Система Atlassian Trust Management System (ATMS)

Знакомство с системой Atlassian Trust Management System (ATMS)

Мы в Atlassian очень гордимся ценностями компании. Этими ценностями определяется все, что мы делаем. Одна из ценностей, на которую мы обращаем особое внимание, — «Открытая компания, никакой ерунды». Точный смысл этой ценности именно такой, какой определен на нашей странице ценностей:

И мы понимаем, что для откровенного высказывания своего мнения в равной степени требуются ум (что сказать), внимательность (когда сказать) и забота (как сказать).

Мы с заметным постоянством слышим от клиентов, что им хотелось бы больше знать о том, как мы ведем бизнес и выполняем повседневные операции. С радостью выделяем немного времени, чтобы рассказать, как мы выполняем программу по управлению доверием, которая в соответствии со стандартом управления безопасностью ISO 27001 называется системой Atlassian Trust Management System (ATMS).

Мы в Atlassian гордимся тем, что отличаемся от других компаний, о чем бы ни шла речь, — будь то уникальный подход к продажам, ценности нашей компании или подход к благотворительности. Мы распространили этот подход на нашу программу по управлению доверием.

Важна ли структурированная программа управления?

Любые системы управления несут в себе ценность, будь то системы управления качеством, системы управления дефектами, метод непрерывного совершенствования кайдзен или структурированная методология для оценки зрелости возможностей. Эти программы управления апробируются в реальных условиях, публикуются, рецензируются и совершенствуются. Наша программа Atlassian Trust Management Program основана на стандарте ISO 27001 для систем управления информационной безопасностью. Основное положение стандарта ISO 27001:

этот международный стандарт может использоваться внутренними и внешними сторонами для оценки способности организации отвечать собственным требованиям информационной безопасности.

Ценность международных стандартов как ориентиров (но не обязательных требований)

Как и все организации (а особенно те, которые несут ответственность за размещение и обработку данных клиентов), мы получаем предсказуемо много вопросов от клиентов о том, заботится ли Atlassian (как поставщик облачных сервисов) о надлежащей защите и обеспечении конфиденциальности данных клиентов. Любой клиент, рассматривающий возможность использования облачных сервисов, задается подобными вопросами при выборе вариантов хостинга важных приложений или сервисов.

У каждого из наших клиентов есть свои требования к безопасности. Программа Atlassian по управлению доверием учитывает эти требования и вырабатывает набор собственных требований, уникальных для нашей компании и среды. Подход ISO 27001 к планированию, эксплуатации, оценке производительности и совершенствованию позволяет постоянно оценивать работу нашей программы и со временем оптимизировать ее с целью учета новых угроз, новых требований или общего повышения качества работы.

Мы учитываем международные стандарты как набор хорошо структурированных руководящих принципов, но при этом мы анализируем каждое конкретное требование и оцениваем, подходят ли эти требования к конкретной среде. Мы применяем аналогичный подход при оценке общей применимости этих международных стандартов к нашей среде.

Программа управления правилами

В основе системы Trust Management System лежит наша программа управления правилами (PMP). Правила структурированы так, чтобы охватить области стандарта ISO 27001 и Матрицы контроля облачных вычислений (CCM) от Альянса безопасности облачных вычислений (CSA). Наша компания разработала несколько основных принципов программы управления правилами.

• Публикация и доступность. Мы не играем в догонялки — у нас есть четкий уровень, которому должны соответствовать наши команды.
• Поддержка от команды по безопасности и простое соответствие требованиям для клиентов. Мы всегда готовы помочь командам (так мы принесем пользу себе).
• Планирование целей в области безопасности. Нам нравится ставить четкие цели.
• Стремление к выполнению нормативных требований. Нам не нужны проблемы с законом.
• Непрерывное совершенствование и последовательная работа. Мы постоянно оцениваем риски среды и программы, а также отражаем их в наших правилах.
• Особые условия для процессов. Бывают ситуации, когда обстоятельства не позволяют командам обеспечить соответствие правилам за короткий период времени.
• Ежегодный анализ. Сюда входит в том числе обновление правил по мере обнаружения новых угроз и рисков.

Прочитайте обзор наших правил в отношении технологий, а также выдержки из них.

Программа управления рисками

Чтобы постоянно измерять риски, которым подвержены наши среды и продукты, мы непрерывно проводим оценки рисков. Во многих случаях, особенно когда речь идет о наших продуктах, мы проводим оценки технического риска или проверки кода. Кроме того, мы оцениваем каждый наш продуктовый стек в целом, а также отдельные части нашей организации, чтобы выявлять бизнес-риски более высокого уровня. Мы приняли методологию управления рисками, соответствующую стандартам ISO 27005 или ISO 31010, и применяем эту методологию в определенных областях. Наш подход к управлению рисками включает в себя следующие принципы.

• Проведение мероприятий по оценке рисков, в том числе выполнение измерений рисков и содействие принятию решений по обработке рисков. Сюда относятся определение области, подверженной рискам, ресурсов в этой области, выявление рисков, оценка их возможных последствий и вероятности их реализации, а также анализ рисков и отчетность по рискам.
• Мониторинг проектов, предназначенных для управления рисками безопасности, и составление отчетов по ним: постоянный мониторинг программ или проектов, разработанных для управления рисками безопасности, и составление отчетов по ним.
• Поддержка SMP: мы используем постоянную оценку рисков как механизм совершенствования среды, который подтверждает, что внедренные средства безопасности позволяют эффективно управлять обнаруживаемыми рисками безопасности.

Подробная информация приведена в нашей Программе управления корпоративными рисками.

Форум Atlassian Trust Management Forum (ATMF)

Наконец, мы поддерживаем форум по управлению доверием с четкой структурой. В мероприятии участвуют специалисты по каждому из направлений нашей программы по управлению доверием. Так мы можем убедиться, что наша компания не только применяет средства управления безопасностью, но и обеспечивает надежность, конфиденциальность и соответствие требованиям, а также способна эффективно управлять рисками в каждом из этих направлений. В рамках форума мы проводим отдельные собрания, чтобы достаточно подробно осветить определенные темы и позволить участникам внести существенный вклад.

Цель форума ATMF заключается в следующем.

• Согласование приоритетов и необходимых действий для защиты Atlassian и клиентов компании от угроз безопасности.
• Продвижение и стимулирование в каждом бизнес-подразделении действий по устранению недостатков или уязвимостей, которые могут спровоцировать атаку.
• Предоставление рекомендаций и поддержки рабочим группам в области критических рисков безопасности и программ соответствия требованиям.
• Продвижение во всей организации культуры осведомленности о безопасности.

В рамках форума проводятся следующие собрания.

• ATMF: анализ системы управления (ежегодно в соответствии с годовым бюджетом).
• ATMF: анализ ресурсов (ежегодно в соответствии с годовым бюджетом).
• ATMF: анализ рисков (ежеквартально).
• ATMF: анализ работы системы безопасности (ежемесячно).
• ATMF: анализ работы системы соответствия требованиям (ежемесячно).
• ATMF: анализ системы управления (еженедельно, проводится каждой функциональной командой).

Структура и периодичность собраний гарантируют, что производится непрерывный анализ профиля угроз компании и действий в ответ на эти угрозы.

Подходов к управлению организацией в сфере безопасности столько же, сколько самих организаций. Мы считаем, что программа Atlassian обладает гибкостью, легко адаптируется и при этом имеет подходящую структуру, чтобы гарантировать эффективную оценку и устранение новых угроз и рисков как для нас, так и для наших клиентов.