ACSC: модель внедрения восьми основных стратегий по смягчению последствий (Essential 8 Maturity Model) — обзор рекомендаций на 2023 год

Разъяснительное замечание

Работающие в облаке клиенты из числа организаций государственного сектора, а также предприятий, которые Австралийский центр кибербезопасности (ACSC) считает регулируемыми субъектами, должны рассматривать эти рекомендации только применительно к продуктам Atlassian Cloud и предоставляемым компанией Atlassian услугам.

Данный отчет содержит только информацию и рекомендации, предоставляемые компанией Atlassian клиентам Cloud и касающиеся того, как мы обеспечиваем соответствие принципам безопасности облачных вычислений для поставщиков облачных услуг. Кроме того, мы составили специальный технический документ «Общая ответственность», в котором описаны обязанности, возлагаемые как на поставщика облачных услуг (CSP), так и на клиентов. Модель общей ответственности не избавляет клиентов, использующих продукты Atlassian Cloud, от ответственности и рисков, но облегчает задачу по обеспечению безопасности, которая с нашей стороны подразумевает управление компонентами системы и физическую защиту объектов. Кроме того, благодаря ей часть расходов на обеспечение безопасности и соответствия нормативным требованиям переносится с клиентов на Atlassian.

Подробнее об обязательствах Atlassian по защите данных клиентов см. на странице о принципах безопасности.

