Соответствие SOC 2

Кто имеет право и полномочия проводить независимую оценку?

В соответствии с Концепцией независимой оценки (Independent Assessment Framework) выдвигаются два строго рекомендуемых требования к Асессорам (оценщикам).

1. Независимость. Для надлежащего проведения оценки оценщик должен быть свободен от любого конфликта интересов. Независимость – это свобода от обстоятельств, которые угрожают при проведении оценки непредвзято выполнять свои обязанности. Таким образом, оценщик должен быть свободен от неправомерного влияния от ответственных лиц за элементы контроля.
2. Квалификация Асессора. Внешняя компания/внутреннее подразделение, проводящее оценку, должны иметь свежий (в пределах 12 месяцев) и соответствующий опыт проведения оценки операционной деятельности, на соблюдение требований кибербезопасности в соответствии с отраслевыми стандартами, такими как PCI DSS, ISO 27001, NIST SP 800-53, SOC-2 или Концепция кибербезопасности NIST или просто CSP/CSCF. Другие отраслевые стандарты допустимы, если они обеспечивают такой же уровень надежности и безопасности. Также имеются требования к лицам, которые отвечают за руководство командой по оценке в организации. Этим лицом обычно является Ведущий Асессор, который должен иметь по крайней мере одну профессиональную сертификацию, соответствующую отрасли.

Примерами такой сертификации являются:

• Квалифицированный Асессор систем безопасности - PCI Qualified Security
  Assessor (QSA);
• Сертифицированный специалист по безопасности информационных систем - Certified Information Systems Security Professional (CISSP);
• Сертифицированный аудитор информационных систем - Certified Information Systems Auditor (CISA);
• Сертифицированный менеджер по информационной безопасности – Certified Information Security Manager (CISM);
• Ведущий аудитор по ISO 27001;
• Глобальная сертификация обеспечения информационной безопасности Института системного администрирования, сетевого взаимодействия и безопасности - System Administration, Networking, and Security Institute (SANS) GIAC (Global Information Assurance Certification).

Другие профессиональные сертификации, с локального рынка и на локальном языке, допустимы, если они обеспечивают тот же уровень надежности и безопасности. Однако, оценку по требованию SWIFT могут проводить только внешние оценщики.

Важно!

SWIFT не одобряет и не аккредитовывает каких-либо определенных Асессоров, и Пользователи в конечном счете несут ответственность за выбор Асессора, соответствующего их потребностям и целям, отвечающего требуемым стандартам и имеющего соответствующую сертификацию. Тем не менее SWIFT публикует список внешних компаний, которые изъявили желание быть опубликованными и могут оказать помощь в проведении независимых оценок по CSCF.