Обзор управления инцидентами, связанными с безопасностью
Что такое инцидент безопасности?
Корпорация Майкрософт определяет инцидент безопасности в своих веб-службах как подтвержденное нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению или доступу к данным клиента или персональным данным во время обработки корпорацией Майкрософт. Например, несанкционированный доступ к инфраструктуре Microsoft веб-службы и кража данных клиентов представляют собой инцидент безопасности, а события соответствия требованиям, которые не влияют на конфиденциальность, целостность или доступность служб или данных клиентов, не считаются инцидентами безопасности.
Как корпорация Майкрософт реагирует на инциденты безопасности?
Всякий раз, когда возникает инцидент безопасности, корпорация Майкрософт стремится быстро и эффективно реагировать на защиту служб и данных клиентов Майкрософт. Корпорация Майкрософт использует стратегию реагирования на инциденты, предназначенную для быстрого и эффективного исследования, сдерживания и устранения угроз безопасности.
Облачные службы Майкрософт постоянно отслеживаются на наличие признаков компрометации. Помимо автоматического мониторинга и оповещений системы безопасности, все сотрудники ежегодно обучают распознавать признаки потенциальных инцидентов безопасности и сообщать о ней. Все подозрительные действия, обнаруженные сотрудниками, клиентами или средствами мониторинга безопасности, перенаследуются в группы реагирования на безопасность для конкретных служб для расследования. Все операционные группы служб, включая группы реагирования на безопасность для конкретных служб, поддерживают глубокую смену по вызову, чтобы обеспечить доступность ресурсов для реагирования на инциденты 24x7x365. Наша смена по вызову позволяет корпорации Майкрософт в любое время и в любом масштабе эффективно реагировать на инциденты, включая широко распространенные или одновременные события.
При обнаружении и эскалации подозрительных действий группы реагирования на безопасность, относящиеся к службе, инициируют процесс анализа, сдерживания, ликвидации и восстановления. Эти команды координируют анализ потенциального инцидента, чтобы определить его область, включая любое влияние на клиентов или данные клиентов. На основе этого анализа команды реагирования на безопасность для конкретных служб работают с затронутыми группами служб, чтобы разработать план сдерживания угрозы и минимизировать последствия инцидента, искоренить угрозу из среды и полностью восстановиться до известного безопасного состояния. Соответствующие группы служб реализуют этот план при поддержке команд реагирования на безопасность, предназначенных для конкретной службы, чтобы гарантировать успешное устранение угрозы и полное восстановление затронутых служб.
После устранения инцидента команды обслуживания реализуют все уроки, извлеченные из инцидента, чтобы лучше предотвращать, обнаруживать и реагировать на аналогичные инциденты в будущем. Выберите инциденты безопасности, особенно те инциденты, которые влияют на клиента или приводят к утечке данных, претерпевают полный инцидент после вскрытия. При разборе итогов можно выявить технические пробелы, ошибки в процедурах, человеческие ошибки и другие недостатки процессов, из-за которых, возможно, возник инцидент или которые были обнаружены во время реагирования на инцидент. Улучшения, выявленные во время вскрытия, реализуются при координации с группами реагирования на безопасность, зависящими от службы, чтобы помочь предотвратить будущие инциденты и улучшить возможности обнаружения и реагирования.
Как и когда клиенты уведомляются об инцидентах безопасности или конфиденциальности?
Всякий раз, когда майкрософт становится известно о нарушении безопасности, связанном с несанкционированной потерей, раскрытием или изменением данных клиента, корпорация Майкрософт уведомляет затронутых клиентов в течение 72 часов, как описано в дополнительном приложении по защите данных (DPA). Обязательства временной шкалы уведомлений начинаются при официальном объявлении инцидента безопасности. После объявления инцидента безопасности процесс уведомления выполняется как можно быстрее, без необоснованных задержек.
Уведомления включают описание характера нарушения, приблизительного воздействия на пользователей и шагов по устранению последствий (если применимо). Если исследование майкрософт не завершено на момент первоначального уведомления, в уведомлении также будут указаны дальнейшие шаги и сроки для последующего взаимодействия.
Если клиенту становится известно об инциденте, который может повлиять на корпорацию Майкрософт, включая, помимо прочего, нарушение безопасности данных, он несет ответственность за оперативное уведомление корпорации Майкрософт об инциденте, как определено в DPA.
Связанные внешние правила & сертификации
Веб-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с управлением инцидентами, см. в следующей таблице.
Azure и Dynamics 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| ISO 27001/27002 Заявление о применимости Сертификат |
A.16.1. Управление инцидентами информационной безопасности и улучшениями | 6 ноября 2023 г. |
| ISO 27017 Заявление о применимости Сертификат |
A.16.1. Управление инцидентами информационной безопасности и улучшениями | 6 ноября 2023 г. |
| ISO 27018 Заявление о применимости Сертификат |
A.9.1. Уведомление о нарушении безопасности данных, связанном с персональными данными | 6 ноября 2023 г. |
| SOC 1; | IM-1: платформа управления инцидентами IM-2: механизмы обнаружения и оповещения IM-3. Выполнение реагирования на инциденты IM-4: посмертные инциденты IM-6. Тестирование реагирования на инциденты OA-7: доступ к инженеру по вызову |
17 ноября 2023 г. |
| SOC 2; SOC 3 |
CCM-9: судебно-медицинские процедуры CUEC: отчетность об инцидентах IM-1: платформа управления инцидентами IM-2: механизмы обнаружения и оповещения IM-3. Выполнение реагирования на инциденты IM-4: посмертные инциденты IM-6. Тестирование реагирования на инциденты OA-7: доступ к инженеру по вызову SOC2-6: веб-сайт службы поддержки клиентов SOC2-9: панели мониторинга служб |
17 ноября 2023 г. |
Microsoft 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| FedRAMP (Office 365) | IR-4: обработка инцидентов IR-6: отчеты об инцидентах IR-8: план реагирования на инциденты |
31 июля 2023 г. |
| ISO 27001/27002/27017 Заявление о применимости Сертификация (27001/27002) Сертификация (27017) |
A.16.1. Управление инцидентами информационной безопасности и улучшениями | Март 2024 г. |
| ISO 27018 Заявление о применимости Сертификат |
A.10.1. Уведомление о нарушении безопасности данных, связанном с персональными данными | Март 2024 г. |
| SOC 1; | CA-26: отчеты об инцидентах безопасности CA-47: реагирование на инциденты |
23 января 2024 г. |
| SOC 2; | CA-12: соглашения об уровне обслуживания (SLA) CA-13: руководства по реагированию на инциденты CA-15: уведомления Работоспособность служб CA-26: отчеты об инцидентах безопасности CA-29: инженеры по вызову CA-47: реагирование на инциденты |
23 января 2024 г. |
| SOC 3 | CUEC-08: отчетность об инцидентах | 23 января 2024 г. |
Ресурсы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по