Открыть сервис

Trust Services Criteria

Trust Services Criteria (TSC) — это набор стандартов и критериев, разработанный Американским институтом дипломированных общественных бухгалтеров (AICPA) для оценки и аудита систем внутреннего контроля организаций, предоставляющих услуги, связанные с обработкой, хранением и передачей данных. TSC применяются в рамках так называемых «отчётов по системе и организации» (System and Organization Controls, SOC), в частности, при подготовке отчётов SOC 2 и SOC 3, которые подтверждают надёжность и безопасность процессов поставщика услуг.

История и происхождение

Разработка Trust Services Criteria началась в конце 1990-х годов, когда AICPA и Канадский институт дипломированных бухгалтеров (CICA) совместно создали концепцию «доверительных услуг» (Trust Services). Первоначально критерии были ориентированы на оценку электронной коммерции и веб-сайтов. В 2000-е годы, с ростом аутсорсинга облачных вычислений и хранения данных, AICPA расширил сферу применения TSC, включив в неё любые системы обработки информации.

В 2017 году AICPA выпустил обновлённую версию TSC, которая стала обязательной для аудита SOC 2 с 2018 года. Эта версия заменила предыдущие принципы (Trust Services Principles) и ввела более детализированные критерии, разбитые на пять категорий. В 2020 году были внесены незначительные уточнения, связанные с кибербезопасностью и защитой конфиденциальности.

Основные принципы и категории

Trust Services Criteria базируются на пяти ключевых принципах, каждый из которых включает набор конкретных критериев (всего около 70). Эти принципы охватывают все аспекты управления информационной безопасностью и операционной надёжностью.

Безопасность (Security)

Принцип безопасности направлен на защиту системы от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Критерии включают:

  • Наличие политик и процедур контроля доступа.
  • Использование средств аутентификации (пароли, многофакторная аутентификация).
  • Мониторинг и регистрация событий безопасности.
  • Управление уязвимостями и обновлениями.
  • Защита физической инфраструктуры.

Доступность (Availability)

Принцип доступности оценивает, насколько система соответствует заявленным уровням доступности (например, 99,9% времени работы). Критерии включают:

  • Планирование непрерывности бизнеса и восстановления после сбоев (BCP/DRP).
  • Резервное копирование данных и систем.
  • Мониторинг производительности и доступности.
  • Процедуры аварийного переключения (failover).

Конфиденциальность (Confidentiality)

Принцип конфиденциальности касается защиты информации, определённой как конфиденциальная (например, коммерческая тайна, персональные данные). Критерии включают:

  • Классификация данных и маркировка конфиденциальности.
  • Шифрование данных при передаче и хранении.
  • Контроль доступа к конфиденциальным данным.
  • Уничтожение данных по истечении срока хранения.

Целостность обработки (Processing Integrity)

Принцип целостности обработки гарантирует, что данные обрабатываются точно, своевременно и санкционированно. Критерии включают:

  • Валидация вводимых данных (форматы, диапазоны).
  • Контрольные суммы и сверки для обнаружения ошибок.
  • Логирование изменений в данных.
  • Процедуры исправления ошибок.

Конфиденциальность личных данных (Privacy)

Принцип конфиденциальности личных данных (Privacy) соответствует требованиям законодательства о защите персональных данных (например, GDPR в Европе, ФЗ-152 в России). Критерии включают:

  • Сбор только необходимых данных.
  • Уведомление субъектов данных о целях обработки.
  • Возможность удаления или исправления данных.
  • Обеспечение безопасности персональных данных.

Применение в аудите SOC 2 и SOC 3

Trust Services Criteria являются основой для аудита SOC 2 и SOC 3, которые проводятся независимыми аудиторскими фирмами (например, «большой четвёркой» — Deloitte, PwC, EY, KPMG).

SOC 2

Отчёт SOC 2 (Service Organization Control 2) предназначен для клиентов и заинтересованных сторон, которые имеют конфиденциальные отношения с поставщиком услуг. Он содержит детальное описание системы, критериев и результатов аудита. SOC 2 может быть двух типов:

  • Тип I: Аудит на определённую дату — проверяет, соответствуют ли критерии проекту системы.
  • Тип II: Аудит за период (обычно 6–12 месяцев) — проверяет, как критерии соблюдаются в течение времени.

SOC 3

Отчёт SOC 3 — это публичная версия SOC 2, предназначенная для широкой аудитории (например, для размещения на сайте компании). Он содержит только общее заключение аудитора без деталей системы. SOC 3 часто используется для маркетинговых целей, чтобы продемонстрировать клиентам соответствие стандартам безопасности.

