Поделиться через


Служба поддержки и профессионального обслуживания Майкрософт и уведомление о нарушении безопасности согласно требованиям GDPR

Профессиональные службы Майкрософт включают в себя разнообразную группу технических архитекторов, инженеров, консультантов и специалистов по поддержке, которые занимаются выполнением миссии Майкрософт, которая позволяет клиентам делать больше и достигать большего. Наша команда профессиональных услуг включает более 21 000 консультантов, цифровых консультантов, единой поддержки, инженеров и специалистов по продажам, работающих в 191 стране, поддерживая 46 различных языков, управляя несколькими миллионами взаимодействий в месяц. Команда участвует в взаимодействии с клиентами и партнерами с помощью локальных, телефонных, веб-сайтов, сообщества и автоматизированных средств. Организация обладает широким опытом в портфеле корпорации Майкрософт, используя обширную сеть партнеров, технических сообществ, инструменты, диагностика и каналы, которые связывают нас с нашими корпоративными клиентами.

Целью глобальной группы реагирования на инциденты защиты данных microsoft Professional Services является( а) применение строгих операций и процессов для предотвращения инцидентов защиты данных, (б) профессиональное и эффективное управление ими, когда они происходят, и (c) учиться на этих инцидентах защиты данных путем регулярных посмертных улучшений и улучшений программ. Процессы и результаты реагирования группы майкрософт по реагированию на инциденты защиты данных профессиональных служб проверяются и аттестируются с помощью нескольких аудитов безопасности и соответствия требованиям (например, ISO/IEC 27001).

Обзор реагирования на инциденты защиты данных

Microsoft Professional Services стремится защитить своих клиентов и принимает значительные меры для предотвращения инцидентов защиты данных в качестве средства поддержания доверия клиентов. Инцидент защиты данных в организации профессиональных служб — это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированому раскрытию персональных данных или данным профессиональных служб или доступу к ней при обработке корпорацией Майкрософт. Для коммерческих клиентов, которые приобрели унифицированную поддержку или отраслевые решения, следует обращаться к языку реагирования на инциденты защиты данных в надстройке по защите данных продуктов и служб Майкрософт (DPA).

Область и ограничения процесса реагирования на инциденты защиты данных

Мы запускаем процесс уведомления о нарушении безопасности персональных данных после того, как объявим, что произошло [нарушение безопасности персональных данных].

Чтобы быть объявленным, группа реагирования на инциденты защиты данных Майкрософт должна определить, что произошел инцидент защиты данных, как определено ранее. Объявление будет происходить, как только появится вся соответствующая информация, чтобы определить, что произошел инцидент защиты данных.

Из-за характера профессиональных услуг некоторые события, которые кажутся инцидентами защиты данных Майкрософт, не обязательно классифицируются как таковые, так как они произошли в результате действий клиента или в системах клиента. Профессиональные службы Майкрософт не отслеживают инциденты защиты данных и не реагируют на них в пределах ответственности клиента. Тем не менее, когда корпорация Майкрософт узнает об инциденте защиты данных на основе клиента, мы классифицируем этот инцидент как инцидент защиты данных, управляемый клиентом, который группа реагирования на инциденты защиты данных называет "событием", информируем клиента о нашем наблюдении и, по запросу, помогаем ему в его усилиях по реагированию в той степени, в какой это требуется для взаимодействия с Корпорацией Майкрософт. Некоторые примеры инцидентов защиты данных, управляемых клиентом, включают непреднамеренное отправку майкрософт паролей клиента и других конфиденциальных данных, запросы на удаление данных и быть жертвой мошенничества.

Сюда не относятся: общие вопросы о политиках защиты данных или стандартах, запросы прав субъекта данных, отказ от запросов, касающиеся продуктов списки пожеланий или отчеты об ошибках, которые не относятся к защите данных, а также инциденты защиты данных, не включающие данные клиента, и мошенничество против корпорации Майкрософт.

Типы инцидентов защиты данных

Группа реагирования на инциденты защиты данных определила набор сценариев, которые могут возникать в профессиональных службах. В соответствии с базовой платформой реагирования на инциденты защиты данных были разработаны и настроены процедуры для ускорения процесса реагирования. Например, неправильное письмо может потребовать небольшого изучения. С другой стороны, выявление злоумышленников может потребовать проведения полного судебно-медицинского расследования из-за тайного характера деятельности правонарушителя. Этот набор сценариев может дать представление о процессе реагирования на инциденты защиты данных для профессиональных служб.

Процесс реагирования на инциденты защиты данных

Когда microsoft Professional Services идентифицирует инцидент защиты данных, происходит процесс рассмотрения, в соответствии с которым корпорация Майкрософт (а) оценивает событие, (б) определяет, является ли оно область для этого процесса, (c) определяет, является ли оно вредоносным, (d) выполняет предварительное расследование и назначает уровень серьезности, (e) оповещает и координирует с соответствующими заинтересованными лицами в корпорации Майкрософт. Команда также начинает запись сведений для целей отслеживания и посмертных упражнений.

Обнаружение

Microsoft Professional Services постоянно отслеживает экосистему для новых инцидентов защиты данных во всех хранилищах данных, содержащих персональные данные, как в сети, так и в автономном режиме. Мы используем различные методы для обнаружения инцидентов защиты данных, включая автоматизированные оповещения, отчеты клиентов, отчеты от внешних сторон, наблюдение за аномалиями и признаки вредоносной или хакерской активности.

