Уведомление о нарушении безопасности данных Office 365 согласно GDPR

Как обработчик данных, Office 365 гарантирует, что клиенты могут соответствовать требованиям GDPR к уведомлениям о нарушении в качестве контролера данных. С этой целью корпорация Майкрософт выполняет следующие действия:

• Предоставьте клиентам возможность указать выделенного контакта по вопросам конфиденциальности, который будет уведомлен о нарушении безопасности. Клиенты могут указать этот контакт с помощью параметров роли читателя конфиденциальности для Центра сообщений.
• Уведомление клиентов о нарушении личных данных в течение 72 часов после объявления о нарушении. Корпорация Майкрософт публикует уведомления в Центре сообщений, к которому клиенты могут получить доступ через Центр администрирования Microsoft 365. Во-вторых, корпорация Майкрософт отправляет Уведомления по электронной почте указанным контактам, указывающим на новую публикацию в Центре сообщений.
• Включите в первоначальное уведомление описание характера нарушения, приблизительное описание влияния на пользователей и любые применимые шаги по устранению рисков. Если исследование не завершено во время первоначального уведомления, корпорация Майкрософт указывает дальнейшие шаги и сроки для последующего взаимодействия в первоначальном уведомлении.

Корпорация Майкрософт признает, что контролер данных несет ответственность за проведение оценок рисков и определение того, требуется ли уведомление клиента о нарушении безопасности. В нашем уведомлении клиентам предоставляется информация, необходимая для проведения этой оценки. Поэтому корпорация Майкрософт уведомляет клиентов о каких-либо нарушениях безопасности персональных данных, за исключением тех случаев, когда персональные данные подтверждены как неразборчивые (например, зашифрованные данные, в которых подтверждена целостность ключей).

Инвестиции Office 365 в безопасность данных

В дополнение к обязательству по своевременному уведомлению о нарушении, Office 365 активно инвестирует в системы, процессы и персонал, чтобы снизить вероятность нарушения личных данных, а также для быстрого обнаружения и устранения последствий нарушения в случае возникновения.

Вот описание некоторых инвестиций в это пространство:

• Системы управления доступом. Office 365 поддерживает политику "нулевого доступа". Эта политика означает, что инженеры не имеют доступа к службе, если только она явно не предоставлена в ответ на конкретный инцидент, требующий повышения прав доступа. Всякий раз, когда корпорация Майкрософт предоставляет доступ, она следует принципу наименьших привилегий: разрешение, предоставляемое для конкретного запроса, позволяет выполнять только минимальный набор действий, необходимых для обслуживания этого запроса. Для реализации этого принципа Office 365 поддерживает строгое разделение между "ролями повышения прав", при этом каждая роль допускает выполнение только определенных предопределенных действий. Роль "Доступ к данным клиента" отличается от других ролей, которые чаще используются для администрирования службы, и тщательно изучается перед утверждением. Вместе эти инвестиции в управление доступом значительно снижают вероятность того, что инженер в Office 365 ненадлежащим образом обращается к данным клиентов.

• Системы мониторинга безопасности и автоматизация: Office 365 поддерживает надежные системы мониторинга безопасности в режиме реального времени. Среди прочего, эти системы вызывают оповещения о попытках незаконного доступа к данным клиентов или о попытках незаконной передачи данных из службы. В связи с упомянутыми ранее пунктами об управлении доступом системы мониторинга безопасности ведут подробные записи выполненных запросов на повышение прав и действий, выполняемых для данного запроса на повышение прав. Office 365 также поддерживает средства автоматического разрешения, которые автоматически устраняют угрозы в ответ на обнаруженные проблемы, и выделенные команды для реагирования на оповещения, которые не могут быть устранены автоматически. Чтобы проверить системы мониторинга безопасности, Office 365 регулярно проводит упражнения red-team, в которых внутренняя команда тестирования на проникновение имитирует поведение злоумышленников в живой среде. Эти упражнения приводят к регулярному улучшению возможностей мониторинга безопасности и реагирования.

• Персонал и процессы: В дополнение к описанной выше автоматизации Office 365 поддерживает процессы и команды, ответственные как за информирование широкой организации о процессах управления конфиденциальностью и инцидентами, так и за выполнение этих процессов во время нарушения безопасности. Например, подробные сведения о нарушении конфиденциальности Standard операционной процедуре (SOP) поддерживаются и передаются командам по всей организации. В этой SOP подробно описаны роли и обязанности отдельных групп в Office 365 и централизованных групп реагирования на инциденты безопасности. Эти обязанности охватывают как то, что необходимо сделать командам для улучшения их собственного состояния безопасности (проведение проверок безопасности, интеграция с центральными системами мониторинга безопасности и другие рекомендации), так и то, что команды должны сделать, если произойдет фактическое нарушение (быстрая эскалация реагирования на инциденты, обслуживание и предоставление конкретных источников данных, которые будут использоваться для ускорения процесса реагирования). Teams также регулярно обучаются классификации данных, а также правильной обработке и хранению персональных данных.

Основной вывод заключается в том, что Office 365 активно инвестирует в снижение вероятности и последствий нарушения личных данных, затрагивающего клиентов. При возникновении утечки персональных данных корпорация Майкрософт обязуется быстро уведомлять клиентов после подтверждения этого нарушения.

Что ожидать в случае нарушения безопасности

В предыдущем разделе описываются инвестиции, Office 365, чтобы снизить вероятность нарушения безопасности данных. В маловероятном случае нарушения безопасности клиенты должны ожидать прогнозируемых действий с точки зрения следующих ответов:

• Согласованный жизненный цикл реагирования на инциденты в Office 365. Как упоминалось ранее, Office 365 ведет подробные СОП реагирования на инциденты, в которых описывается, как команды должны подготовиться к нарушению и как они должны работать в случае возникновения нарушения. Такой подход гарантирует, что защита и процессы будут применяться во всей службе.

• Согласованные критерии для уведомления клиентов. Критерии уведомлений касаются конфиденциальности, целостности и доступности данных клиентов. Office 365 напрямую уведомляет клиентов о влиянии на конфиденциальность или целостность данных клиента. То есть Office 365 уведомляет клиентов о том, что доступ к их данным осуществляется без надлежащего разрешения, а также о неправильном уничтожении или потере данных. Office 365 также сообщает о проблемах, влияющих на доступность данных, хотя это действие обычно происходит через панель мониторинга работоспособности служб (SHD).

• Согласованные сведения об уведомлении. Когда Office 365 сообщает о нарушении безопасности данных, клиенты могут ожидать передачи конкретных сведений. Как минимум, Office 365 предоставляет следующие сведения:

  • время нарушения безопасности и время, когда о нем стало известно;
  • примерное количество затронутых пользователей;
  • тип поврежденных пользовательских данных;
  • действия, которые должен предпринять процессор либо оператор, для смягчения последствий нарушения.

Клиенты также должны отметить, что Office 365, как обработчик данных, не определяет риск утечки данных. Всякий раз, когда обнаруживается утечка персональных данных, Office 365 уведомляет клиентов и предоставляет им сведения, необходимые для точного определения риска для затронутых пользователей и принятия решения о необходимости дальнейших отчетов в регулирующие органы. С этой целью контроллеры данных должны определить следующее об инциденте:

• серьезность нарушения (т. е. определение риска);
• необходимо ли уведомить конечных пользователей;
• необходимо ли уведомить регулирующие органы (DPA);
• Конкретные шаги, которые должны быть предприняты контроллером для устранения последствий нарушения

Обращение в Майкрософт

В некоторых случаях клиенту становится известно о нарушении и может потребоваться уведомить корпорацию Майкрософт. Текущий протокол предназначен для уведомления клиентов служба поддержки Майкрософт, который затем взаимодействует с командами инженеров для получения дополнительных сведений. В этом сценарии отделы инженеров Майкрософт также стремятся своевременно предоставлять клиентам необходимую информацию через их контактную службу поддержки.

Призыв к действию для клиентов

Как отмечалось ранее, Microsoft 365 обязуется уведомлять клиентов в течение 72 часов после объявления о нарушении. Администратор клиента получает уведомление. Кроме того, Microsoft 365 рекомендует клиентам назначить одного или нескольких пользователей в качестве читателей конфиденциальности Центра сообщений, что можно сделать в Центр администрирования Microsoft 365. В случае нарушения безопасности персональных данных ресурсы, которым назначена роль читателя конфиденциальности Центра сообщений, могут получить доступ к Центру сообщений для просмотра соответствующих уведомлений о конфиденциальности и, в зависимости от настроек центра сообщений, могут получать связанные сообщения электронной почты.

Дополнительные сведения см. в разделе:

• Отслеживание новых и измененных функций в Центре сообщений Microsoft 365
• Средство чтения конфиденциальности Центра сообщений
• Назначение ролей администратора в Центр администрирования Microsoft 365