Понимание соответствия SOC 1, SOC 2 и SOC 3

Опубликовано: 2022-09-06

Соответствие требованиям является важным аспектом роста вашей организации.

Предположим, вы хотите запустить бизнес SaaS и ориентироваться на клиентов среднего размера. В этом случае вам необходимо соблюдать применимые правила и нормы и обеспечивать более надежную защиту вашей компании.

Многие организации пытаются обойти эти требования, применяя опросники безопасности.

Таким образом, когда заказчик или клиент требует сертификат SOC, вы понимаете, насколько важно соблюдать нормативные требования.

Соответствие требованиям Service Organization Control (SOC) относится к типу сертификации, при котором организация выполняет сторонний аудит, который показывает определенные средства контроля, которые есть в вашей организации. Соответствие SOC также применимо к цепочке поставок и кибербезопасности SOC.

В апреле 2010 года Американский институт сертифицированных бухгалтеров (AICPA) объявил об изменении SAS 70. Уточненный и новый стандарт аудита называется Заявление о стандартах для аттестационных заданий (SSAE 16).

Наряду с аудитом SSAE 16 также были созданы три других отчета для изучения средств контроля обслуживающей организации. Они называются отчетами SOC и содержат три отчета: отчеты SOC 1, SOC 2 и SOC 3, преследующие разные цели.

В этой статье я расскажу о каждом отчете SOC, о том, где их применять и как они вписываются в ИТ-безопасность.

Вот так!

Что такое отчет SOC?

Что такое отчет SOC

Отчеты SOC можно считать конкурентным преимуществом, приносящим организации выгоду с точки зрения денег и времени. Он использует сторонних и независимых аудиторов для изучения различных аспектов организации, в том числе:

  • Доступность
  • Конфиденциальность
  • Конфиденциальность
  • Целостность обработки
  • Безопасность
  • Контроль, связанный с кибербезопасностью
  • Контроль, связанный с финансовой отчетностью

Отчеты SOC позволяют компании быть уверенной в том, что потенциальные поставщики услуг действуют в соответствии с нормами и этическими нормами. Хотя аудиты могут быть сложными, они могут обеспечить огромную безопасность и доверие. Отчеты SOC помогают установить надежность и надежность поставщика услуг.

Кроме того, отчеты SOC полезны для:

  • Программы управления поставщиками
  • Надзор за организацией
  • Регуляторный надзор
  • Процесс управления рисками и внутреннее корпоративное управление

Почему необходим отчет SOC?

Несколько сервисных организаций, таких как компании центров обработки данных, поставщики SaaS, кредитные службы и обработчики требований, должны пройти проверку SOC. Этим организациям необходимо хранить финансовые данные или конфиденциальные данные своих клиентов или пользователей.

Почему необходим отчет SOC

Таким образом, любая компания, предоставляющая услуги другим компаниям или пользователям, может пройти проверку SOC. Отчет SOC не только позволяет вашим потенциальным клиентам узнать, что компания является законной, но также раскрывает перед вами недостатки и слабые стороны ваших средств контроля или клиентов посредством процессов оценки.

Что вы можете ожидать от оценки SOC?

Прежде чем приступить к процессу оценки SOC, вы должны определить, какой тип отчета SOC вам нужен, который больше всего подходит вашей организации. Далее начнется официальный процесс с оценкой готовности.

Сервисные организации готовятся к экзамену, выявляя потенциальные тревожные флажки, пробелы, недостатки и многое другое. Таким образом, компания может понять доступные варианты устранения этих недостатков и недостатков.

Кто может проводить аудит SOC?

Аудиты SOC проводятся независимыми дипломированными бухгалтерами (CPA) или бухгалтерскими фирмами.

AICPA устанавливает профессиональные стандарты, призванные регулировать работу аудиторов SOC. В дополнение к этому, организации должны соблюдать определенные руководящие принципы, касающиеся исполнения, планирования и надзора.

Кто может проводить аудит SOC

Затем каждый аудит AICPA проходит экспертную оценку. Организации или фирмы CPA также нанимают специалистов, не являющихся CPA, с навыками в области информационных технологий и безопасности для подготовки к аудиту SOC. Но окончательный отчет должен быть проверен и раскрыт CPA.

Давайте пройдемся по каждому отчету отдельно, чтобы понять, как они работают.

Что такое СОК 1?

SOC1

Основная цель SOC 1 состоит в том, чтобы контролировать цели в документах SOC 1 и обрабатывать области внутреннего контроля, которые имеют отношение к аудиту финансовой отчетности организации-пользователя.

