Τα πρότυπα συμμόρφωσης SOC 2 και ISO 27001 έχουν σχεδιαστεί τόσο για την ασφάλεια των πληροφοριών όσο και την προστασία των δεδομένων τους και κατ’ επέκταση για την ενίσχυση της εμπιστοσύνης των πελατών.
Δρ. Θεόδωρος Ντούσκας
Managing Director
ICT PROTECT – www.ictprotect.com
Πρότυπο Συμμόρφωσης SOC 2
Το SOC (Service Organization Controls) είναι ένα πρότυπο που δημιουργήθηκε από το Αμερικανικό Ινστιτούτο Πιστοποιημένων Ορκωτών Λογιστών (AICPA – American Institute of Certified Public Accountants). Στόχος του SOC είναι να βοηθήσει τους Οργανισμούς να υλοποιήσουν τα απαραίτητα τεχνικά & οργανωτικά μέτρα προς όφελος των πελατών τους, προκειμένου να προστατεύσουν τις πληροφορίες και τα δεδομένα που αποθηκεύονται σε cloud-based υποδομές. Υπάρχουν διάφοροι τύποι SOC αναφορών:
- Η αναφορά SOC 1 η οποία εστιάζει στην αποτελεσματικότητα των υφιστάμενων μέτρων που σχετίζονται με τις χρηματοοικονομικές διαδικασίες ενός οργανισμού.
- Η αναφορά SOC 2 η οποία εστιάζει στην Ασφάλεια Πληροφοριών και οι απαιτήσεις προσδιορίζονται από οποιοδήποτε από τα πέντε «Τrust Services Criteria» (AICPA TSP section 100) σχετικά με την Ασφάλεια, τη Διαθεσιμότητα, την Ακεραιότητα, την Εμπιστευτικότητα και την Ιδιωτικότητα.
- Η αναφορά SOC 3 καλύπτει τις ίδιες απαιτήσεις με το SOC 2, αλλά προορίζεται για διανομή στο ευρύ κοινό χωρίς τα λεπτομερή αποτελέσματα των εξωτερικών ελέγχων του SOC
Οι αναφορές SOC διατίθενται σε δύο τύπους και εστιάζουν σε διαφορετικά στάδια διαχείρισης της επικινδυνότητας:
- Ο Τύπος Ι ( Type I Report) προορίζεται για τον πρώτο έλεγχο SOC σε συγκεκριμένο χρόνο και επικυρώνει το σχεδιασμό των εσωτερικών τεχνικών και οργανωτικών μέτρων.
- Ο Τύπος II (Type II Report) προορίζεται για την επανεξέταση των τεχνικών και οργανωτικών μέτρων ενός Οργανισμού για μια συγκεκριμένη χρονική περίοδο (6 έως 12 μήνες) και διασφαλίζει ότι οι πρακτικές ασφάλειας και τα μέτρα έχουν σχεδιαστεί σωστά και λειτουργούν αποτελεσματικά μέσω εξωτερικών επιθεωρήσεων. Μια αναφορά SOC 1 και SOC 2 μπορεί να είναι Τύπος I ή Τύπος II, ενώ μια αναφορά SOC 3 μπορεί να είναι μόνο Τύπου II.
Οι έλεγχοι SOC 2 γίνονται ως προς τις απαιτήσεις των «Τrust Services Criteria», τα οποία ορίζονται ως αρχές και ταυτίζονται με τις 17 αρχές του COSO Framework και τα επιπρόσθετα σημεία εστίασης (points of focus) που σχετίζονται με κάθε ένα από τα κριτήρια. Κάθε οργανισμός θα πρέπει να επιλέξει συγκεκριμένες κατηγορίες που απαιτούνται για τον μετριασμό των κινδύνων για τις υπηρεσίες ή τα συστήματα που παρέχουν. Ανάλογα με το ποιες κατηγορίες περιλαμβάνονται στο πεδίο της εξέτασης, τα εφαρμόσιμα «Trust Services Criteria» αποτελούνται από απαιτήσεις οι οποίες είναι κοινές και για τις πέντε κατηγορίες (common criteria), αλλά και από επιπλέον συγκεκριμένες απαιτήσεις για τις κατηγορίες της Διαθεσιμότητας, της Ακεραιότητας, της Εμπιστευτικότητας και της Ιδιωτικότητας. Από τα πέντε «Trust Services Criteria», μόνο η Ασφάλεια είναι υποχρεωτική. Τα άλλα τέσσερα από τα «Trust Services Criteria» μπορούν να συμπεριληφθούν σε μια αναφορά SOC 2 ανάλογα με το είδος της παρεχόμενης υπηρεσίας, τις απαιτήσεις των πελατών του Οργανισμού καθώς και τις κανονιστικές απαιτήσεις.
Σύγκριση ISO 27001 με SOC 2
Τα πρότυπα συμμόρφωσης SOC 2 και ISO 27001 έχουν σχεδιαστεί τόσο για την ασφάλεια των πληροφοριών όσο και την προστασία των δεδομένων τους και κατ’ επέκταση για την ενίσχυση της εμπιστοσύνης των πελατών. Είναι πολύ σημαντικό για έναν Οργανισμό να κατανοήσει τις ανάγκες των πελατών του και τις κανονιστικές απαιτήσεις στις οποίες πρέπει να επιτευχθεί η συμμόρφωση. Οι κύριες διαφορές SOC 2 και ISO 27001 είναι:
- Η αναφορά SOC 2 περιλαμβάνει τη γνώμη του ελεγκτή που εξετάζει συγκεκριμένο δείγμα εφαρμογής των υφιστάμενων μέτρων του Οργανισμού
- Συνήθως για τον έλεγχο ως προς SOC 2 απαιτείται μεγαλύτερο δείγμα εφαρμογής των τεχνικών & οργανωτικών μέτρων κάθε απαίτησης των Trust Service Criteria.
- Οι πιστοποιήσεις ISO 27001 ισχύουν για τρία χρόνια ενώ οι αναφορές SOC 2 είναι για μία συγκεκριμένη χρονική στιγμή ή για μία συγκεκριμένη χρονική περίοδο.
- Οι εκθέσεις εξωτερικής επιθεώρησης του ISO 27001 είναι μόνο για εσωτερική χρήση, ενώ οι αναφορές του SOC 2 μπορούν να είναι διαθέσιμες σε όλους: η αναφορά SOC 2 Τype ΙΙ έπειτα από αίτημα του πελάτη και η αναφορά SOC 3 μπορεί να αναρτηθεί στον δικτυακό τόπο του οργανισμού.
- Για μια αναφορά SOC 2, το τελικό παραδοτέο είναι μια έκθεση εξωτερικής επιθεώρησης μαζί με τις όποιες αποκλίσεις / μη – συμμορφώσεις, ενώ το παραδοτέο για το ISO 27001 είναι ένα πιστοποιητικό 1-2 σελίδων.
Η αναφορά ενός SOC 2 ελέγχου περιλαμβάνει:
- Γνώμη του ελεγκτή
- Επιβεβαίωση της ανώτατης διοίκησης του οργανισμού συμμόρφωσης με τα Trust Service Criteria
- Λεπτομερής περιγραφή του συστήματος ή της υπηρεσίας και των εξαρτήσεών τους (π.χ. Cloud Infrastructure)
- Λεπτομέρειες εφαρμογής των μέτρων για όλα τα επιλεγμένα «Trust Service Criteria»
- Λεπτομερής περιγραφή του εξωτερικού ελέγχου και των αποτελεσμάτων (αναφορά Τύπου II)
Ένα πιστοποιητικό ISO 27001 περιλαμβάνει:
- Πεδίο εφαρμογής ISMS πιστοποιημένου Οργανισμού
- Τοποθεσίες εντός εμβέλειας
- Ισχύουσες ημερομηνίες του πιστοποιητικού
Συμπεράσματα
Οι απαιτήσεις ασφάλειας των πελατών αλλά και οι κανονιστικές απαιτήσεις συνεχώς αυξάνονται με αποτέλεσμα η διαχείριση ασφάλειας να αποτελεί επιτακτική ανάγκη για τους Οργανισμούς. Η δημιουργία και εφαρμογή ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (βάσει ISO 27001) αποτελεί το σημείο εκκίνησης για την υιοθέτηση βέλτιστων πρακτικών ασφάλειας και προστασίας των πληροφοριών που διαχειρίζεται ο οργανισμός και δημιουργεί τα εχέγγυα για ασφαλείς υπηρεσίες. Η διαφοροποίηση στην αγορά μπορεί να επιτευχθεί με την απόκτηση SOC 2 (Type I, Type II reports) και SOC 3 καθώς με τον τρόπο αυτό κοινοποιούνται τόσο τα δυνατά όσο και τα αδύναμα σημεία του οργανισμού και είναι ευκολότερα εφικτή η διείσδυση σε αγορές των ΗΠΑ όπου είναι αρκετά δημοφιλές ως πρότυπο.