие команде клиента, стираются из рабочей базы данных, а все вложенные файлы, загруженные непосредственно в системы Atlassian, удаляются в течение 14 дней. Данные команды будут храниться в зашифрованных резервных копиях в течение 60-дневного периода, после чего их уничтожат в соответствии с политикой Atlassian в отношении хранения данных. Если в течение 60 дней после подачи запроса на стирание информации клиенту потребуется восстановить базу данных, операционная команда повторно удалит данные в разумно возможный кратчайший срок после того, как рабочая система будет полностью восстановлена. Подробнее см. в разделе Просмотр хранилища и перемещение данных между продуктами.

Данные держателя недоступны либо скомпрометированы в результате банкротства поставщика облачных услуг (CSP) или другого судебного процесса

Ссылка

20. Общее

Меры по снижению рисков

Обеспечьте на основе договора сохранение за держателем права собственности на свои данные.

Ответ Atlassian

Клиенты Atlassian сохраняют за собой ответственность за то, чтобы использование ими наших услуг соответствовало действующим законодательным и нормативным актам. Подробнее о конкретных юридических соглашениях и политиках компании можно узнать на странице наших правовых ресурсов: https://www.atlassian.com/legal.

Облачная служба недоступна из-за некачественного сетевого подключения на стороне поставщика облачных услуг (CSP)

Ссылка

21. Общее

Меры по снижению рисков

Предоставьте достаточную пропускную способность, низкую задержку и надежное сетевое подключение между держателем и облачной службой, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя.

Ответ Atlassian

Мы отслеживаем производительность и доступность всех экземпляров Cloud, однако в настоящее время у нас нет официального соглашения SLA с условиями о доступности приложений. Наша служба поддержки предоставляет SLA о первоначальном времени отклика. В отсутствие официального соглашения SLA по решениям поддержки мы стремимся обрабатывать все назначенные обращения в течение 48 часов. Компания Atlassian публикует статистику последних статусов систем Cloud здесь: https://status.atlassian.com.

Да, мы предлагаем гарантии SLA, если вы решите воспользоваться нашими предложениями Premium или Enterprise.

Облачная служба недоступна из-за ошибок на стороне поставщика облачных услуг (CSP), планового отключения, неисправности оборудования или природных явлений

Ссылка

22. Общее

Меры по снижению рисков

Создайте архитектуру, с помощью которой удастся обеспечить заявленный уровень доступности в соответствии с требованиями держателя. Она может включать такие возможности, как минимально возможное число отдельных точек отказа, кластеризация и балансировка нагрузки, репликация данных, автоматическое аварийное переключение и мониторинг доступности в режиме реального времени.

Ответ Atlassian

Мы тестируем планы непрерывной работы и аварийного восстановления для служб Atlassian Cloud по меньшей мере один раз в квартал. Доступность в разных регионах отслеживается в реальном времени. Каждую неделю в среде для подготовки к релизу проводятся автоматические проверки аварийного переключения в регионах. Проверки автоматизированного восстановления конфигурационных данных проводятся ежедневно в рабочей среде.

Все службы Atlassian ежеквартально проходят тестирование отказоустойчивости в зоне доступности в среде для подготовки к релизу. Подробнее о нашей программе непрерывной работы см. на странице https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e.

Наши планы аварийного восстановления протестированы и утверждены внешними аудиторами в рамках корпоративной программы соответствия требованиям. Подробнее см. на странице https://www.atlassian.com/trust/compliance/resources.

Ссылка

23. Общее

Меры по снижению рисков

Разработайте и ежегодно тестируйте план аварийного восстановления и непрерывной работы, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя. Это поможет вам подготовиться к таким ситуациям, как инциденты, приводящие к недоступности персонала на стороне поставщика облачных услуг (CSP) или выходу его инфраструктуры из строя на длительное время.

Ответ Atlassian

В компании действует Политика непрерывной работы и аварийного восстановления, а также одноименный План, которые ежегодно пересматриваются руководящим комитетом по обеспечению непрерывной работы и аварийному восстановлению. Владельцы критически важных для бизнеса систем, процессов и служб в полной мере реализуют непрерывную работу и (или) аварийное восстановление, которое соответствует должной отказоустойчивости на случай аварии. Планы, касающиеся непрерывной работы и аварийного восстановления, проверяются ежеквартально. Все выявленные проблемы устраняются. Подробнее см. в разделах Принципы безопасности и Подход компании Atlassian к обеспечению отказоустойчивости.

Облачная служба недоступна из-за резкого повышения спроса, проблем с пропускной способностью или отказа центрального процессора в обслуживании (DoS)

Ссылка

24. Общее

Меры по снижению рисков

Реализуйте средства защиты от отказа в обслуживании, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя. Такие средства могут включать, например, резервирование внешней и внутренней сети с высокой пропускной способностью, а также дросселирование и фильтрацию трафика.