Стратегия смягчения последствий	Первый уровень внедрения	Второй уровень внедрения	Третий уровень внедрения	Ответ Atlassian
Контроль приложений	Первый уровень внедрения Запуск исполняемых файлов, библиотек ПО, скриптов, программ установки, файлов HTML, HTML-приложений и апплетов панели управления на рабочих станциях запрещен через стандартные пользовательские профили и временные папки, используемые операционной системой, браузерами и почтовыми клиентами.	Второй уровень внедрения Контроль приложений реализован на рабочих станциях и серверах с доступом к Интернету. Контроль приложений ограничивает запуск исполняемых файлов, библиотек ПО, скриптов, программ установки, файлов HTML, HTML-приложений и апплетов панели управления согласно утвержденному организацией списку. Разрешенные и заблокированные события выполнения на рабочих станциях и серверах с доступом к Интернету регистрируются в журналах.	Третий уровень внедрения Контроль приложений реализован на рабочих станциях и серверах. Контроль приложений ограничивает запуск исполняемых файлов, библиотек ПО, скриптов, программ установки, файлов HTML, HTML-приложений, апплетов панели управления и драйверов согласно утвержденному организацией списку. Внедрены рекомендуемые компанией Microsoft правила блокировки. Внедрены рекомендуемые компанией Microsoft правила блокировки драйверов. Наборы правил по контролю приложений проверяются по меньшей мере раз в год. События выполнения, разрешенные либо заблокированные на рабочих станциях и серверах, регистрируются в едином журнале. Журналы событий защищены от несанкционированного изменения и удаления, а также отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.	Ответ Atlassian Использование служебных программ в рабочей среде ограничено и контролируется. Все серверы настроены на взаимодействие с нашей стандартной рабочей средой при помощи централизованной системы управления конфигурациями Puppet, в том числе на удаление отдельных пакетов из образа по умолчанию и установку критических обновлений пакетов. Для всех серверных ролей по умолчанию запрещены входящие сетевые запросы. Соответствующие порты открыты только для ролей, которым требуется такой доступ в рабочих целях. Корпоративная сеть Atlassian отделена от рабочей сети. Наши образы машин настроены для усиления безопасности и допускают только необходимые порты и протоколы. Все рабочие системы в настоящее время размещены в регионах США, где осуществляет деятельность наш поставщик облачных услуг. Все данные, передаваемые за пределами усиленных виртуальных частных облачных сетей (VPC), шифруются и направляются по стандартным каналам. Кроме того, для всех рабочих серверов внедрена система IDS, с помощью которой можно наладить мониторинг в режиме реального времени, а также включить оповещения о любых изменениях в файлах или конфигурации рабочей системы и об аномальных событиях безопасности.
Приложения для работы с исправлениями ошибок	Первый уровень внедрения Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей. Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных. Сканер уязвимостей применяется не реже одного раза в день. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в службах с доступом к Интернету. Сканер уязвимостей применяется не реже одного раза в две недели. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в службах с доступом к Интернету применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности применяются в течение одного месяца после выпуска. Службы с доступом к Интернету, офисные пакеты для повышения производительности, браузеры и их расширения, почтовые клиенты, ПО для работы с файлами PDF, Adobe Flash Player и продукты обеспечения безопасности, которые больше не поддерживаются поставщиками, удаляются.	Второй уровень внедрения Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей. Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных. Сканер уязвимостей применяется не реже одного раза в день. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в службах с доступом к Интернету. Сканер уязвимостей применяется не реже одного раза в неделю. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности. Сканер уязвимостей применяется не реже одного раза в две недели. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в других приложениях. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в службах с доступом к Интернету применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности применяются в течение двух недель после выпуска. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в других приложениях применяются в течение одного месяца после выпуска. Службы с доступом к Интернету, офисные пакеты для повышения производительности, браузеры и их расширения, почтовые клиенты, ПО для работы с файлами PDF, Adobe Flash Player и продукты обеспечения безопасности, которые больше не поддерживаются поставщиками, удаляются.	Третий уровень внедрения Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей. Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных. Сканер уязвимостей применяется не реже одного раза в день. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в службах с доступом к Интернету. Сканер уязвимостей применяется не реже одного раза в неделю. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности. Сканер уязвимостей применяется не реже одного раза в две недели. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в других приложениях. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в службах с доступом к Интернету применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в других приложениях применяются в течение одного месяца после выпуска. Приложения, которые больше не поддерживаются поставщиками, удаляются.	Ответ Atlassian Все наши продукты и услуги участвуют в масштабном процессе исправления багов. Для него используется собственный продукт Jira, в котором фиксируются задачи и можно управлять запросами на устранение. В основе этого процесса лежат многочисленные политики по исправлению багов, связанных с безопасностью, консультационные услуги и целевые уровни обслуживания (SLO), которых мы придерживаемся. Мы принимаем сообщения о багах через наш канал поддержки, программу вознаграждения за найденные ошибки и на почтовый адрес security@atlassian.com. Дополнительную информацию о наших SLO по исправлению ошибок безопасности можно найти в нашем Центре безопасности. Более подробные сведения о нашем подходе к тестированию безопасности также можно найти в Центре безопасности: Подход к внешнему тестированию безопасности. Наша команда по обеспечению безопасности Atlassian использует несколько методов обнаружения уязвимостей как во внутренней, так и во внешней инфраструктуре. Для отслеживания и исправления ошибок создаются заявки Jira. Даты выполнения назначаются в соответствии с уровнем SLO, зависящим от серьезности и источника уязвимости. В рамках постоянного процесса заявки на устранение обнаруженных уязвимостей назначаются ответственным владельцам систем, а наша команда по управлению безопасностью анализирует все зарегистрированные уязвимости и следит за тем, чтобы принимались меры для их устранения.
Настройка параметров макросов Microsoft Office	Первый уровень внедрения Макросы Microsoft Office отключены для пользователей, которые не соответствуют бизнес-требованиям. Макросы Microsoft Office в файлах, полученных из Интернета, заблокированы. Включено антивирусное сканирование макросов Microsoft Office. Пользователям запрещено изменять настройки безопасности макросов Microsoft Office.	Второй уровень внедрения Макросы Microsoft Office отключены для пользователей, которые не соответствуют бизнес-требованиям. Макросы Microsoft Office в файлах, полученных из Интернета, заблокированы. Включено антивирусное сканирование макросов Microsoft Office. Вызовы Win32 API для макросов Microsoft Office заблокированы. Пользователям запрещено изменять настройки безопасности макросов Microsoft Office. Разрешенные и заблокированные события выполнения макросов Microsoft Office регистрируются в журналах.	Третий уровень внедрения Макросы Microsoft Office отключены для пользователей, которые не соответствуют бизнес-требованиям. Макросы Microsoft Office разрешено выполнять, только если они находятся в изолированной среде или проверенном местоположении либо имеют цифровую подпись доверенного издателя. Только пользователи с соответствующими правами, отвечающие за проверку наличия вредоносного программного кода в макросах Microsoft Office, могут создавать и изменять содержимое в проверенном местоположении. Макросы Microsoft Office с цифровой подписью ненадежного издателя нельзя включить через панель сообщений или представление Backstage. Список доверенных издателей Microsoft Office проверяется по меньшей мере раз в год. Макросы Microsoft Office в файлах, полученных из Интернета, заблокированы. Включено антивирусное сканирование макросов Microsoft Office. Вызовы Win32 API для макросов Microsoft Office заблокированы. Пользователям запрещено изменять настройки безопасности макросов Microsoft Office. Разрешенные и заблокированные события выполнения макросов Microsoft Office регистрируются в едином журнале. Журналы событий защищены от несанкционированного изменения и удаления, а также отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.	Ответ Atlassian Компания Atlassian сотрудничает со сторонними субподрядчиками, которые предлагают услуги по созданию сайтов, разработке приложений, хостингу, техническому обслуживанию, резервному копированию, хранению, налаживанию виртуальной инфраструктуры, обработке платежей, анализу и не только. Для этого им может понадобиться доступ к персональным данным или возможности по их обработке. Компания Atlassian заблаговременно уведомляет клиентов о привлечении субподрядчиков, которые могут обрабатывать их персональные данные. Внешний список субподрядчиков, с которыми работает Atlassian, представлен на странице Список субобработчиков данных. На этой странице пользователи могут подписаться на RSS-ленту, чтобы узнавать о добавлении новых субобработчиков Atlassian. Мы внедрили централизованное решение для контроля за системами (управление мобильными устройствами), предназначенное для нашего парка ноутбуков Mac. Мы внедрили решение для управления мобильными устройствами, предназначенное для наших конечных точек и смартфонов под управлением Windows (VMware Workplace ONE).
