Взгляд со стороны: «Лаборатория Касперского» успешно прошла независимый аудит SOC 2

В рамках реализации Глобальной инициативы по информационной открытости Global Transparency Initiative «Лаборатория Касперского» успешно прошла аудит по контрольным процедурам в сервисных организациях – Service Organization Control for Service Organizations (SOC 2) Type 1.

Финальный отчёт, опубликованный одной из компаний «Большой четвёрки», подтверждает, что процесс разработки и выпуска правил распознавания угроз (антивирусных баз) защищён от неавторизованного вмешательства благодаря сильным механизмам контроля безопасности. 

Service Organization Controls (SOC) – всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Его основная цель – информировать клиентов об эффективности создания и внедрения механизмов контроля безопасности. Как ответственная и прозрачная компания, «Лаборатория Касперского» выбрала этот стандарт для подтверждения надёжности своих продуктов и приверженности принципам и критериям AICPA, а именно таким, как безопасность (Security), доступность (Availability), целостность процессов (Processing Integrity), конфиденциальность (Confidentiality), приватность (Privacy). 

Анализ, проведённый в соответствии со стандартом SSAE 18, включает обзор внутренних механизмов контроля над регулярными автоматическими обновлениями антивирусных баз, созданных и распространяемых «Лабораторией Касперского» для продуктов, работающих в системах Windows и Unix Servers. В финальном отчёте независимая аудиторская компания «Большой четвёрки» подтвердила пригодность упомянутых выше механизмов контроля и их корректную работоспособность по состоянию на дату проверки.    

«Безопасность наших продуктов – абсолютный приоритет для нас. Мы горди мся тем, что успешно прошли независимый аудит. Для наших клиентов отчёт SOC2 – свидетельство того, что наши решения безопасны, а наш процесс разработки надёжен и защищён. Кроме того, это ещё один шаг вперёд в реализации нашей инициативы по информационной открытости», – подчеркнул Андрей Ефремов, директор по исследованиям и разработке «Лаборатории Касперского».

По условиям договора «Лаборатория Касперского» не может раскрывать название аудиторской компании «Большой четвёрки», однако может по запросу предоставить основную информацию об упомянутых выше соответствиях и требованиях отчёта SOC 2 Type 1.

Глобальная инициатива по информационной открытости Global Transparency Initiative – программа, которую «Лаборатория Касперского» запустила в 2017 году, чтобы продемонстрировать своим партнёрам и клиентам, что её решения и сервисы не только лучше других защищают от всего многообразия киберугроз, но также бережно обращаются с пользовательским данными. На текущий момент компания работает над следующими проектами в рамках инициативы.

Программа Bug Bounty. Недавно «Лаборатория Касперского» выплатила крупнейшее за всю историю программы вознаграждение в размере 23000 долларов США. Бонус получили исследователи из Imaginary teamза обнаружение бага в продуктах «Лаборатории Касперского», который потенциально мог позволить какой-либо третьей стороне удалённо выполнить произвольный код на компьютере пользователя с системными привилегиями. Проблема была оперативно устранена. «Лаборатория Касперского» благодарна Imaginary team за отчёт и помощь в усовершенствовании продуктов.

«Безопасная гавань» для исследователей уязвимостей. «Лаборатория Касперского» поддерживает проект Disclose.io, который представляет собой безопасную площадку (Safe Harbor) для исследователей уязвимостей, обеспокоенных негативными юридическими последствиями своих раскрытий. Компания понимает, что такие внешние эксперты оказывают неоценимую помощь, сообщая о багах в продуктах, и готова предоставить им дополнительные гарантии для честного и ответственного раскрытия уязвимостей.

Центры прозрачности. На данный момент «Лаборатория Касперского» завершила второй этап в создании дополнительной инфраструктуры по обработке данных пользователей из Европы в своём ЦОД в Цюрихе, где также в ноябре 2018 года был открыт первый Центр прозрачности. С июня 2019 года посетителей начал принимать ещё один Центр прозрачности в Мадриде. До 2020 года компания планирует открыть по меньшей мере ещё один такой центр. В Центрах прозрачности доверенные партнёры и другие заинтересованные стороны (в том числе государственные органы) могут проверить исходный код продуктов «Лаборатории Касперского», а также получить информацию о практиках создания ПО и обработки пользовательских данных.  

Экспертная поддержка правоохранительных органов по всему миру. «Лаборатория Касперского», первая из всех производителей защитных решений, объявила о запуске расширенного бесплатного сервиса для правоохранительных органов, в состав которого входят такие решения компании, как Threat intelligence Reporting, Threat Data Feeds и Automated Security Awareness Platform (Kaspersky ASAP). Цель этого сервиса – содействовать правоохранительным органам в раскрытии киберпреступлений, которые по-настоящему не знают границ. Более подробную информацию можно получить здесь: https://media.kaspersky.com/en/kaspersky-lab-offering-assistance-to-law-enforcement.pdf.

11 июля, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
29.03.2024
В законопроекте об оборотных штрафах есть лазейки для злоупотреблений
29.03.2024
«Когда мы говорим об учителях, то подошли бы и китайские планшеты»
29.03.2024
Какие успехи показал «российский SWIFT» в прошлом году
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных