Взгляд со стороны: компания Kaspersky успешно прошла независимый аудит SOC 2

18 июля 2019
В рамках реализации Глобальной инициативы по информационной открытости Global Transparency Initiative компания Kaspersky успешно прошла аудит по контрольным процедурам в сервисных организациях – Service Organization Control for Service Organizations (SOC 2) Type 1. Финальный отчёт, опубликованный одной из компаний «Большой четвёрки», подтверждает, что процесс разработки и выпуска правил распознавания угроз (антивирусных баз) защищён от неавторизованного вмешательства благодаря сильным механизмам контроля безопасности.  

Service Organization Controls (SOC) – всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Его основная цель – информировать клиентов об эффективности создания и внедрения механизмов контроля безопасности. Как ответственная и прозрачная компания, Kaspersky выбрала этот стандарт для подтверждения надёжности своих продуктов и приверженности принципам и критериям AICPA, а именно таким, как безопасность (Security), доступность (Availability), целостность процессов (Processing Integrity), конфиденциальность (Confidentiality), приватность (Privacy).  




Анализ, проведённый в соответствии со стандартом SSAE 18, включает обзор внутренних механизмов контроля над регулярными автоматическими обновлениями антивирусных баз, созданных и распространяемых компанией Kaspersky для продуктов, работающих в системах Windows и Unix Servers. В финальном отчёте независимая аудиторская компания «Большой четвёрки» подтвердила пригодность упомянутых выше механизмов контроля и их корректную работоспособность по состоянию на дату проверки.     

По условиям договора компания Kaspersky не может раскрывать название аудиторской компании «Большой четвёрки», однако может по запросу предоставить основную информацию об упомянутых выше соответствиях и требованиях отчёта SOC 2 Type 1.

Аудит был проведён в рамках реализации Глобальной инициативы по информационной открытости Global Transparency Initiative – программы, которую компания Kaspersky запустила в 2017 году, чтобы продемонстрировать своим партнёрам и клиентам, что её решения и сервисы не только лучше других защищают от всего многообразия киберугроз, но также бережно обращаются с пользовательским данными. На текущий момент компания работает над следующими проектами в рамках инициативы.

Программа BugBounty. Недавно компания Kaspersky выплатила крупнейшее за всю историю программы вознаграждение в размере 23000 долларов США. Бонус получили исследователи из Imaginary team за обнаружение бага в продуктах Kaspersky. Проблема была оперативно устранена. Компания Kaspersky благодарна Imaginary team за отчёт и помощь в усовершенствовании продуктов.

«Безопасная гавань» для исследователей уязвимостей. Kaspersky поддерживает проект Disclose.io, который представляет собой безопасную площадку (SafeHarbor) для исследователей уязвимостей, обеспокоенных негативными юридическими последствиями своих раскрытий. Компания понимает, что такие внешние эксперты оказывают неоценимую помощь, сообщая о багах в продуктах, и готова предоставить им дополнительные гарантии для честного и ответственного раскрытия уязвимостей.

Центры прозрачности. На данный момент компания Kaspersky завершила второй этап в создании дополнительной инфраструктуры по обработке данных пользователей из Европы в своём ЦОД в Цюрихе, где также в ноябре 2018 года был открыт первый Центр прозрачности. С июня 2019 года посетителей начал принимать ещё один Центр прозрачности в Мадриде. До 2020 года компания планирует открыть по меньшей мере ещё один такой центр. В Центрах прозрачности доверенные партнёры и другие заинтересованные стороны (в том числе государственные органы) могут проверить исходный код продуктов Kaspersky, а также получить информацию о практиках создания ПО и обработки пользовательских данных.