Усиление защиты пользовательских приложений	Первый уровень внедрения Веб-браузеры не обрабатывают содержимое Java из Интернета. Веб-браузеры не обрабатывают веб-рекламу из Интернета. Internet Explorer 11 не обрабатывает содержимое из Интернета. Пользователи не могут изменять настройки безопасности веб-браузеров.	Второй уровень внедрения Веб-браузеры не обрабатывают содержимое Java из Интернета. Веб-браузеры не обрабатывают веб-рекламу из Интернета. Internet Explorer 11 не обрабатывает содержимое из Интернета. Соблюдены рекомендации ACSC или поставщиков по усилению защиты веб-браузеров. Пользователи не могут изменять настройки безопасности веб-браузеров. Приложениям Microsoft Office запрещено создавать дочерние процессы. Приложениям Microsoft Office запрещено создавать исполняемый контент. Приложениям Microsoft Office запрещено внедрять код в другие процессы. Настройки Microsoft Office блокируют активацию пакетов OLE. Соблюдены рекомендации ACSC или поставщиков по усилению защиты Microsoft Office. Пользователи не могут изменять настройки безопасности Microsoft Office. Программному обеспечению для работы с PDF запрещено создавать дочерние процессы. Соблюдены рекомендации ACSC или поставщиков по усилению защиты программного обеспечения для работы с PDF. Пользователи не могут изменять настройки безопасности программного обеспечения для работы с PDF. Заблокированные события выполнения сценариев PowerShell регистрируются в журнале.	Третий уровень внедрения Веб-браузеры не обрабатывают содержимое Java из Интернета. Веб-браузеры не обрабатывают веб-рекламу из Интернета. Веб-браузер Internet Explorer 11 отключен или удален. Соблюдены рекомендации ACSC или поставщиков по усилению защиты веб-браузеров. Пользователи не могут изменять настройки безопасности веб-браузеров. Приложениям Microsoft Office запрещено создавать дочерние процессы. Приложениям Microsoft Office запрещено создавать исполняемый контент. Приложениям Microsoft Office запрещено внедрять код в другие процессы. Настройки Microsoft Office блокируют активацию пакетов OLE. Соблюдены рекомендации ACSC или поставщиков по усилению защиты Microsoft Office. Пользователи не могут изменять настройки безопасности Microsoft Office. Программному обеспечению для работы с PDF запрещено создавать дочерние процессы. Соблюдены рекомендации ACSC или поставщиков по усилению защиты программного обеспечения для работы с PDF. Пользователи не могут изменять настройки безопасности программного обеспечения для работы с PDF. Платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0) отключена или удалена. Средство Windows PowerShell 2.0 отключено или удалено. В настройках PowerShell установлен режим ограниченного языка. Заблокированные события выполнения сценариев PowerShell регистрируются в централизованном журнале. Журналы событий защищены от несанкционированного изменения и удаления, а также отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.	Ответ Atlassian Базовые сборки образов ОС AWS Linux AMI имеют ограниченное количество портов, протоколов и служб. Мы сравниваем наши сборки с текущей версией AMI, чтобы проверить правильность настроек. Управление образами Docker осуществляется в строго контролируемой среде изменений, благодаря чему все изменения надлежащим образом проверяются и подтверждаются. Защита конечных точек усилена для безопасности пользователей, однако мы не ограничиваем доступ к аппаратным портам. Мы используем HTTP-прокси от стороннего разработчика для нашего общедоступного пограничного сервера Jira/Confluence и установили для него правила безопасности HTTP L7 (можно назвать это WAF, поскольку функциональность в целом аналогична).
Ограничение административных привилегий	Первый уровень внедрения Запросы на привилегированный доступ к системам и приложениям проверяются при первом запросе. Привилегированным аккаунтам (за исключением привилегированных служебных аккаунтов) запрещен доступ к Интернету, электронной почте и веб-сервисам. Привилегированные пользователи работают в привилегированных рабочих средах, отдельных от непривилегированных. Непривилегированным аккаунтам запрещен вход в привилегированные рабочие среды. Привилегированным аккаунтам (за исключением аккаунтов локальных администраторов) запрещен вход в непривилегированные рабочие среды.	Второй уровень внедрения Запросы на привилегированный доступ к системам и приложениям проверяются при первом запросе. Привилегированный доступ к системам и приложениям автоматически отключается через 12 месяцев, если не будет подтвержден повторно. Привилегированный доступ к системам и приложениям автоматически отключается после 45 дней бездействия. Привилегированным аккаунтам (за исключением привилегированных служебных аккаунтов) запрещен доступ к Интернету, электронной почте и веб-сервисам. Привилегированные пользователи работают в привилегированных рабочих средах, отдельных от непривилегированных. Привилегированные рабочие среды не виртуализируются в непривилегированных рабочих средах. Непривилегированным аккаунтам запрещен вход в привилегированные рабочие среды. Привилегированным аккаунтам (за исключением аккаунтов локальных администраторов) запрещен вход в непривилегированные рабочие среды. Администрирование осуществляется через инсталляционные серверы. Для аккаунтов локальных администраторов и служебных аккаунтов используются длинные, уникальные, непредсказуемые и управляемые учетные данные. События привилегированного доступа регистрируются в журнале. События управления привилегированными аккаунтами и группами регистрируются в журнале.	Третий уровень внедрения Запросы на привилегированный доступ к системам и приложениям проверяются при первом запросе. Привилегированный доступ к системам и приложениям автоматически отключается через 12 месяцев, если не будет подтвержден повторно. Привилегированный доступ к системам и приложениям автоматически отключается после 45 дней бездействия. Привилегированный доступ к системам и приложениям ограничен только теми, которые необходимы пользователям и сервисам для выполнения своих обязанностей и функций. Привилегированным аккаунтам запрещен доступ к Интернету, электронной почте и веб-сервисам. Привилегированные пользователи работают в привилегированных рабочих средах, отдельных от непривилегированных. Привилегированные рабочие среды не виртуализируются в непривилегированных рабочих средах. Непривилегированным аккаунтам запрещен вход в привилегированные рабочие среды. Привилегированным аккаунтам (за исключением аккаунтов локальных администраторов) запрещен вход в непривилегированные рабочие среды. Для администрирования систем и приложений используется концепция Just-in-time. Администрирование осуществляется через инсталляционные серверы. Для аккаунтов локальных администраторов и служебных аккаунтов используются длинные, уникальные, непредсказуемые и управляемые учетные данные. Включены функции Credential Guard (Защита учетных данных) и Remote Credential Guard (Удаленная защита учетных данных) в Защитнике Windows. События привилегированного доступа регистрируются в централизованном журнале. События управления привилегированными аккаунтами и группами регистрируются в централизованном журнале. Журналы событий защищены от несанкционированного изменения и удаления, а также отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.	Ответ Atlassian В Atlassian ограничен круг сотрудников, которым необходим этот уровень доступа для выполнения работы и исполнения обязанностей. Для управления всеми системами 1-го уровня используется централизованное решение Atlassian с системой единого входа (SSO) и каталогами пользователей. Пользователям предоставляются права доступа на основании этих профилей, которые формируются рабочим процессом в нашей системе управления кадрами. Для доступа ко всем системам 1-го уровня в Atlassian используется многофакторная аутентификация. Для доступа к консоли управления гипервизором и API AWS нужно пройти двухфакторную аутентификацию. Кроме того, ежедневно составляется отчет о проверке, в котором содержатся данные обо всех случаях получения доступа к функциям управления гипервизором. Списки доступа к консоли управления гипервизором и API AWS пересматриваются ежеквартально. Синхронизация между системой управления кадрами и хранилищем учетных данных происходит каждые 8 часов. В рамках процесса проверки прав мы два раза в год проводим цикл пересмотра прав доступа к важнейшим сервисам. Владельцы систем регулярно подтверждают права доступа, предоставленные аккаунтам внутренних корпоративных пользователей.
Устранение уязвимостей операционных систем	Первый уровень внедрения Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей. Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных. Сканер уязвимостей используется не реже одного раза в день для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах сервисов с доступом через Интернет. Сканер уязвимостей используется не реже одного раза в две недели для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах сервисов с доступом через Интернет применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств применяются в течение одного месяца после выпуска. Операционные системы, которые больше не поддерживаются поставщиками, заменяются.	Второй уровень внедрения Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей. Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных. Сканер уязвимостей используется не реже одного раза в день для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах сервисов с доступом через Интернет. Сканер уязвимостей используется не реже одного раза в неделю для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах сервисов с доступом через Интернет применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств применяются в течение двух недель после выпуска. Операционные системы, которые больше не поддерживаются поставщиками, заменяются.	Третий уровень внедрения Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей. Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных. Сканер уязвимостей используется не реже одного раза в день для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах сервисов с доступом через Интернет. Сканер уязвимостей используется не реже одного раза в неделю для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах сервисов с доступом через Интернет применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта. Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта. Используются последние или предыдущие версии операционных систем. Операционные системы, которые больше не поддерживаются поставщиками, заменяются.	Ответ Atlassian Все наши продукты и услуги участвуют в масштабном процессе исправления багов. Для него используется собственный продукт Jira, в котором фиксируются задачи и можно управлять запросами на устранение. В основе этого процесса лежат многочисленные политики по исправлению багов, связанных с безопасностью, консультационные услуги и целевые уровни обслуживания (SLO), которых мы придерживаемся. Мы принимаем сообщения о багах через наш канал поддержки, программу вознаграждения за найденные ошибки и на почтовый адрес security@atlassian.com. Дополнительную информацию о наших SLO по исправлению ошибок безопасности можно найти в нашем Центре безопасности. Более подробные сведения о нашем подходе к тестированию безопасности также можно найти в Центре безопасности: Подход к внешнему тестированию безопасности. Наша команда по обеспечению безопасности Atlassian использует несколько методов обнаружения уязвимостей как во внутренней, так и во внешней инфраструктуре. Для отслеживания и исправления ошибок создаются заявки Jira. Даты выполнения назначаются в соответствии с уровнем SLO, зависящим от серьезности и источника уязвимости. В рамках постоянного процесса заявки на устранение обнаруженных уязвимостей назначаются ответственным владельцам систем, а наша команда по управлению безопасностью анализирует все зарегистрированные уязвимости и следит за тем, чтобы принимались меры для их устранения.
