Service and Organization Controls 2 (SOC 2) — это aудит контрольных процедур в IT организациях, предоставляющих сервисы. По сути это международный стандарт отчета для системы управления рисками кибербезопасности.

Первый тип отчета показывает эффективность создания механизмов контроля безопасности для отдельно взятого процесса. То есть в компанию приходят сторонние аудиторы и изучают управление рисками: смотрят, какие практики внедрены, насколько четко следуют заявленным процедурам и как регистрируются изменения в процессе.

Любая компания, оказывающая какие-либо сервисные услуги, потенциально может представлять угрозу для своих клиентов — стать звеном в атаке через цепочку поставок. На компании, работающие в сфере информационной безопасности, ложится еще большая ответственность — их продукты по определению должны иметь высший уровень доступа к информационным системам пользователей.

Вполне логично, что периодически у клиентов, особенно у крупных корпораций, возникают вопросы: а насколько вам стоит доверять? Как у вас там все внутри устроено? Не может ли кто-нибудь причинить нам вред, воспользовавшись вашими продуктами или сопутствующими сервисами? И что бы мы ни отвечали на этот вопрос — убедительнее будет звучать ответ от имени стороннего эксперта.

Вот за таким сторонним экспертным заключением компания «Лаборатория Касперского» обратилась к внешним аудиторам, чтобы клиенты и партнеры не сомневались в надежности продуктов и сервисов, а также в том, что внутренние процессы соответствуют международным стандартам и передовому опыту.

Наибольшее опасение всегда вызывает механизм, доставляющий какую-либо информацию на компьютеры клиентов. У «Лаборатории Касперского» много разных решений для разных сегментов рынка и разных отраслей. Но в большинстве из них в качестве базовой защитной технологии работает антивирусный движок, который сканирует объекты на диске на наличие признаков вредоносов. Для этого используются супербыстрые маски и хеши, эмуляция файла в изолированной среде, крайне устойчивые к мутациям файла матмодели машинного обучения и оперативные облачные запросы. Для эффективной борьбы с современными киберугрозами все эти методы требуют регулярных обновлений антивирусных баз.

Независимые аудиторы изучили систему подготовки антивирусных баз и методы контроля за целостностью и аутентичностью обновлений антивирусных баз продуктов для серверов Windows и Unix; удостоверились в корректной работоспособности методов контроля, а также проверили процесс разработки и выпуска антивирусных баз на предмет возможности неавторизованного вмешательства.

Аудиторы исследовали:

• Что представляют собой сервисы «Лаборатории Касперского»
• Как системы вендора взаимодействуют с пользователями и возможными партнерами
• Как построен контроль процессов и каковы его ограничения
• Какие инструменты контроля есть у пользователей и как они взаимодействуют с инструментами контроля «Лаборатории Касперского»
• Каким рискам подвержен сервис и какие инструменты контроля позволяют минимизировать эти риски

Аудит проводила одна из компаний «большой четверки». В результате аудиторы пришли к выводу, что у «Лаборатории Касперского» процессы разработки и выпуска баз защищены от несанкционированных вмешательств.

Подробнее об аудите SOC 2 можно узнать здесь.