Що таке Навчання з безпекової обізнаності SOC 2

CC1.4 — одне з девʼяти сімейств Common Criteria в AICPA Trust Services Criteria (TSP Section 100, 2017 із переглянутими points of focus 2022). Воно вимагає від сервісної організації демонструвати зобовʼязання залучати, розвивати та утримувати компетентних людей у відповідності до цілей.

Мова control activity тут пряма: організація забезпечує навчання, щоб персонал розвивав і підтримував компетенції, потрібні для досягнення цілей. Аудитори читають це як вимогу задокументованої програми безпекової обізнаності з поіменними доказами завершення і рольовою глибиною контенту.

Так. Навчання з безпекової обізнаності прямо назване в Common Criterion CC1.4 в Trust Services Criteria. Критерій обовʼязковий для будь-якого SOC 2-звіту, який включає категорію Security, а це єдина категорія, обовʼязкова для кожної атестації SOC 2.

Критерій забезпечується задокументованою програмою, поіменними записами про завершення, рольовим контентом і каденцією оновлення, достатньою для підтримання компетентності робочої сили проти поточних загроз. Аудитори Type II тестують, що контроль працював ефективно протягом усього періоду операційної ефективності, а не лише в єдиний момент часу.

Trust Services Criteria не називають конкретну частоту оновлення. Щорічна — практичний мінімум, який більшість аудиторів приймає для базової програми, і саме його більшість сервісних організацій документує у своїй політиці навчання.

Сучасні практичні замітки аудиторів від фірм типу Schellman, A-LIGN і Coalfire дедалі частіше читають CC1.4 як вимогу більшого, ніж щорічна: квартальних мікромодулів, щомісячних рольових вправ або refresher-ів, привʼязаних до нових технік зловмисників. Програма, яка показала одне all-hands відео і нічого більше протягом дванадцятимісячного періоду операційної ефективності, отримає виняток від уважного аудитора.

Аудитори очікують три артефакти. Перший — опис задокументованої програми навчання: curriculum, каденція, scope, політика призначення та критерії завершення. Другий — поіменний реєстр завершення за весь період операційної ефективності, що перелічує ідентифікатор користувача, роль, призначене навчання, час завершення і pass-статус. Третій — свідчення рольової глибини контенту, що відповідає ризиковому профілю кожної функції посади.

Прийнятні докази — експорт LMS (Cornerstone, Workday Learning, Docebo, SAP SuccessFactors, Moodle) або SCORM-запис про завершення. Скріншоти, підписані PDF і email-квитанції — слабкі докази і тягнуть follow-up запити. Аудитори семплують з переліку персоналу і трасують кожен семпл до запису-джерела навчання.

Докази Type I — point-in-time: програма існує, політика задокументована, LMS налаштована, призначення зроблені. Аудитор інспектує дизайн і підтверджує, що контроль на місці на конкретну дату.

Докази Type II — операційні: програма працювала протягом усього періоду операційної ефективності (шість або дванадцять місяців), кожна особа в scope завершила її вчасно, винятки відстежувалися й виправлялися, а менеджмент переглядав статус завершення з визначеною каденцією. Корпоративні покупці зазвичай вимагають звіти Type II, бо Type II каже їм, що контроль працював на практиці протягом аудиторського вікна, а не лише в день візиту аудитора.

Так, коли контрактники мають доступ до систем чи даних у scope протягом періоду аудиту. Популяція персоналу SOC 2 включає працівників, контрактників, інтернів і будь-яку третю сторону з логічним або фізичним доступом, релевантним до trust boundary.

Найчастіший патерн кваліфікованого висновку у звітах Type II — відсутні докази завершення для контрактників, які мали доступ протягом короткого вікна під час періоду і так і не отримали призначення на навчання. Контроль має працювати ефективно для цієї популяції протягом днів, коли вони мали доступ, а не після того, як вони пішли.

Намір схожий, фреймінг відрізняється. ISO/IEC 27001 Annex A (зокрема A.7.2.2 у версії 2013 року, A.6.3 у версії 2022 року) вимагає обізнаності, освіти і навчання з інформаційної безпеки. SOC 2 розміщує ту саму вимогу всередині Common Criterion CC1.4 в Trust Services Criteria, з CC1.5, CC2.2 і CC2.3, що накладають відповідальність персоналу і комунікацію.

Механіка аудиту також відрізняється. ISO 27001 — це сертифікація проти стандарту системи менеджменту з трирічним циклом і щорічним наглядом. SOC 2 — атестація CPA-фірми, яка видає звіт за Trust Services Criteria за визначений період. Більшість корпоративних покупців у Північній Америці просять SOC 2; більшість корпоративних покупців у Європі та APAC просять ISO 27001. Багато сервісних організацій тримають обидві.

Аудитор записує виняток у звіті Type II проти відповідного Common Criterion (зазвичай CC1.4). Виняток описує семпловану популяцію, знайдену прогалину і вражений період. Залежно від серйозності та обсягу, висновок звіту — або unqualified із зазначеними винятками, або qualified.

Кваліфікований висновок — це режим провалу, який закупівельні команди прапорять. Покупці, які переглядають кваліфікований звіт, ставлять follow-up запитання, просять докази ремедіації і можуть затримати чи заблокувати контракт. Шлях ремедіації — закрити прогалину, задокументувати коригувальну дію і заробити unqualified висновок у наступному звітному періоді.