ISO 27001:2022 pasirengimas
Paskutinį kartą atnaujinta: 2026 m. gegužės 6 d.
AETHER yra kibernetinio saugumo platforma, todėl mūsų pačių saugumas turi atitikti aukščiausius pramonės standartus. Šis puslapis aprašo mūsų pasirengimą ISO 27001:2022 sertifikacijai — informacijos saugumo valdymo sistemos (ISMS) tarptautiniam standartui.
1. Sertifikacijos statusas
| Faktorius | Būsena |
|---|---|
| ISO 27001:2022 sertifikacija | Pasirengimo fazė — formali audito procedūra planuojama 2026 H2 |
| SOC 2 Type II | Atidėta — vykdysima jei klientai prašys (overlapsta su ISO 27001 ~70%) |
| ISMS apimtis (scope) | Visa AETHER produkto infrastruktūra (kodas, duomenys, deploy, operacijos) |
| Statement of Applicability (SoA) | Šio puslapio §3 — v0.1 draft, formalus dokumentas pas auditorių |
| Risk Treatment Plan (RTP) | v0.1 — žr. §4 |
| Sertifikuojamasis subjektas | Azora Lab (individuali veikla) |
| Numatomas akredituotas sertifikuotojas | BSI / DNV / Bureau Veritas (konkretaus pasirinkimas 2026 Q3) |
2. Kodėl viešai dokumentuojame pasirengimą
Procurement ir vendor risk assessment komandos dažniausiai prašo:
- SOC 2 / ISO 27001 sertifikato — turime atviras datas (2026 H2)
- SOA dokumento — viešas SoA stub'as (žr. §3)
- Rizikos registro metodologijos — metodologija atvira (žr. §4), konkrečiai surinktas registras pasirašoma DPA prie enterprise klientų
- Incident response plano — viešas pagal NIS2 23 str. (žr. /saugumo-politika §7)
- Sub-procesorių registro — viešas + changelog (žr. /privatumo-politika §4)
- BCP / DR plano — vykdomas backup'avimas + restore drill kas 30 dienų (paskutinis: 2026-04-27)
Atviras SoA stub'as leidžia procurement komandoms pradėti vendor assessment'ą be NDA ir greičiau praeiti per gate'us, net jei galutinis sertifikatas dar negautas.
3. Statement of Applicability (SoA) — Annex A 93 kontrolės
ISO 27001:2022 Annex A turi 93 kontroles, sugrupuotas į 4 temas. Žemiau — high-level būsena. Detalesnė informacija (implementacijos įrodymai, evidence packages) pasirašant DPA su enterprise klientais.
3.1. Organizational controls (37 kontrolės)
| Kontrolė | Būsena | Pastabos |
|---|---|---|
| A.5.1 Information security policies | ✅ Yes | Vieša: /saugumo-politika; vidaus papildymas Obsidian vault'e |
| A.5.2 Roles and responsibilities | ✅ Yes | Sole-prop scope — visi roles → atsakingam asmeniui |
| A.5.7 Threat intelligence | 🟡 Partial | NCSC bulletins, CISA KEV, Anthropic security advisories monitor |
| A.5.9 Inventory of information & assets | 🟡 Partial | Asset registras Obsidian vault'e, formal export rotacijoje |
| A.5.15 Access control | ✅ Yes | Supabase RLS, Telegram admin chat ID whitelist, audit log |
| A.5.19 Information security in supplier relationships | ✅ Yes | Sub-procesoriai + DPA registras |
| A.5.23 Information security for cloud services | ✅ Yes | Hetzner (Frankfurt EU), Supabase (Frankfurt EU), Cloudflare (EU edge) |
| A.5.24-A.5.30 Incident management lifecycle | ✅ Yes | NIS2 23 str. timeline — žr. /saugumo-politika §7 |
| A.5.32 Intellectual property rights | ✅ Yes | /naudojimosi-salygos §6 |
| A.5.34 Privacy and protection of PII | ✅ Yes | BDAR atitiktis — /privatumo-politika |
3.2. People controls (8 kontrolės)
| Kontrolė | Būsena | Pastabos |
|---|---|---|
| A.6.1 Screening | ⚪ Out-of-scope | Sole-prop — nėra darbuotojų |
| A.6.3 Information security awareness, education, training | 🟡 Partial | OWASP Top 10, NCSC training videos, Anthropic AI safety guides |
| A.6.6 Confidentiality / non-disclosure agreements | 🟡 Partial | NDA template parengtas — pasirašomas su enterprise klientais |
| A.6.7 Remote working | ✅ Yes | Šifruotas disk (BitLocker/FileVault), VPN naudojamas viešam Wi-Fi |