Ответ Atlassian

Команда по обеспечению безопасности Atlassian применяет технологии предотвращения вторжений (IPS), внедренные в наших офисных средах. Компания AWS обеспечивает защиту от сетевых угроз, таких как DDoS-атаки. Кроме того, для защиты служит ряд функций брандмауэра веб-приложений.

Если говорить о конкретных продуктах, в Jira Align используется Cloudflare, что обеспечивает наличие WAF и DNSSEC, а также защиту от DDoS-атак. Мы применяем систему обнаружения вторжений (IDS) от Alert Logic и решение CloudTrail, а также проводим анализ журналов. Сканирование общих сетевых компонентов в стеке Atlassian Cloud осуществляется с помощью Nexpose. Кроме того, мы задействуем специальный метод анализа журналов на базе Splunk.

Ссылка

25. Общее

Меры по снижению рисков

Предоставьте достаточную пропускную способность инфраструктуры и гибкое автоматическое масштабирование, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя.

Ответ Atlassian

Компания Atlassian планирует доступность ресурсов на 6–12 месяцев вперед, а ее горизонт общего стратегического планирования составляет 36 месяцев.

Соглашения и цели по уровню обслуживания (SLA/SLO): для систем Atlassian утверждены конкретные цели, согласованные с их рабочими параметрами.
(1) Во всех системах имеется набор целей по уровню обслуживания (SLO), связанных с основными возможностями этих систем.
(2) Эти цели пересматриваются по меньшей мере ежеквартально.
(3) Некоторым клиентам Atlassian предоставляются соглашения об уровне обслуживания (SLA) в отношении услуг, предоставляемых компанией Atlassian. Эти SLA должны быть подкреплены внутренними SLO.
(4) Команда, не выполнившая одну или несколько целей SLO, должна заняться восстановлением соответствующего показателя, отложив остальные задачи.

В связи с резким повышением спроса, проблемами с пропускной способностью или отказом центрального процессора в обслуживании (DoS) возникли определенные финансовые последствия

Ссылка

26. Общее

Меры по снижению рисков

Обеспечьте держателю возможность управлять расходами в случае резкого повышения спроса или отказа в обслуживании с помощью обозначенных в договоре расходных лимитов, оповещений в режиме реального времени и настраиваемых максимальных ограничений на использование пропускной способности поставщика облачных услуг (CSP).

Ответ Atlassian

Мы не выставляем клиентам счета в соответствии с объемом использования в рамках своих предложений SaaS. В настоящее время мы не предоставляем держателям пользовательские отчеты и данные о пропускной способности.

Инфраструктура поставщика облачных услуг (CSP) скомпрометирована в результате злонамеренных действий держателя или третьей стороны

Ссылка

27. Общее

Меры по снижению рисков

Поддержка клиентов, а также администрирование облачных служб и инфраструктуры должны осуществляться с помощью подтвержденных и защищенных компанией компьютеров, инсталляционных серверов, выделенных аккаунтов, надежных парольных фраз и многофакторной аутентификации.

Ответ Atlassian

Сотрудники должны по возможности использовать двухфакторную аутентификацию (2FA), а также диспетчер паролей со случайно созданными и достаточно безопасными паролями. Уполномоченные сотрудники получают доступ к рабочей среде, проходя аутентификацию в сети VPN с помощью уникальных надежных паролей и двухфакторной аутентификации (2FA) на основе TOTP. Подключение должно осуществляться только через терминал по ssh с использованием личных сертификатов RSA, защищенных парольной фразой. Обязательные требования: SSO, SSH, 2FA и VPN.

Ссылка

28. Общее

Меры по снижению рисков

Используйте криптографические решения, подтвержденные ASD, для защиты учетных данных и сведений об административной деятельности при передаче по незащищенным каналам связи между центром обработки данных CSP и администратором CSP либо сотрудниками службы поддержки клиентов.

Ответ Atlassian

Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью стандартного в отрасли шифрования AES-256.

При хранении мы, в частности, шифруем хранящиеся на диске данные клиентов, например данные о задачах Jira (подробности, комментарии, вложения) и данные страниц Confluence (содержимое страниц, комментарии, вложения). Шифрование данных при хранении помогает защитить их от несанкционированного доступа и обеспечивает доступ к данным только авторизованным ролям и службам с контролируемым доступом к ключам шифрования.

Для управления ключами компания Atlassian использует AWS Key Management Service (KMS). Процесс шифрования, дешифрования и управления ключами регулярно проверяется и контролируется AWS в рамках внутренних процессов валидации. Для каждого ключа назначается владелец, который отвечает за применение для него методов защиты соответствующего уровня.

Ссылка

29. Общее

Меры по снижению рисков

Реализуйте сегментирование и разделение сети [20] между Интернетом, инфраструктурой CSP, используемой держателями, сетью, которую поставщик облачных услуг (CSP) использует для администрирования облачных служб и инфраструктуры, и корпоративной локальной сетью CSP.

Ответ Atlassian

Данные клиентов не подлежат копированию с последующим переносом за пределы рабочей среды, которая размещена на защищенных серверах AWS. Действуют строгие правила брандмауэра, согласно которым доступ к рабочей среде предоставляется только нашей сети VPN и авторизованным системам. Для доступа к сети VPN требуется многофакторная аутентификация. В основных продуктах Atlassian предусмотрены средства контроля за разделением обязанностей, в том числе:

  • Проверка средств управления доступом.
  • Группы безопасности, контролируемые приложением по управлению персоналом.
  • Подтверждение, экспертная оценка и реализация изменений (PRGB).
  • Средства управления рабочим процессом.
Сертификаты SOC2 и ISO 27001 доступны для загрузки на странице Комплексная защита данных.

Ссылка

30. Общее

Меры по снижению рисков

Используйте методы безопасного программирования для ПО, разработанного CSP [21] [22] [23].

Ответ Atlassian

Методы обеспечения безопасности Atlassian охватывают каждый этап жизненного цикла разработки. Подробнее см. в разделе Обеспечение безопасности при разработке ПО в Atlassian.

На этапе создания дизайна соблюдение требований к безопасности обеспечивается с помощью таких методов, как моделирование угроз, оценка дизайна, а также реализация стандартов безопасности из регулярно обновляемой библиотеки.

В ходе разработки проводится обязательная проверка коллегами, которая играет роль проверки безопасности первого уровня. Проверка предполагает автоматический статический анализ (SAST) и ручное тестирование безопасности и выполняется как штатными специалистами, так и сторонними экспертами согласно внутренней процедуре оценки рисков. Разработка ведется в том числе при поддержке обучающих программ по безопасности приложений, а также базы знаний, которую регулярно пополняет команда безопасности.

Оценка формальной готовности к запуску и процессы контроля изменений обеспечивают развертывание только подтвержденных изменений. После развертывания регулярно проводится автоматизированное сканирование на предмет уязвимостей, а также используется ведущая в отрасли программа вознаграждения за найденные ошибки (https://bugcrowd.com/atlassian), которая обеспечивает непрерывную проверку безопасности наших приложений.

Ссылка

31. Общее

Меры по снижению рисков

Работая с облачными службами и базовой инфраструктурой, обеспечивайте должный уровень безопасности с помощью конфигурации, непрерывное управление уязвимостями, своевременное устранение ошибок, ежегодные проверки безопасности сторонними организациями и тестирование на проникновение.

Ответ Atlassian

Мы привлекаем сторонних консультантов для проведения ежегодных тестов на проникновение во внешние приложения. Кроме того, мы дополняем эти тесты более мелкими текущими работами по проверке безопасности, которые выполняет наша команда внутреннего тестирования безопасности. Письма об оценке тестов на проникновение и дополнительную информацию о нашей процедуре тестирования можно найти в разделе Подход к внешнему тестированию безопасности.

Кроме того, мы вместе с Bugcrowd поддерживаем работу программы вознаграждения за найденные ошибки (Bug Bounty), что позволяет нам обеспечить непрерывную оценку уязвимостей в собственных общедоступных продуктах и услугах. Подробнее о программе см. на странице https://bugcrowd.com/atlassian. Мы публикуем результаты текущего тестирования на проникновение в рамках программы Bug Bounty. Подробные сведения см. в разделе Подход к внешнему тестированию безопасности.

Все найденные уязвимости подпадают под действие нашей политики исправления ошибок, связанных с безопасностью. В ней определены цели по уровню обслуживания (SLO), рассчитанные на основе степени серьезности конкретной проблемы безопасности. Сроки решения проблем и подробную информацию о политике можно найти в разделе Правила исправления ошибок, связанных с безопасностью. Чтобы узнать больше о нашей программе управления уязвимостями, см. раздел Подход Atlassian к управлению уязвимостями.

Подробнее о том, как мы обеспечиваем безопасность собственных методов разработки, можно прочесть в разделе Обеспечение безопасности при разработке ПО в Atlassian.

Ссылка

32. Общее

Меры по снижению рисков

Обучайте всех сотрудников CSP, особенно администраторов, при вступлении в должность, а затем ежегодно, чтобы защитить данные держателя, а также обеспечить доступность облачных служб и своевременное выявление инцидентов безопасности, например с помощью оперативного анализа журналов.