Многофакторная аутентификация	Первый уровень внедрения Пользователи организации используют многофакторную аутентификацию при аутентификации в сервисах организации с доступом через Интернет. Пользователи организации используют многофакторную аутентификацию при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают конфиденциальные данные организации. Пользователи организации используют многофакторную аутентификацию (если доступно) при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают неконфиденциальные данные организации. Многофакторная аутентификация включена по умолчанию для пользователей организации, не входящих в организацию, при аутентификации в сервисах организации с доступом через Интернет (но они могут от нее отказаться).	Второй уровень внедрения Пользователи организации используют многофакторную аутентификацию при аутентификации в сервисах организации с доступом через Интернет. Пользователи организации используют многофакторную аутентификацию при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают конфиденциальные данные организации. Пользователи организации используют многофакторную аутентификацию (если доступно) при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают неконфиденциальные данные организации. Многофакторная аутентификация включена по умолчанию для пользователей организации, не входящих в организацию, при аутентификации в сервисах организации с доступом через Интернет (но они могут от нее отказаться). Многофакторная аутентификация используется для аутентификации привилегированных пользователей систем. Для многофакторной аутентификации используется один из следующих наборов факторов: фактор владения и фактор знания или фактор владения, разблокируемый фактором знания или фактором свойства. Успешные и неуспешные события многофакторной аутентификации регистрируются в журнале.	Третий уровень внедрения Пользователи организации используют многофакторную аутентификацию при аутентификации в сервисах организации с доступом через Интернет. Пользователи организации используют многофакторную аутентификацию при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают конфиденциальные данные организации. Пользователи организации используют многофакторную аутентификацию (если доступно) при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают неконфиденциальные данные организации. Многофакторная аутентификация включена по умолчанию для пользователей организации, не входящих в организацию, при аутентификации в сервисах организации с доступом через Интернет (но они могут от нее отказаться). Многофакторная аутентификация используется для аутентификации привилегированных пользователей систем. Многофакторная аутентификация используется для аутентификации пользователей репозиториев важных данных. Многофакторная аутентификация защищена от фишинга. Используется один из следующих наборов факторов: фактор владения и фактор знания или фактор владения, разблокируемый фактором знания или фактором свойства. События успешной и неуспешной многофакторной аутентификации регистрируются в централизованном журнале. Журналы событий защищены от несанкционированного изменения и удаления, а также отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.	Ответ Atlassian Если говорить о Confluence и Jira, то многофакторная аутентификация доступна для отдельных аккаунтов. Дополнительные сведения о том, как включить многофакторную аутентификацию, см. в статье Принудительная двухфакторная аутентификация. BBC по-прежнему поддерживает двухфакторную аутентификацию по состоянию на февраль 2022 года, обладает интеграцией с Atlassian Access и поддерживает дополнительные функции, предлагаемые Access. Принудительную многофакторную аутентификацию можно настроить на уровне организации с помощью Atlassian Access. Дополнительные сведения см. в статье Принудительная двухфакторная аутентификация. Информация о конкретных продуктах. В Bitbucket поддерживается использование разных вариантов системы единого входа (SSO) на основе многофакторной аутентификации (MFA). Дополнительные сведения см. в статье Принудительная двухфакторная аутентификация \| Bitbucket Cloud. В Halp используется SSO через Slack OAuth и MS Teams. Slack и MS Teams предоставляют несколько вариантов многофакторной аутентификации. Дополнительные сведения см. в статьях Система единого входа на базе SAML и Azure AD Connect: простая система единого входа. В Opsgenie поддерживаются различные варианты SSO на основе MFA. Дополнительные сведения см. в разделе Настройка SSO для Opsgenie. В Statuspage поддерживаются различные варианты SSO на основе MFA. В Trello поддерживается многофакторная аутентификация. Дополнительные сведения о том, как включить многофакторную аутентификацию, см. в статье Включение двухфакторной аутентификации для аккаунта Trello. В Jira Align поддерживаются различные варианты SSO на основе MFA.
Регулярное резервное копирование	Первый уровень внедрения Резервное копирование важных данных, программного обеспечения и настроек конфигурации выполняется с определенной периодичностью. Резервные копии хранятся в течение определенного срока в соответствии с требованиями по обеспечению непрерывности бизнеса. Резервные копии важных данных, программного обеспечения и настроек конфигурации синхронизируются, чтобы обеспечить возможность восстановления на общий момент времени. Резервные копии важных данных, программного обеспечения и настроек конфигурации хранятся в безопасной и отказоустойчивой среде. Восстановление важных данных, программного обеспечения и настроек конфигурации из резервных копий на общий момент времени тестируется в рамках отработки аварийного восстановления. Непривилегированные аккаунты не имеют доступа к резервным копиям, принадлежащим другим аккаунтам. Непривилегированным аккаунтам запрещено изменять и удалять резервные копии.	Второй уровень внедрения Резервное копирование важных данных, программного обеспечения и настроек конфигурации выполняется с определенной периодичностью. Резервные копии хранятся в течение определенного срока в соответствии с требованиями по обеспечению непрерывности бизнеса. Резервные копии важных данных, программного обеспечения и настроек конфигурации синхронизируются, чтобы обеспечить возможность восстановления на общий момент времени. Резервные копии важных данных, программного обеспечения и настроек конфигурации хранятся в безопасной и отказоустойчивой среде. Восстановление важных данных, программного обеспечения и настроек конфигурации из резервных копий на общий момент времени тестируется в рамках отработки аварийного восстановления. Непривилегированные аккаунты не имеют доступа к резервным копиям, принадлежащим другим аккаунтам. Привилегированные аккаунты (за исключением аккаунтов администраторов резервного копирования) не имеют доступа к резервным копиям, принадлежащим другим аккаунтам. Непривилегированным аккаунтам запрещено изменять и удалять резервные копии. Привилегированным аккаунтам (за исключением аккаунтов администраторов резервного копирования) запрещено изменять и удалять резервные копии.	Третий уровень внедрения Резервное копирование важных данных, программного обеспечения и настроек конфигурации выполняется с определенной периодичностью. Резервные копии хранятся в течение определенного срока в соответствии с требованиями по обеспечению непрерывности бизнеса. Резервные копии важных данных, программного обеспечения и настроек конфигурации синхронизируются, чтобы обеспечить возможность восстановления на общий момент времени. Резервные копии важных данных, программного обеспечения и настроек конфигурации хранятся в безопасной и отказоустойчивой среде. Восстановление важных данных, программного обеспечения и настроек конфигурации из резервных копий на общий момент времени тестируется в рамках отработки аварийного восстановления. Непривилегированные аккаунты не имеют доступа к резервным копиям, принадлежащим другим аккаунтам или их собственным аккаунтам. Привилегированные аккаунты (за исключением аккаунтов администраторов резервного копирования) не имеют доступа к резервным копиям, принадлежащим другим аккаунтам или их собственным аккаунтам. Непривилегированным аккаунтам запрещено изменять и удалять резервные копии. Привилегированным аккаунтам (включая аккаунты администраторов резервного копирования) запрещено изменять и удалять резервные копии в течение срока их хранения.	Ответ Atlassian Компания Atlassian придерживается стандарта по сохранению и уничтожению данных, в котором определены сроки хранения данных разных типов. Данные подразделяются на категории в соответствии с политикой безопасности данных и жизненного цикла информации Atlassian, и на ее основе реализованы механизмы контроля. При прекращении действия договора с Atlassian данные, принадлежащие команде клиента, будут удалены из рабочей базы данных, а все вложенные файлы, загруженные непосредственно в системы Atlassian, будут удалены в течение 14 дней. Данные команды будут храниться в зашифрованных резервных копиях в течение 60-дневного периода, после чего их уничтожат в соответствии с политикой Atlassian в отношении хранения данных. Если в течение 60 дней после подачи запроса на стирание информации клиенту потребуется восстановить базу данных, операционная команда повторно удалит данные в разумно возможный кратчайший срок после того, как рабочая система будет полностью восстановлена. Подробнее см. в статье Просмотр хранилища и перемещение данных между продуктами.

Стратегия смягчения последствий

Контроль приложений

Первый уровень внедрения

Запуск исполняемых файлов, библиотек ПО, скриптов, программ установки, файлов HTML, HTML-приложений и апплетов панели управления на рабочих станциях запрещен через стандартные пользовательские профили и временные папки, используемые операционной системой, браузерами и почтовыми клиентами.

Второй уровень внедрения

Контроль приложений реализован на рабочих станциях и серверах с доступом к Интернету.
Контроль приложений ограничивает запуск исполняемых файлов, библиотек ПО, скриптов, программ установки, файлов HTML, HTML-приложений и апплетов панели управления согласно утвержденному организацией списку.
Разрешенные и заблокированные события выполнения на рабочих станциях и серверах с доступом к Интернету регистрируются в журналах.

Третий уровень внедрения

Контроль приложений реализован на рабочих станциях и серверах.
Контроль приложений ограничивает запуск исполняемых файлов, библиотек ПО, скриптов, программ установки, файлов HTML, HTML-приложений, апплетов панели управления и драйверов согласно утвержденному организацией списку.
Внедрены рекомендуемые компанией Microsoft правила блокировки. Внедрены рекомендуемые компанией Microsoft правила блокировки драйверов.
Наборы правил по контролю приложений проверяются по меньшей мере раз в год.
События выполнения, разрешенные либо заблокированные на рабочих станциях и серверах, регистрируются в едином журнале.
Журналы событий защищены от несанкционированного изменения и удаления, а также отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.

Ответ Atlassian

Использование служебных программ в рабочей среде ограничено и контролируется. Все серверы настроены на взаимодействие с нашей стандартной рабочей средой при помощи централизованной системы управления конфигурациями Puppet, в том числе на удаление отдельных пакетов из образа по умолчанию и установку критических обновлений пакетов. Для всех серверных ролей по умолчанию запрещены входящие сетевые запросы. Соответствующие порты открыты только для ролей, которым требуется такой доступ в рабочих целях. Корпоративная сеть Atlassian отделена от рабочей сети. Наши образы машин настроены для усиления безопасности и допускают только необходимые порты и протоколы. Все рабочие системы в настоящее время размещены в регионах США, где осуществляет деятельность наш поставщик облачных услуг. Все данные, передаваемые за пределами усиленных виртуальных частных облачных сетей (VPC), шифруются и направляются по стандартным каналам.
Кроме того, для всех рабочих серверов внедрена система IDS, с помощью которой можно наладить мониторинг в режиме реального времени, а также включить оповещения о любых изменениях в файлах или конфигурации рабочей системы и об аномальных событиях безопасности.

Приложения для работы с исправлениями ошибок

Первый уровень внедрения

Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей.
Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных. Сканер уязвимостей применяется не реже одного раза в день. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в службах с доступом к Интернету.
Сканер уязвимостей применяется не реже одного раза в две недели. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в службах с доступом к Интернету применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности применяются в течение одного месяца после выпуска.
Службы с доступом к Интернету, офисные пакеты для повышения производительности, браузеры и их расширения, почтовые клиенты, ПО для работы с файлами PDF, Adobe Flash Player и продукты обеспечения безопасности, которые больше не поддерживаются поставщиками, удаляются.

Второй уровень внедрения

Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей.
Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных.
Сканер уязвимостей применяется не реже одного раза в день. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в службах с доступом к Интернету.
Сканер уязвимостей применяется не реже одного раза в неделю. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности.
Сканер уязвимостей применяется не реже одного раза в две недели. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в других приложениях.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в службах с доступом к Интернету применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности применяются в течение двух недель после выпуска.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в других приложениях применяются в течение одного месяца после выпуска.
Службы с доступом к Интернету, офисные пакеты для повышения производительности, браузеры и их расширения, почтовые клиенты, ПО для работы с файлами PDF, Adobe Flash Player и продукты обеспечения безопасности, которые больше не поддерживаются поставщиками, удаляются.

Третий уровень внедрения

Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей.
Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных.
Сканер уязвимостей применяется не реже одного раза в день. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в службах с доступом к Интернету.
Сканер уязвимостей применяется не реже одного раза в неделю. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности.
Сканер уязвимостей применяется не реже одного раза в две недели. С его помощью выявляются недостающие исправления или обновления, устраняющие уязвимости в других приложениях.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в службах с доступом к Интернету применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в офисных пакетах для повышения производительности, браузерах и их расширениях, почтовых клиентах, ПО для работы с файлами PDF и продуктах обеспечения безопасности применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в других приложениях применяются в течение одного месяца после выпуска.
Приложения, которые больше не поддерживаются поставщиками, удаляются.

Ответ Atlassian

Все наши продукты и услуги участвуют в масштабном процессе исправления багов. Для него используется собственный продукт Jira, в котором фиксируются задачи и можно управлять запросами на устранение. В основе этого процесса лежат многочисленные политики по исправлению багов, связанных с безопасностью, консультационные услуги и целевые уровни обслуживания (SLO), которых мы придерживаемся. Мы принимаем сообщения о багах через наш канал поддержки, программу вознаграждения за найденные ошибки и на почтовый адрес security@atlassian.com. Дополнительную информацию о наших SLO по исправлению ошибок безопасности можно найти в нашем Центре безопасности.

Более подробные сведения о нашем подходе к тестированию безопасности также можно найти в Центре безопасности: Подход к внешнему тестированию безопасности.

Наша команда по обеспечению безопасности Atlassian использует несколько методов обнаружения уязвимостей как во внутренней, так и во внешней инфраструктуре. Для отслеживания и исправления ошибок создаются заявки Jira. Даты выполнения назначаются в соответствии с уровнем SLO, зависящим от серьезности и источника уязвимости. В рамках постоянного процесса заявки на устранение обнаруженных уязвимостей назначаются ответственным владельцам систем, а наша команда по управлению безопасностью анализирует все зарегистрированные уязвимости и следит за тем, чтобы принимались меры для их устранения.

Настройка параметров макросов Microsoft Office

Первый уровень внедрения

Макросы Microsoft Office отключены для пользователей, которые не соответствуют бизнес-требованиям.
Макросы Microsoft Office в файлах, полученных из Интернета, заблокированы.
Включено антивирусное сканирование макросов Microsoft Office.
Пользователям запрещено изменять настройки безопасности макросов Microsoft Office.

Второй уровень внедрения

Макросы Microsoft Office отключены для пользователей, которые не соответствуют бизнес-требованиям.
Макросы Microsoft Office в файлах, полученных из Интернета, заблокированы. Включено антивирусное сканирование макросов Microsoft Office.
Вызовы Win32 API для макросов Microsoft Office заблокированы.
Пользователям запрещено изменять настройки безопасности макросов Microsoft Office.
Разрешенные и заблокированные события выполнения макросов Microsoft Office регистрируются в журналах.