Проще говоря, он сообщает вам, когда услуги организации влияют на финансовую отчетность пользователя.

Что такое отчет SOC 1?

Отчет SOC 1 определяет контроль обслуживающей организации, применимый к контролю организации-пользователя над финансовой отчетностью. Он предназначен для удовлетворения потребностей пользовательских объектов. При этом бухгалтеры оценивают эффективность внутреннего контроля обслуживающей организации.

Существует два типа отчетов SOC 1:

  • SOC 1 Тип 1: Этот отчет обычно концентрируется на системе обслуживающей организации и проверяет пригодность системных средств контроля для достижения целей контроля вместе с описанием на указанную дату.

Отчеты SOC 1 типа 1 предназначены только для аудиторов, менеджеров и пользователей, как правило, поставщики услуг принадлежат любой сервисной организации. Аудитор обслуживающей организации определяет отчет, который охватывает все требования МСЗОУ 16.

  • SOC 1, тип 2 : этот отчет содержит те же мнения и анализ, что и отчет SOC 1, тип 1. Но он включает мнения об эффективности заранее установленных средств контроля, разработанных для достижения всех целей контроля за определенный период.

В отчете SOC 1 типа 2 цели контроля приводят к потенциальным рискам, которые служба внутреннего контроля хочет снизить. Объем включает соответствующие области контроля и предлагает разумные гарантии. В нем также говорится, что существует ограничение на выполнение только разрешенных и соответствующих действий.

Какова цель SOC 1?

Как мы уже обсуждали, SOC 1 — это первая часть серии «Контроль обслуживающей организации», в которой рассматриваются вопросы внутреннего контроля в финансовой отчетности. Он применим к предприятиям, которые напрямую взаимодействуют с финансовыми данными для партнеров и клиентов.

Таким образом, он обеспечивает взаимодействие организации, сохраняя финансовые отчеты пользователей и передавая их. Тем не менее, отчет SOC 1 помогает инвесторам, клиентам, аудиторам и руководству оценить внутренний контроль финансовой отчетности в соответствии с рекомендациями AICPA.

Как поддерживать соответствие SOC 1?

Соответствие SOC 1 определяет процесс управления всеми элементами управления SOC 1, добавленными в отчет SOC 1 за определенный период. Обеспечивает эффективность работы правил SOC 1.

Как поддерживать соответствие SOC 1

Средства контроля, как правило, представляют собой средства управления ИТ, средства управления бизнес-процессами и т. д., используемые для обеспечения разумной уверенности на основе целей контроля.

Что такое СОК 2?

соц2

SOC 2, разработанный AICPA, описывает критерии контроля или управления информацией о клиентах на основе 5 принципов предоставления надежных услуг: Этими принципами являются:

  • Доступность включает аварийное восстановление, обработку инцидентов безопасности и мониторинг производительности.
  • Конфиденциальность : включает шифрование, двухфакторную аутентификацию (2FA) и контроль доступа.
  • Безопасность : включает обнаружение вторжений, двухфакторную аутентификацию и сетевые или прикладные брандмауэры.
  • Конфиденциальность : включает в себя контроль доступа, шифрование и брандмауэры приложений.
  • Целостность обработки : включает мониторинг обработки и обеспечение качества.

SOC 2 уникален для каждой организации из-за своих жестких требований, в отличие от PCI DSS. В соответствии с определенной деловой практикой каждый проект имеет свой контроль, чтобы соответствовать нескольким принципам доверия.

Что такое отчет SOC 2?

Отчет SOC 2 позволяет сервисным организациям получать и делиться отчетом с заинтересованными сторонами, чтобы описать общее; ИТ-элементы управления, которые безопасны на месте.

Что такое отчет SOC 2

Существует два типа отчетов SOC 2:

  • SOC 2 Type 1 : описывает системы поставщика и сообщает, соответствует ли дизайн поставщика принципам доверия.
  • SOC 2, тип 2 : содержит сведения об операционной эффективности систем поставщика.

SOC 2 отличается от организации к организации в отношении структур и стандартов информационной безопасности, поскольку нет определенных требований. AICPA предоставляет критерии, которые выбирает обслуживающая организация, чтобы продемонстрировать средства контроля, которые они используют для защиты предлагаемых услуг.

Какова цель SOC 2?

Соответствие SOC 2 свидетельствует о том, что организация контролирует и поддерживает высокий уровень информационной безопасности. Строгое соответствие позволяет организациям гарантировать безопасность критически важной информации.

Соблюдая SOC 2, вы получаете:

  • Усовершенствованные методы обеспечения безопасности данных, с помощью которых организация защищает себя от кибератак и нарушений безопасности.
  • Конкурентное преимущество, поскольку клиенты хотят работать с поставщиками услуг с надежными методами защиты данных, особенно для облачных и ИТ-услуг.
Какова цель SOC 2

Он ограничивает несанкционированное использование данных и активов, с которыми работает организация. Принципы безопасности требуют от организаций добавления элементов управления доступом для защиты данных от злонамеренных атак, неправомерного использования, несанкционированного раскрытия или изменения информации о компании и несанкционированного удаления данных.

Как обеспечить соответствие SOC 2?

Соответствие SOC 2 — это добровольный стандарт, разработанный AICPA, который определяет, как организация управляет информацией о своих клиентах. Стандарт описан пятью критериями доверенных служб, т. е. безопасностью, целостностью обработки, конфиденциальностью, приватностью и доступностью.

Соответствие SOC адаптировано к потребностям каждой организации. В зависимости от деловой практики организация может выбрать элементы управления дизайном, которые должны следовать одному или нескольким принципам службы доверия. Он распространяется на все сервисы, включая защиту от DDoS-атак, балансировку нагрузки, аналитику атак, безопасность веб-приложений, доставку контента через CDN и многое другое.

Как обеспечить соответствие SOC 2

Проще говоря, соответствие SOC 2 — это не описательный список инструментов, процессов или элементов управления; вместо этого он ссылается на необходимость критериев, имеющих решающее значение для поддержания информационной безопасности. Это позволяет каждой организации внедрять лучшие процессы и методы, соответствующие ее деятельности и целям.

Ниже приведен контрольный список базового соответствия SOC 2:

  • Контроль доступа
  • Системные операции
  • Снижение риска
  • Управление изменениями

Что такое SOC 3?

соц3-1

SOC 3 — это процедура аудита, разработанная AICPA для определения силы внутреннего контроля обслуживающей организации над центрами обработки данных и безопасностью облачных вычислений. Структура SOC 3 также основана на критериях службы доверия, которые включают:

  • Безопасность : системы и информация защищены от несанкционированного раскрытия, несанкционированного доступа и повреждения систем.
  • Целостность процесса : обработка системы является достоверной, точной, санкционированной, своевременной и полной для удовлетворения требований объекта.
  • Доступность : системы и информация доступны для использования и эксплуатации для удовлетворения потребностей организации.
  • Конфиденциальность : личная информация используется, раскрывается, уничтожается, сохраняется и собирается для удовлетворения требований организации.
  • Конфиденциальность : информация, обозначенная как критическая, защищена в соответствии с требованиями организации.

С помощью SOC 3 сервисные организации определяют, какие из этих критериев Trust Services применяются к услугам, которые они предлагают клиентам. Вы также найдете дополнительную отчетность, требования к производительности и руководство по применению в Положениях о стандартах.

Что такое отчет SOC 3?

Что такое отчет SOC 3

Отчеты SOC 3 содержат ту же информацию, что и отчеты SOC 2, но различаются по аудитории. Отчет SOC 3 предназначен только для широкой аудитории. Эти отчеты короткие и не содержат точно те же данные, что и отчет SOC 2. Они созданы для заинтересованных сторон и информированной аудитории.

Поскольку отчет SOC 3 носит более общий характер, его можно быстро и открыто опубликовать на веб-сайте компании вместе с печатью, описывающей его соответствие. Это помогает идти в ногу с международными стандартами бухгалтерского учета.

Например, AWS разрешает общедоступную загрузку отчета SOC 3.

Какова цель SOC 3?

Компании, особенно небольшие или стартапы, обычно не имеют достаточных ресурсов для контроля или поддержки определенных основных услуг собственными силами. Поэтому эти компании часто передают услуги сторонним поставщикам вместо того, чтобы вкладывать дополнительные усилия или деньги в создание нового отдела для этих услуг.

Таким образом, аутсорсинг является лучшим вариантом, но может быть рискованным. Причина в том, что организация делится данными клиентов или конфиденциальной информацией со сторонними поставщиками в зависимости от услуг, которые организация выбирает для аутсорсинга.

Какова цель SOC 3

Однако организации должны сотрудничать только с поставщиками, которые демонстрируют соответствие SOC 3.