| A.6.8 Information security event reporting | ✅ Yes | security@azorasec.lt + Telegram alert chain |
3.3. Physical controls (14 kontrolės)
| Kontrolė | Būsena | Pastabos |
|---|---|---|
| A.7.1-A.7.3 Physical security perimeters | ⚪ Inherited | Hetzner DC1 Frankfurt — ISO 27001 + SOC 1/2 sertifikuotas |
| A.7.4 Physical security monitoring | ⚪ Inherited | Hetzner DC monitoring |
| A.7.7 Clear desk and clear screen | ✅ Yes | Auto-lock 5 min, screen privacy filter, papierowa nepalieka biuro |
| A.7.10 Storage media | ✅ Yes | Šifruoti diskai, secure wipe prieš atsisveikinant |
| A.7.14 Secure disposal or re-use of equipment | ✅ Yes | NIST SP 800-88 wipe procedūra |
3.4. Technological controls (34 kontrolės)
| Kontrolė | Būsena | Pastabos |
|---|---|---|
| A.8.1 User endpoint devices | ✅ Yes | FileVault/BitLocker, automatiniai OS atnaujinimai, AV |
| A.8.2 Privileged access rights | ✅ Yes | SSH key-based auth, sudo audit, Telegram admin chat whitelist |
| A.8.3 Information access restriction | ✅ Yes | Supabase RLS per tenant + admin role |
| A.8.5 Secure authentication | ✅ Yes | Supabase Auth (bcrypt), HTTPS only, no plaintext storage |
| A.8.6 Capacity management | 🟡 Partial | VPS 24GB RAM, 4 CPU, Sentry alerts on threshold |
| A.8.7 Protection against malware | ✅ Yes | Endpoint AV, container runtime isolation, no inbound exec |
| A.8.8 Management of technical vulnerabilities | ✅ Yes | Dependabot, npm audit, OS unattended-upgrades, security advisory monitor |
| A.8.9 Configuration management | 🟡 Partial | Git tracked configs, IaC stub'ai, full IaC scope 2026 H2 |
| A.8.10 Information deletion | ✅ Yes | Hard delete + 30 d. grace, BDAR Art. 17 compliance |
| A.8.11 Data masking | ✅ Yes | PII redacted Sentry, log scrubber, Anthropic ZDR |
| A.8.12 Data leakage prevention | 🟡 Partial | Server-side egress controls, no PII in client logs, formal DLP tooling 2026 Q4 |
| A.8.13 Information backup | ✅ Yes | Supabase daily, savaitinis B2 dump, 30-d. restore drill cadence |
| A.8.14 Redundancy | 🟡 Partial | Single-region (Frankfurt) MVP, multi-region 2026 H2 jei klientai prašys |
| A.8.15-A.8.17 Logging + clock sync | ✅ Yes | audit_actions lentelė, NTP sync, Sentry, structured logs |
| A.8.20 Networks security | ✅ Yes | UFW firewall, fail2ban, DDoS mitigation per Cloudflare |
| A.8.22 Segregation of networks | ✅ Yes | Scanner DMZ izoliuotas nuo app server'io |
| A.8.23 Web filtering | ✅ Yes | CSP enforced + Report-Only, no third-party trackers |
| A.8.24 Use of cryptography | ✅ Yes | TLS 1.3, HSTS preload, bcrypt at rest, no custom crypto |
| A.8.26 Application security requirements | ✅ Yes | OWASP Top 10 review, parameterized queries, CSRF protection |
| A.8.28 Secure coding | ✅ Yes | Code review, TypeScript strict mode, ESLint, no eval() |
| A.8.29 Security testing in development & acceptance | 🟡 Partial | Manual testing + smoke tests; pen-test 3rd-party 2026 H2 (CREST/CHECK) |
| A.8.32 Change management | ✅ Yes | Git-based deploy, changelog, post-deploy smoke + drift detection |
| A.8.34 Protection of information systems during audit testing | ✅ Yes | Read-only auditor accounts, separate audit env'as enterprise klientams |
3.5. Apibendrinimas
| Kategorija | ✅ Yes | 🟡 Partial | ⚪ Out-of-scope/Inherited |
|---|---|---|---|
| Organizational (37) | ~28 | ~7 | ~2 |
| People (8) | ~3 | ~3 | ~2 (sole-prop) |
| Physical (14) | ~4 | 0 | ~10 (Hetzner inherited) |
| Technological (34) | ~25 | ~7 | ~2 |
| Iš viso (93) | ~60 | ~17 | ~16 |
Skaičiai apytiksliai (v0.1 draft). Formalus SoA su exact mapping + implementacijos įrodymais — pasirašant DPA. Pre-audit gap assessment atliekamas 2026 Q3 nepriklausomas konsultantas.