Процессы обнаружения, используемые профессиональными службами Майкрософт, предназначены для обнаружения инцидентов защиты данных и запуска расследований. Например:

  • Система отчетности Майкрософт получает сообщение о связанных с безопасностью уязвимостях. Далее его нужно передать на рассмотрение или непосредственно в группу реагирования на инциденты защиты данных в службе профессионального обслуживания.
  • Клиенты отправляют отчеты через Портал поддержки клиентов, описывающий подозрительную активность.
  • Персонал профессиональных служб отправляет эскалации. Сотрудники Майкрософт обучены определять потенциальные проблемы безопасности и передавать их на рассмотрение.
  • Для инструментов и систем, используемых в процессе предоставления профессиональных услуг, операционные группы используют автоматизированные системные оповещения через внутренние платформы мониторинга и оповещений. Эти оповещения могут поступать в виде предупреждений, основанных на анализе сигнатур (защита от вредоносных программ, обнаружение атаки), или через алгоритмы, предназначенные для отслеживания активности и оповещения об аномалиях.

Учения по реагированию на инциденты защиты данных, тестирование плана реагирования на инциденты защиты данных

Помимо текущего обучения, профессиональные службы каждый год выполняют учения в партнерстве с соответствующими внутренними отделами для информирования всех членов группы по стабилизации о процедурах эскалации инцидентов защиты данных, ролях и обязанностях. Этот учебный курс подготавливает ключевых заинтересованных лиц к реальным инцидентам защиты данных, будь то безопасность, физическое или конфиденциальность. Этот учебный курс включает в себя упражнения с представителями группы реагирования на инциденты защиты данных, группы безопасности, юридических групп и команды по коммуникациям.

После тренингов мы документируем результаты и используемые методы исправления.

Обучение реагированию на инциденты защиты данных

Ключевым компонентом реагирования на инциденты защиты данных является обучение персонала выявлению инцидентов защиты данных и их отчета. Сотрудники организации профессиональных услуг обязаны пройти подготовку, посвященную основам конфиденциальности, правилам GDPR и другим рекомендациям по выявлению инцидентов защиты данных и их отчета.

Доступно регулярное онлайн-обучение, и его прохождение обязательно для всего персонала. Программа обучения использует тестирование, текущие опросы, осведомленность и последующие действия, предназначенные для того, чтобы обучение было понято и сохранено.

Процесс

Когда организация Microsoft Professional Services определяет инцидент защиты данных, она следует задокументированного отраслевого стандартного плана реагирования, начиная с определения того, что выполнены критерии инцидента защиты данных. Когда происходит инцидент защиты данных, он обычно объявляется сразу после рассмотрения, но в зависимости от сложности объявление может произойти в любой момент, когда будет доступен уровень необходимой информации, в том числе после этапа расследования. С другой стороны, команда может по своему усмотрению объявить об инциденте защиты данных, основываясь только на разумных подозрениях в возникновении. Команда также может чередоваться между различными этапами по мере выполнения расследования.

В зависимости от уровня серьезности корпорация Майкрософт также может завершить внутренний post-mortem для инцидентов защиты данных. В рамках этого упражнения оценивается достаточность ответных и операционных процедур, а также определяются и внедряются все обновления, которые могут потребоваться для стандартной операционной процедуры реагирования на инциденты защиты данных или связанных процессов. Внутренние анализы нарушений безопасности данных — строго конфиденциальные документы, которые недоступны для клиентов. Однако посмертные данные могут быть обобщены и включены в уведомления о событиях клиента. В рамках регулярного цикла аудита процессы посмертного вскрытия проверяются внешними аудиторами, чтобы обеспечить выполнение последующих действий.

Уведомление

Когда служба профессионального обслуживания Майкрософт объявляет об инциденте защиты данных согласно GDPR, мы направляем уведомление нашим клиентам в течение 72 часов.

После объявления инцидента защиты данных процесс уведомления выполняется как можно быстрее, при этом при этом учитываются риски безопасности, связанные с быстрым перемещением. Чтобы убедиться, что уведомление может быть успешно доставлено, клиент несет ответственность за правильность административных контактных данных в каждой соответствующей учетной записи, подписке и веб-службы портале. Хотя цель заключается в том, чтобы предоставить затронутым клиентам точное, оперативное и своевременное уведомление, для выполнения обязательства по 72-часовому уведомлению начальное уведомление может не включать полные сведения, так как все сведения могут быть недоступны на ранних этапах инцидента с защитой данных. Кроме того, корпорации Майкрософт может потребоваться утаить некоторые сведения из-за обстоятельств инцидента с защитой данных. Например, может потребоваться утаить сведения, если акт предоставления уведомления повышает риск для других клиентов или мешает корпорации Майкрософт или правоохранительным органам поймать злоумышленника.

В качестве обработчика данных корпорация Майкрософт признает, что клиенты несут ответственность за определение того, является ли уведомление подходящим, и, если да, уведомление компетентного органа по защите данных (DPA) и собственных субъектов данных клиента о любом нарушении личных данных. Профессиональные службы Майкрософт будут предоставлять клиентам сведения, необходимые для уведомления в этих обстоятельствах.

Сообщая клиентам о нарушении безопасности данных, корпорация Майкрософт включает в уведомление следующую информацию, если она применима и известна:

  • характер нарушения;
  • меры по устранению, которые предпринимает или предлагает Майкрософт;
  • данные о задействованных продуктах, службах, приложениях;
  • время, которое потребовалось, чтобы получить доступ к персональным данным (если известно);
  • объем затронутых/раскрытых записей персональных данных;
  • сведения об обработчике данных второго уровня или поставщике, если они причастны к нарушению.

Подробнее

Дополнительные сведения о службе профессионального обслуживания Майкрософт (https://aka.ms/pstrust).