Третий уровень внедрения

Макросы Microsoft Office отключены для пользователей, которые не соответствуют бизнес-требованиям.
Макросы Microsoft Office разрешено выполнять, только если они находятся в изолированной среде или проверенном местоположении либо имеют цифровую подпись доверенного издателя.
Только пользователи с соответствующими правами, отвечающие за проверку наличия вредоносного программного кода в макросах Microsoft Office, могут создавать и изменять содержимое в проверенном местоположении.
Макросы Microsoft Office с цифровой подписью ненадежного издателя нельзя включить через панель сообщений или представление Backstage.
Список доверенных издателей Microsoft Office проверяется по меньшей мере раз в год.
Макросы Microsoft Office в файлах, полученных из Интернета, заблокированы.
Включено антивирусное сканирование макросов Microsoft Office.
Вызовы Win32 API для макросов Microsoft Office заблокированы.
Пользователям запрещено изменять настройки безопасности макросов Microsoft Office.
Разрешенные и заблокированные события выполнения макросов Microsoft Office регистрируются в едином журнале.
Журналы событий защищены от несанкционированного изменения и удаления, а также
отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.

Ответ Atlassian

Компания Atlassian сотрудничает со сторонними субподрядчиками, которые предлагают услуги по созданию сайтов, разработке приложений, хостингу, техническому обслуживанию, резервному копированию, хранению, налаживанию виртуальной инфраструктуры, обработке платежей, анализу и не только. Для этого им может понадобиться доступ к персональным данным или возможности по их обработке. Компания Atlassian заблаговременно уведомляет клиентов о привлечении субподрядчиков, которые могут обрабатывать их персональные данные. Внешний список субподрядчиков, с которыми работает Atlassian, представлен на странице Список субобработчиков данных. На этой странице пользователи могут подписаться на RSS-ленту, чтобы узнавать о добавлении новых субобработчиков Atlassian.

Мы внедрили централизованное решение для контроля за системами (управление мобильными устройствами), предназначенное для нашего парка ноутбуков Mac.
Мы внедрили решение для управления мобильными устройствами, предназначенное для наших конечных точек и смартфонов под управлением Windows (VMware Workplace ONE).

Усиление защиты пользовательских приложений

Первый уровень внедрения

Веб-браузеры не обрабатывают содержимое Java из Интернета.
Веб-браузеры не обрабатывают веб-рекламу из Интернета.
Internet Explorer 11 не обрабатывает содержимое из Интернета.
Пользователи не могут изменять настройки безопасности веб-браузеров.

Второй уровень внедрения

Веб-браузеры не обрабатывают содержимое Java из Интернета.
Веб-браузеры не обрабатывают веб-рекламу из Интернета.
Internet Explorer 11 не обрабатывает содержимое из Интернета.
Соблюдены рекомендации ACSC или поставщиков по усилению защиты веб-браузеров.
Пользователи не могут изменять настройки безопасности веб-браузеров.
Приложениям Microsoft Office запрещено создавать дочерние процессы.
Приложениям Microsoft Office запрещено создавать исполняемый контент.
Приложениям Microsoft Office запрещено внедрять код в другие процессы.
Настройки Microsoft Office блокируют активацию пакетов OLE.
Соблюдены рекомендации ACSC или поставщиков по усилению защиты Microsoft Office.
Пользователи не могут изменять настройки безопасности Microsoft Office.
Программному обеспечению для работы с PDF запрещено создавать дочерние процессы.
Соблюдены рекомендации ACSC или поставщиков по усилению защиты программного обеспечения для работы с PDF.
Пользователи не могут изменять настройки безопасности программного обеспечения для работы с PDF.
Заблокированные события выполнения сценариев PowerShell регистрируются в журнале.

Третий уровень внедрения

Веб-браузеры не обрабатывают содержимое Java из Интернета.
Веб-браузеры не обрабатывают веб-рекламу из Интернета.
Веб-браузер Internet Explorer 11 отключен или удален.
Соблюдены рекомендации ACSC или поставщиков по усилению защиты веб-браузеров.
Пользователи не могут изменять настройки безопасности веб-браузеров.
Приложениям Microsoft Office запрещено создавать дочерние процессы.
Приложениям Microsoft Office запрещено создавать исполняемый контент.
Приложениям Microsoft Office запрещено внедрять код в другие процессы.
Настройки Microsoft Office блокируют активацию пакетов OLE.
Соблюдены рекомендации ACSC или поставщиков по усилению защиты Microsoft Office.
Пользователи не могут изменять настройки безопасности Microsoft Office.
Программному обеспечению для работы с PDF запрещено создавать дочерние процессы.
Соблюдены рекомендации ACSC или поставщиков по усилению защиты программного обеспечения для работы с PDF.
Пользователи не могут изменять настройки безопасности программного обеспечения для работы с PDF.
Платформа .NET Framework 3.5 (включая .NET 2.0 и 3.0) отключена или удалена.
Средство Windows PowerShell 2.0 отключено или удалено.
В настройках PowerShell установлен режим ограниченного языка.
Заблокированные события выполнения сценариев PowerShell регистрируются в централизованном журнале.
Журналы событий защищены от несанкционированного изменения и удаления, а также
отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.

Ответ Atlassian

Базовые сборки образов ОС AWS Linux AMI имеют ограниченное количество портов, протоколов и служб. Мы сравниваем наши сборки с текущей версией AMI, чтобы проверить правильность настроек.
Управление образами Docker осуществляется в строго контролируемой среде изменений, благодаря чему все изменения надлежащим образом проверяются и подтверждаются.

Защита конечных точек усилена для безопасности пользователей, однако мы не ограничиваем доступ к аппаратным портам.

Мы используем HTTP-прокси от стороннего разработчика для нашего общедоступного пограничного сервера Jira/Confluence и установили для него правила безопасности HTTP L7 (можно назвать это WAF, поскольку функциональность в целом аналогична).

Ограничение административных привилегий

Первый уровень внедрения

Запросы на привилегированный доступ к системам и приложениям проверяются при первом запросе.
Привилегированным аккаунтам (за исключением привилегированных служебных аккаунтов) запрещен доступ к Интернету, электронной почте и веб-сервисам.
Привилегированные пользователи работают в привилегированных рабочих средах, отдельных от непривилегированных.
Непривилегированным аккаунтам запрещен вход в привилегированные рабочие среды.
Привилегированным аккаунтам (за исключением аккаунтов локальных администраторов) запрещен вход в непривилегированные рабочие среды.

Второй уровень внедрения

Запросы на привилегированный доступ к системам и приложениям проверяются при первом запросе.
Привилегированный доступ к системам и приложениям автоматически отключается через 12 месяцев, если не будет подтвержден повторно.
Привилегированный доступ к системам и приложениям автоматически отключается после 45 дней бездействия.
Привилегированным аккаунтам (за исключением привилегированных служебных аккаунтов) запрещен доступ к Интернету, электронной почте и веб-сервисам.
Привилегированные пользователи работают в привилегированных рабочих средах, отдельных от непривилегированных.
Привилегированные рабочие среды не виртуализируются в непривилегированных рабочих средах.
Непривилегированным аккаунтам запрещен вход в привилегированные рабочие среды.
Привилегированным аккаунтам (за исключением аккаунтов локальных администраторов) запрещен вход в непривилегированные рабочие среды.
Администрирование осуществляется через инсталляционные серверы.
Для аккаунтов локальных администраторов и служебных аккаунтов используются длинные, уникальные, непредсказуемые и управляемые учетные данные.
События привилегированного доступа регистрируются в журнале.
События управления привилегированными аккаунтами и группами регистрируются в журнале.