4. Risk Treatment Methodology
Naudojame ISO 27005:2022 + NIST SP 800-30 Rev. 1 metodologiją:
4.1. Rizikos vertinimo procesas
- Asset identification — kas yra? (kodas, duomenys, credentials, infrastruktūra)
- Threat modeling — kokios grėsmės taikomos? (STRIDE framework)
- Vulnerability assessment — kur silpnos vietos? (OWASP, CVE database, dependabot)
- Likelihood × Impact — 5x5 matrica (Low/Medium/High/ Critical/Extreme)
- Risk treatment decision — Accept / Mitigate / Transfer / Avoid
- Residual risk acceptance — formalus signed-off įrašas
4.2. Rizikos kategorijos (top 10)
| # | Rizika | Likelihood | Impact | Treatment |
|---|---|---|---|---|
| R-01 | Anthropic API outage | Low | High | Mitigate (degraded mode + manual review fallback) |
| R-02 | Supabase regional outage (Frankfurt) | Low | High | Accept short-term, mitigate via daily B2 dumps |
| R-03 | Credential leak via Telegram | Low | Critical | Mitigate (zero-secret bot policy + chat ID whitelist) |
| R-04 | SQL injection / RLS bypass | Low | Critical | Mitigate (parameterized queries, RLS testing) |
| R-05 | Sub-processor breach (Anthropic, Stripe) | Low | High | Transfer (DPA + insurance), mitigate (data minimization) |
| R-06 | Scanner abuse (target laisvas) | Low | High | Mitigate (dual auth check, rate limit, allowlist) |
| R-07 | Founder unavailability (single point of failure) | Medium | High | Mitigate (advisor backup, runbook, escrow plan) |
| R-08 | EU regulatory pakeitimai (NIS2, AI Act) | High | Medium | Mitigate (kvartaliniai compliance review) |
| R-09 | Customer data exfiltration | Low | Critical | Mitigate (encryption at rest, DLP, audit logs) |
| R-10 | AI haliucinacija į ataskaitą | Medium | Medium | Mitigate (mandatory human review per Art. 22 + AI Act) |
Pilnas rizikos registras (≥40 rizikų) + mitigacijos planai — pasirašant DPA. Pre-audit external consultant atlieka rizikos assessment 2026 Q3.
5. Sertifikacijos planas
| Etapas | Terminas | Statusas |
|---|---|---|
| SoA v1.0 (formalus dokumentas) | 2026 Q2 | v0.1 draft (šis puslapis) |
| Risk assessment + RTP v1.0 | 2026 Q2 | v0.1 metodologija (žr. §4) |
| Internal audit (1st party) | 2026 Q3 | Planuojamas |
| Pre-audit (3rd party gap assessment) | 2026 Q3 | Konsultantas pasirenkamas |
| Stage 1 audit (documentation review) | 2026 Q3-Q4 | BSI / DNV / BV pasirinkimas |
| Stage 2 audit (implementation evidence) | 2026 Q4 | Po Stage 1 pass |
| ISO 27001:2022 sertifikatas | 2026 Q4 / 2027 Q1 | Tikslas |
| Surveillance audit (kasmet) | 2027 Q4 + 2028 Q4 | Po sertifikacijos |
| Re-certification audit | 2029 Q4 | 3-mečių cikle |
6. Procurement / vendor risk teams — kaip dirbti su mumis
Jei vykdote vendor risk assessment'ą AETHER atžvilgiu:
- Pradėti su šiuo puslapiu + atviromis politikomis (saugumo, privatumo, naudojimosi)
- Paprašyti AETHER DPA template'o per privacy@azorasec.lt (pateikiamas per 1 darbo dieną)
- Pasirašant NDA — gauname detalius SoA evidence packages (implementacijos screenshot'ai, log samples, runbook'ai)
- Užklausti questionnaire / SIG-Lite — pildymas per 5 darbo dienų
- Penetracijos testavimo report'as (CREST/CHECK certified) — planuojama 2026 H2, redacted versija dalinama enterprise klientams
Praktikoje sole-prop B2B SaaS pre-cert: kontekstas aiškus, transparency rodo darbo lygį, ir vendor risk teams paprastai akceptuoja kelią "DPA + atviros politikos + sertifikacijos roadmap" kaip MVP tier'o procurement gate'ą.
7. Versijos istorija
| Versija | Data | Pakeitimas |
|---|---|---|
| v0.1 | 2026-05-06 | Pradinis SoA stub'as (compliance score push 91→95) |
8. Susiję dokumentai
- Saugumo politika — pagrindinė ISMS policy (A.5.1)
- Privatumo politika — BDAR atitiktis (A.5.34)
- Incident response (NIS2 23 str.) — A.5.24-A.5.30
- security.txt — RFC 9116 (A.5.5)
- AI Act techninė dokumentacija — EU AI Act 2024/1689 (A.5.34 papildymas)