«Лаборатория Касперского» успешно прошла аудит Service and Organization Controls второго типа (SOC 2 Type 2) — всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности. В его рамках проверялась эффективность средств контроля, используемых, чтобы обезопасить процесс разработки и выпуска антивирусных баз от несанкционированного вмешательства. Работоспособность механизмов контроля, принятых в компании, оценивалась не на определённую дату, как при аудите первого типа, а за шесть месяцев.
«Лаборатория Касперского» проходит аудиты Service Organization Controls (SOC 2) с 2019 года. Это всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Он позволяет клиентам убедиться, что механизмы контроля безопасности, принятые в компании, эффективны. «Лаборатория Касперского» выбрала этот стандарт для подтверждения надёжности своих продуктов и приверженности принципам и критериям AICPA. Эти критерии таковы: безопасность (Security), доступность (Availability), целостность процессов (Processing Integrity), конфиденциальность (Confidentiality), приватность (Privacy).
Проверку проводила независимая аудиторская компания. Её специалисты изучили, как в «Лаборатории Касперского» устроен процесс разработки и выпуска антивирусных баз для операционных систем Windows и Unix, а также процессы организации и управления средствами контроля, мониторинга, коммуникаций и управления рисками.
Аудит включал в себя опросы топ-менеджеров, руководителей подразделений и рядовых сотрудников; проверка работы контролей, защищающих процесс разработки и выпуска баз «Лаборатории Касперского»; а также изучение релевантной документации. В отличие от аудита SOC 2 первого типа, на этот раз анализировалась не только работа внутренних средств контроля компании по состоянию на конкретный день, но и то, насколько эффективно они работали на протяжении шести месяцев — с декабря 2022 года по май 2023 года. Аудит показал, что внутренние средства контроля «Лаборатории Касперского», которые обеспечивают регулярное автоматическое обновление антивирусных баз, работают эффективно, а процесс разработки и выпуска антивирусных баз защищён от несанкционированного вмешательства. Полные результаты можно запросить на странице https://www.kaspersky.com/about/compliance-soc2.
«Результаты аудита говорят о том, что процессы разработки и выпуска антивирусных баз в „Лаборатории Касперского“ эффективно защищены от несанкционированного вмешательства. Это показывает, что наши клиенты могут полностью полагаться на наши решения. Их безопасность для нас превыше всего, и мы рады снова получить независимое подтверждение того факта, что наши контрольные процедуры выполняются должным образом и соответствуют критериям безопасности AICPA. Результаты аудита SOC 2 Type 2 дают нашим клиентам уверенность в том, что мы используем эффективные механизмы контроля, а наши внутренние процессы соответствуют высочайшим стандартам», — отметил Антон Иванов, директор по исследованиям и разработке «Лаборатории Касперского».
Регулярный аудит внутренних процессов компании — один из основных шагов, которые реализуются в рамках Глобальной инициативы по информационной открытости. Эта инициатива «Лаборатории Касперского» призвана укрепить доверие клиентов и партнёров, а также свидетельствует о приверженности компании принципам прозрачности.