Третий уровень внедрения

Запросы на привилегированный доступ к системам и приложениям проверяются при первом запросе.
Привилегированный доступ к системам и приложениям автоматически отключается через 12 месяцев, если не будет подтвержден повторно.
Привилегированный доступ к системам и приложениям автоматически отключается после 45 дней бездействия.
Привилегированный доступ к системам и приложениям ограничен только теми, которые необходимы пользователям и сервисам для выполнения своих обязанностей и функций.
Привилегированным аккаунтам запрещен доступ к Интернету, электронной почте и веб-сервисам.
Привилегированные пользователи работают в привилегированных рабочих средах, отдельных от непривилегированных.
Привилегированные рабочие среды не виртуализируются в непривилегированных рабочих средах.
Непривилегированным аккаунтам запрещен вход в привилегированные рабочие среды.
Привилегированным аккаунтам (за исключением аккаунтов локальных администраторов) запрещен вход в непривилегированные рабочие среды.
Для администрирования систем и приложений используется концепция Just-in-time.
Администрирование осуществляется через инсталляционные серверы.
Для аккаунтов локальных администраторов и служебных аккаунтов используются длинные, уникальные, непредсказуемые и управляемые учетные данные.
Включены функции Credential Guard (Защита учетных данных) и Remote Credential Guard (Удаленная защита учетных данных) в Защитнике Windows.
События привилегированного доступа регистрируются в централизованном журнале.
События управления привилегированными аккаунтами и группами регистрируются в централизованном журнале.
Журналы событий защищены от несанкционированного изменения и удаления, а также
отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.

Ответ Atlassian

В Atlassian ограничен круг сотрудников, которым необходим этот уровень доступа для выполнения работы и исполнения обязанностей. Для управления всеми системами 1-го уровня используется централизованное решение Atlassian с системой единого входа (SSO) и каталогами пользователей. Пользователям предоставляются права доступа на основании этих профилей, которые формируются рабочим процессом в нашей системе управления кадрами. Для доступа ко всем системам 1-го уровня в Atlassian используется многофакторная аутентификация. Для доступа к консоли управления гипервизором и API AWS нужно пройти двухфакторную аутентификацию. Кроме того, ежедневно составляется отчет о проверке, в котором содержатся данные обо всех случаях получения доступа к функциям управления гипервизором. Списки доступа к консоли управления гипервизором и API AWS пересматриваются ежеквартально. Синхронизация между системой управления кадрами и хранилищем учетных данных происходит каждые 8 часов.

В рамках процесса проверки прав мы два раза в год проводим цикл пересмотра прав доступа к важнейшим сервисам. Владельцы систем регулярно подтверждают права доступа, предоставленные аккаунтам внутренних корпоративных пользователей.

Устранение уязвимостей операционных систем

Первый уровень внедрения

Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей.
Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных.
Сканер уязвимостей используется не реже одного раза в день для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах сервисов с доступом через Интернет.
Сканер уязвимостей используется не реже одного раза в две недели для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах сервисов с доступом через Интернет применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств применяются в течение одного месяца после выпуска.
Операционные системы, которые больше не поддерживаются поставщиками, заменяются.

Второй уровень внедрения

Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей.
Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных.
Сканер уязвимостей используется не реже одного раза в день для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах сервисов с доступом через Интернет.
Сканер уязвимостей используется не реже одного раза в неделю для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах сервисов с доступом через Интернет применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств применяются в течение двух недель после выпуска.
Операционные системы, которые больше не поддерживаются поставщиками, заменяются.

Третий уровень внедрения

Автоматическое обнаружение активов задействуется не реже одного раза в две недели. С помощью этой функции выявляются активы, а также производится последующее сканирование уязвимостей.
Сканирование уязвимостей производится посредством специального инструмента с актуальной базой данных.
Сканер уязвимостей используется не реже одного раза в день для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах сервисов с доступом через Интернет.
Сканер уязвимостей используется не реже одного раза в неделю для выявления недостающих исправлений или обновлений для устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах сервисов с доступом через Интернет применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта.
Предоставляемые поставщиком исправления, обновления или другие средства устранения уязвимостей в операционных системах рабочих станций, серверов и сетевых устройств применяются в течение двух недель после выпуска или в течение 48 часов при наличии эксплойта.
Используются последние или предыдущие версии операционных систем. Операционные системы, которые больше не поддерживаются поставщиками, заменяются.

Ответ Atlassian

Многофакторная аутентификация

Первый уровень внедрения

Пользователи организации используют многофакторную аутентификацию при аутентификации в сервисах организации с доступом через Интернет.
Пользователи организации используют многофакторную аутентификацию при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают конфиденциальные данные организации.
Пользователи организации используют многофакторную аутентификацию (если доступно) при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают неконфиденциальные данные организации.
Многофакторная аутентификация включена по умолчанию для пользователей организации, не входящих в организацию, при аутентификации в сервисах организации с доступом через Интернет (но они могут от нее отказаться).

Второй уровень внедрения

Пользователи организации используют многофакторную аутентификацию при аутентификации в сервисах организации с доступом через Интернет.
Пользователи организации используют многофакторную аутентификацию при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают конфиденциальные данные организации.
Пользователи организации используют многофакторную аутентификацию (если доступно) при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают неконфиденциальные данные организации.
Многофакторная аутентификация включена по умолчанию для пользователей организации, не входящих в организацию, при аутентификации в сервисах организации с доступом через Интернет (но они могут от нее отказаться).
Многофакторная аутентификация используется для аутентификации привилегированных пользователей систем.
Для многофакторной аутентификации используется один из следующих наборов факторов: фактор владения и фактор знания или фактор владения, разблокируемый фактором знания или фактором свойства.
Успешные и неуспешные события многофакторной аутентификации регистрируются в журнале.

Третий уровень внедрения

Пользователи организации используют многофакторную аутентификацию при аутентификации в сервисах организации с доступом через Интернет.
Пользователи организации используют многофакторную аутентификацию при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают конфиденциальные данные организации.
Пользователи организации используют многофакторную аутентификацию (если доступно) при аутентификации в сторонних сервисах с доступом через Интернет, которые обрабатывают, хранят или передают неконфиденциальные данные организации.
Многофакторная аутентификация включена по умолчанию для пользователей организации, не входящих в организацию, при аутентификации в сервисах организации с доступом через Интернет (но они могут от нее отказаться).
Многофакторная аутентификация используется для аутентификации привилегированных пользователей систем.
Многофакторная аутентификация используется для аутентификации пользователей репозиториев важных данных.
Многофакторная аутентификация защищена от фишинга. Используется один из следующих наборов факторов: фактор владения и фактор знания или фактор владения, разблокируемый фактором знания или фактором свойства.
События успешной и неуспешной многофакторной аутентификации регистрируются в централизованном журнале.
Журналы событий защищены от несанкционированного изменения и удаления, а также
отслеживаются на предмет признаков взлома. При обнаружении любых таких признаков принимаются меры.