Ответ Atlassian

Компания Atlassian проводит обучение по вопросам безопасности в рамках адаптации новых сотрудников (Rocketfuel) и на постоянной основе для всего персонала. Перед началом работы в компании кандидатам и подрядчикам необходимо подписать соглашение о конфиденциальности. В случае технологических или других серьезных изменений курсы становятся доступными во внутренней сети (действующие сотрудники получают соответствующее уведомление).

Помимо этого обучения по общим мерам и правилам безопасности, наши разработчики могут пройти специальное обучение по безопасному программированию. Оно включено в программу для специалистов по безопасности в составе команд. Компания Atlassian также проводит постоянное обучение по актуальным вопросам безопасности, связанным с вредоносными программами, фишингом и другими проблемами. Сотрудники и подрядчики Atlassian подлежат идентификации и проверке разрешений на работу.

Наиболее эффективные меры по снижению рисков, особенно актуальные для IaaS-инфраструктуры

Виртуальная машина держателя скомпрометирована в результате злонамеренных действий третьей стороны [24]

Ссылка

1. IaaS-инфраструктура

Меры по снижению рисков

Обеспечьте возможности управления доступом к сети, с помощью которых держатель сможет реализовать сегментирование и разделение сети [25], включая возможность ее фильтрации с целью разрешить удаленное администрирование своих виртуальных машин только с нужных IP-адресов.

Ответ Atlassian

Это неприменимо. Компания Atlassian является поставщиком услуг SaaS.

Ссылка

2. IaaS-инфраструктура

Меры по снижению рисков

Предоставьте держателю шаблоны виртуальных машин, где конфигурация обеспечивает должный уровень безопасности и где устранены известные ошибки. Избегайте ситуаций, когда новым виртуальным машинам назначаются слабые парольные фразы администратора.

Ответ Atlassian

Это неприменимо. Компания Atlassian является поставщиком услуг SaaS.

Наиболее эффективные меры по снижению рисков, особенно актуальные для PaaS

Данные держателя скомпрометированы в результате злонамеренных действий третьей стороны

Ссылка

1. PaaS

Меры по снижению рисков

Обеспечьте безопасность и надежную конфигурацию для операционной системы, веб-сервера и ПО платформы. Разрешите входящие и исходящие сетевые подключения только для необходимых портов и протоколов. Оперативно устраняйте ошибки и анализируйте журналы.

Ответ Atlassian

Это неприменимо. Компания Atlassian является поставщиком услуг SaaS.

Наиболее эффективные меры по снижению рисков, особенно актуальные для SaaS

Данные держателя скомпрометированы в результате злонамеренных действий третьей стороны

Ссылка

1. SaaS

Меры по снижению рисков

Внедрите средства управления для облачной службы, например для электронной почты, предоставляемой как услуга. Обеспечьте функции фильтрации контента с автоматическим динамическим анализом электронных писем и вложенных файлов.

Ответ Atlassian

Такие возможности обеспечиваются в наших продуктах. Компания Atlassian применяет решение Proofpoint (https://www.proofpoint.com/au/products/email-protection) для сканирования вложенных файлов и переопределения URL-адресов, чтобы блокировать попытки фишинга. Кроме того, в Atlassian используются средства защиты электронной почты, встроенные в Google G Suite (службы безопасности и защиты данных в облаке).

Ссылка

2. SaaS

Меры по снижению рисков

Внедрить общие средства управления [26], в частности. разрешение входящих и исходящих сетевых подключений только по необходимым портам или протоколам, ежедневное обновление антивирусного ПО, системы предотвращения вторжений и оперативный анализ журналов.

Ответ Atlassian

Неприменимо. На рабочих серверах Atlassian нет средств защиты от вредоносного ПО, так как запись данных на них осуществляется только через наш конвейер CI/CD. Службы приложений Atlassian, в которых размещаются Jira Cloud или Confluence Cloud, содержат только код приложений и ничего больше. Запись данных на серверы Jira и Confluence Cloud разрешена только через конвейер развертывания Atlassian / конвейер CI/CD.

Весь контент, создаваемый пользователями, хранится на серверах баз данных или RDS, все вложения и другие элементы сохраняются в общем сервисе Media Services, который, по сути, является просто интерфейсом для корзины S3. Команда Atlassian по противодействию злоупотреблениям может удалять из Media Services вложения, идентифицированные как вредоносные программы или другие неприемлемые материалы, но не сканирует их на наличие вредоносных программ. Мы полагаемся на наши возможности обнаружения конечных точек и средства обнаружения клиентских вредоносных программ.

На всех серверах Windows Atlassian использует систему Crowdstrike Falcon. Atlassian ежедневно обновляет сигнатуры из Crowdstrike, чтобы включить в них все вредоносное ПО, известное поставщику Crowdstrike к этому моменту.