Соответствие SOC 3 основано на Разделе 205 AT-C и Разделе 105 AT-C МСЗОУ 18. Он включает основную информацию из описания независимого руководства и отчета аудитора. Это относится ко всем поставщикам услуг, хранящим информацию о клиентах в облаке, включая поставщиков PaaS, IaaS и SaaS.

Как обеспечить соответствие SOC 3?

SOC 3 является последующей версией SOC 2, поэтому процедура аудита такая же. Аудиторы услуг ищут следующие политики и средства контроля:

  • Аварийное восстановление
  • Обнаружения вторжений
  • Мониторинг производительности
  • Гарантия качества
  • Двухфакторная аутентификация
  • Обработка инцидентов безопасности
  • Мониторинг обработки
  • Шифрование
  • Контроль доступа
  • Сетевые и прикладные брандмауэры
Как обеспечить соответствие SOC 3

После завершения аудита аудитор формирует отчет, основанный на выводах. Но отчет SOC 3 гораздо менее подробен, поскольку в нем содержится только информация, необходимая для общественности. Сервисная организация свободно делится результатами после завершения окончательного аудита в маркетинговых целях. Он подскажет, на чем следует сосредоточиться, чтобы пройти аудит. Итак, сервисной организации рекомендуется:

  • Тщательно выберите элементы управления.
  • Провести оценку для выявления пробелов в средствах контроля
  • Выясните регулярную деятельность
  • Опишите следующие шаги для оповещения об инцидентах
  • Поиск квалифицированного аудитора услуг для проведения итоговой проверки

Теперь, когда у вас есть некоторое представление о каждом типе соответствия, давайте разберемся в различиях между ними, чтобы понять, как они помогают каждой фирме удержаться на рынке.

SOC 1, SOC 2, SOC 3: различия

SOC 1, SOC 2, SOC 3: различия

В следующей таблице описаны цели и преимущества каждого отчета SOC.

СОЦ 1 СОЦ 2 СОК 3
Он дает заключение о конструкции типа 1 и конструкции или эксплуатации типа 2, включая процедуры и результаты испытаний. Единый результат для удовлетворения потребностей партнеров в деятельности организации, включая результаты и процедуры. Аналогичен SOC 2, но содержит меньше информации. Он не включает процедуры тестирования, результаты или элементы управления.
Он контролирует требования, необходимые для внутреннего контроля в отношении финансовой отчетности. Нефинансовые средства контроля оцениваются с помощью пяти Принципов доверия, необходимых для данного предмета. Это также зависит от пяти критериев Trust Services.
Ограниченное распространение среди клиентов и аудиторов В отчете будут определены регуляторы ограниченного распространения, клиенты и аудиторы. Помощь в клиентском маркетинге. Неограниченное распространение
Поддерживает прозрачность описания системы, контроля, процедур и результатов. Он обеспечивает уровень прозрачности, аналогичный SOC 1. Общее распространение отчетов по маркетинговым преимуществам.
Он фокусируется на финансовом контроле. Основное внимание уделяется оперативному контролю. Он похож на SOC 2, но содержит меньше информации.
Он описывает системы обслуживающей организации. Он также описывает системы обслуживающей организации. В нем описывается мнение CPA об адекватном контроле организации над системой.
Он сообщает о внутреннем контроле. Он сообщает о доступности, конфиденциальности, конфиденциальности, целостности обработки и мерах безопасности. Похоже на SOC 2
Офис контролера пользователей и аудитор пользователей используют SOC 1. Он предоставляется регулирующими органами, руководством и другими лицами в соответствии с соглашением о неразглашении. Он доступен для общественности.
Большинство аудиторов «нужно знать». Большинство заинтересованных сторон и клиентов «нужно знать». Широкая публика
Пример: процессоры медицинских требований. Пример: компания облачного хранилища. Пример: государственное предприятие.

Вывод

Чтобы решить, какое соответствие SOC будет наиболее подходящим для вашей организации, вам необходимо визуализировать тип информации, с которой вы имеете дело, будь то данные ваших клиентов или ваши собственные.

Если вы предлагаете услуги по обработке платежных ведомостей, возможно, вы захотите использовать SOC 1. Если вы обрабатываете или размещаете данные клиентов, вам может понадобиться отчет SOC 2. Точно так же, если вам нужно менее формальное соответствие, что лучше всего подходит для маркетинговых целей, вы можете использовать отчет SOC 3.