Ответ Atlassian

Если говорить о Confluence и Jira, то многофакторная аутентификация доступна для отдельных аккаунтов. Дополнительные сведения о том, как включить многофакторную аутентификацию, см. в статье Принудительная двухфакторная аутентификация.

BBC по-прежнему поддерживает двухфакторную аутентификацию по состоянию на февраль 2022 года, обладает интеграцией с Atlassian Access и поддерживает дополнительные функции, предлагаемые Access. Принудительную многофакторную аутентификацию можно настроить на уровне организации с помощью Atlassian Access. Дополнительные сведения см. в статье Принудительная двухфакторная аутентификация.

Информация о конкретных продуктах.

В Bitbucket поддерживается использование разных вариантов системы единого входа (SSO) на основе многофакторной аутентификации (MFA). Дополнительные сведения см. в статье Принудительная двухфакторная аутентификация | Bitbucket Cloud.

В Halp используется SSO через Slack OAuth и MS Teams. Slack и MS Teams предоставляют несколько вариантов многофакторной аутентификации. Дополнительные сведения см. в статьях Система единого входа на базе SAML и Azure AD Connect: простая система единого входа.

В Opsgenie поддерживаются различные варианты SSO на основе MFA. Дополнительные сведения см. в разделе Настройка SSO для Opsgenie.

В Statuspage поддерживаются различные варианты SSO на основе MFA.

В Trello поддерживается многофакторная аутентификация. Дополнительные сведения о том, как включить многофакторную аутентификацию, см. в статье Включение двухфакторной аутентификации для аккаунта Trello.

В Jira Align поддерживаются различные варианты SSO на основе MFA.

Регулярное резервное копирование

Первый уровень внедрения

Резервное копирование важных данных, программного обеспечения и настроек конфигурации выполняется с определенной периодичностью. Резервные копии хранятся в течение определенного срока в соответствии с требованиями по обеспечению непрерывности бизнеса.
Резервные копии важных данных, программного обеспечения и настроек конфигурации синхронизируются, чтобы обеспечить возможность восстановления на общий момент времени.
Резервные копии важных данных, программного обеспечения и настроек конфигурации хранятся в безопасной и отказоустойчивой среде.
Восстановление важных данных, программного обеспечения и настроек конфигурации из резервных копий на общий момент времени тестируется в рамках отработки аварийного восстановления.
Непривилегированные аккаунты не имеют доступа к резервным копиям, принадлежащим другим аккаунтам.
Непривилегированным аккаунтам запрещено изменять и удалять резервные копии.

Второй уровень внедрения

Резервное копирование важных данных, программного обеспечения и настроек конфигурации выполняется с определенной периодичностью. Резервные копии хранятся в течение определенного срока в соответствии с требованиями по обеспечению непрерывности бизнеса.
Резервные копии важных данных, программного обеспечения и настроек конфигурации синхронизируются, чтобы обеспечить возможность восстановления на общий момент времени.
Резервные копии важных данных, программного обеспечения и настроек конфигурации хранятся в безопасной и отказоустойчивой среде.
Восстановление важных данных, программного обеспечения и настроек конфигурации из резервных копий на общий момент времени тестируется в рамках отработки аварийного восстановления.
Непривилегированные аккаунты не имеют доступа к резервным копиям, принадлежащим другим аккаунтам.
Привилегированные аккаунты (за исключением аккаунтов администраторов резервного копирования) не имеют доступа к резервным копиям, принадлежащим другим аккаунтам.
Непривилегированным аккаунтам запрещено изменять и удалять резервные копии.
Привилегированным аккаунтам (за исключением аккаунтов администраторов резервного копирования) запрещено изменять и удалять резервные копии.

Третий уровень внедрения

Резервное копирование важных данных, программного обеспечения и настроек конфигурации выполняется с определенной периодичностью. Резервные копии хранятся в течение определенного срока в соответствии с требованиями по обеспечению непрерывности бизнеса.
Резервные копии важных данных, программного обеспечения и настроек конфигурации синхронизируются, чтобы обеспечить возможность восстановления на общий момент времени.
Резервные копии важных данных, программного обеспечения и настроек конфигурации хранятся в безопасной и отказоустойчивой среде.
Восстановление важных данных, программного обеспечения и настроек конфигурации из резервных копий на общий момент времени тестируется в рамках отработки аварийного восстановления.
Непривилегированные аккаунты не имеют доступа к резервным копиям, принадлежащим другим аккаунтам или их собственным аккаунтам.
Привилегированные аккаунты (за исключением аккаунтов администраторов резервного копирования) не имеют доступа к резервным копиям, принадлежащим другим аккаунтам или их собственным аккаунтам.
Непривилегированным аккаунтам запрещено изменять и удалять резервные копии. Привилегированным аккаунтам (включая аккаунты администраторов резервного копирования) запрещено изменять и удалять резервные копии в течение срока их хранения.

Ответ Atlassian

Компания Atlassian придерживается стандарта по сохранению и уничтожению данных, в котором определены сроки хранения данных разных типов. Данные подразделяются на категории в соответствии с политикой безопасности данных и жизненного цикла информации Atlassian, и на ее основе реализованы механизмы контроля.
При прекращении действия договора с Atlassian данные, принадлежащие команде клиента, будут удалены из рабочей базы данных, а все вложенные файлы, загруженные непосредственно в системы Atlassian, будут удалены в течение 14 дней. Данные команды будут храниться в зашифрованных резервных копиях в течение 60-дневного периода, после чего их уничтожат в соответствии с политикой Atlassian в отношении хранения данных. Если в течение 60 дней после подачи запроса на стирание информации клиенту потребуется восстановить базу данных, операционная команда повторно удалит данные в разумно возможный кратчайший срок после того, как рабочая система будет полностью восстановлена. Подробнее см. в статье Просмотр хранилища и перемещение данных между продуктами.

Избранное

Jira

Confluence

Jira Service Management

Trello

Rovo НОВОЕ

Jira Product Discovery НОВОЕ

Compass НОВОЕ

Guard НОВОЕ

Loom НОВОЕ

Разработчики

Jira

Bitbucket

Compass НОВОЕ

Менеджеры по продукту

Jira

Confluence

Jira Product Discovery НОВОЕ

ИТ-специалисты

Jira Service Management

Guard НОВОЕ

Бизнес-команды

Jira

Confluence

Trello

Loom НОВОЕ

Руководящие команды

Jira

Confluence

Loom НОВОЕ

Jira Align

команды

Программное обеспечение

Маркетинг

ИТ

Решение

По размеру команды

По отрасли

Почему Atlassian

Интеграции

Клиенты

FedRAMP

Отказоустойчивость

Платформа

Центр безопасности

Ресурсы

Служба поддержки клиентов

Найти партнеров

Программа миграции

Обучение

Поддержка

Обучение

ACSC: модель внедрения восьми основных стратегий по смягчению последствий (Essential 8 Maturity Model) — обзор рекомендаций на 2023 год

Стратегия смягчения последствий

Первый уровень внедрения

Второй уровень внедрения

Третий уровень внедрения

Ответ Atlassian

продукты

Ресурсы

Обучение