Критерии и их структура

Каждый из пяти принципов TSC включает от 5 до 20 критериев, которые сгруппированы по следующим категориям:

  • Политики и процедуры (CC1–CC9): Общие требования к управлению, контролю доступа, изменениям, физической безопасности, резервному копированию и т.д.
  • Коммуникация (CC10): Требования к информированию сотрудников и клиентов о политиках и процедурах.
  • Мониторинг (CC11): Требования к постоянному мониторингу системы и проведению внутренних аудитов.
  • Контрольные мероприятия (CC12–CC13): Дополнительные критерии для конкретных принципов (например, для конфиденциальности — шифрование, для целостности — валидация).

Примеры конкретных критериев:

  • CC1.1: Организация определяет и документирует цели системы.
  • CC2.1: Организация идентифицирует и оценивает риски.
  • CC3.1: Организация устанавливает политики безопасности.
  • CC4.1: Организация проводит контрольные мероприятия для достижения целей.
  • CC5.1: Организация назначает ответственных за контроль доступа.

Значение для бизнеса

Trust Services Criteria играют ключевую роль в современной цифровой экономике, особенно для компаний, предоставляющих облачные услуги, SaaS-решения, центры обработки данных и аутсорсинговые услуги. Соответствие TSC позволяет:

  • Повысить доверие клиентов: Наличие отчёта SOC 2 или SOC 3 демонстрирует, что поставщик услуг серьёзно относится к безопасности и конфиденциальности данных.
  • Соблюдать нормативные требования: TSC помогают выполнять требования законов о защите данных (например, GDPR, HIPAA, PCI DSS).
  • Снизить риски: Аудит выявляет слабые места в системе внутреннего контроля и позволяет их устранить.
  • Улучшить репутацию: Сертификация по TSC часто является обязательным условием для работы с крупными корпоративными клиентами.

Критика и ограничения

Несмотря на широкое распространение, Trust Services Criteria имеют определённые недостатки:

  • Сложность и стоимость: Проведение аудита SOC 2 может быть дорогим и трудоёмким, особенно для малого и среднего бизнеса.
  • Отсутствие обязательности: В отличие от стандартов ISO 27001, TSC не являются обязательными по закону, что снижает их универсальность.
  • Субъективность интерпретации: Некоторые критерии (например, «адекватный уровень безопасности») могут трактоваться по-разному аудиторами.
  • Ориентация на США: TSC разработаны AICPA и в первую очередь ориентированы на американский рынок, хотя используются и в других странах.

Сравнение с другими стандартами

Trust Services Criteria часто сравнивают с другими стандартами управления информационной безопасностью:

СтандартНазначениеОсновные различия
ISO 27001Система менеджмента информационной безопасности (СМИБ)Требует внедрения СМИБ, сертификация обязательна, универсален. TSC — только для аудита поставщиков услуг.
PCI DSSЗащита данных платёжных картОбязателен для всех, кто обрабатывает карты. TSC — добровольный, шире по охвату.
GDPRЗащита персональных данных в ЕСЗаконодательное требование, штрафы за нарушение. TSC — добровольный стандарт, не заменяет GDPR.
NIST CSFКибербезопасностьФреймворк, не сертификация. TSC — более формализованный аудит.

Будущее развитие

С развитием технологий (облачные вычисления, искусственный интеллект, блокчейн) AICPA планирует обновлять Trust Services Criteria. В 2023 году были опубликованы проекты изменений, касающиеся кибербезопасности и защиты от атак с использованием социальной инженерии. Ожидается, что в будущем TSC будут интегрированы с требованиями новых регулирующих органов, особенно в сфере искусственного интеллекта и автоматизации.

Примеры использования

  • Облачные провайдеры (Amazon Web Services, Microsoft Azure, Google Cloud): Все три компании предоставляют отчёты SOC 2 и SOC 3 по TSC для своих клиентов.
  • SaaS-компании (Salesforce, Slack, Zoom): Используют TSC для подтверждения безопасности своих платформ.
  • Центры обработки данных (Data Centers): Аудит по TSC обязателен для многих корпоративных клиентов.
  • Финансовые учреждения: Банки и страховые компании требуют от своих поставщиков услуг соответствия TSC.

Источники

  • AICPA. «Trust Services Criteria: AICPA’s Guide to SOC 2 and SOC 3». 2020.
  • AICPA. «SOC 2® Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy». 2018.
  • ISO/IEC 27001:2022. «Information security, cybersecurity and privacy protection — Information security management systems — Requirements».
  • NIST. «Framework for Improving Critical Infrastructure Cybersecurity». Version 1.1, 2018.
  • PCI Security Standards Council. «PCI Data Security Standard (PCI DSS)». Version 4.0, 2022.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →