Уведомление о нарушении безопасности данных Office 365 согласно GDPR
Как обработчик данных, Office 365 гарантирует, что наши клиенты смогут соответствовать требованиям GDPR к уведомлениям о нарушении в качестве контролера данных. С этой целью мы обязуемся выполнять следующие действия:
- Предоставлять клиентам возможность определить специальное контактное лицо по вопросам конфиденциальности, которое будет получать уведомления о нарушении. Клиенты могут указать это контактное лицо с помощью параметров роли "Читатель раздела о конфиденциальности в Центре сообщений".
- Информировать клиентов о нарушении безопасности персональных данных в течение 72 часов с момента его обнаружения. Уведомления будут публиковаться в Центре сообщений, который доступен в Центре администрирования Microsoft 365. Кроме того, указанным контактным лицам по электронной почте отправляются уведомления о новой публикации в Центре сообщений.
- Первоначальное уведомление будет включать, по крайней мере, описание характера нарушения, приближение влияния на пользователей и шаги по устранению последствий (если применимо). Если наше исследование не завершено во время первоначального уведомления, мы укажем дальнейшие шаги и сроки для последующего взаимодействия в нашем первоначальном уведомлении.
Корпорация Майкрософт признает, что управляющие данными несут ответственность за проведение оценок рисков и определение того, требуется ли уведомление о нарушении DPA клиента, а наше уведомление клиентам предоставит информацию, необходимую для проведения этой оценки. Таким образом, корпорация Майкрософт уведомляет клиентов о любых нарушениях личных данных, за исключением тех случаев, когда персональные данные подтверждены как неразборчивые (например, зашифрованные данные, в которых подтверждена целостность ключей).
Инвестиции Office 365 в безопасность данных
В дополнение к нашему обязательству предоставлять своевременные уведомления о нарушении безопасности данных, Office 365 инвестирует в системы, процессы и персонал, чтобы снизить вероятность возникновения подобных нарушений, а также быстро определять и устранять их последствия.
Вот описание некоторых наших инвестиций в эту область:
системы контроль доступа. Office 365 поддерживает политику "нулевого доступа", что означает, что инженеры не имеют доступа к службе, если она явно не предоставлена в ответ на конкретный инцидент, требующий повышения прав доступа. Каждый раз, когда предоставляется доступ, он выполняется по принципу наименьших привилегий: разрешение, предоставляемое для конкретного запроса, позволяет выполнять только минимальный набор действий, необходимых для обслуживания этого запроса. Для этого Office 365 поддерживает строгое разделение между "ролями повышения прав", при этом каждая роль позволяет выполнять только определенные предварительно определенные действия. Роль "Доступ к данным клиента" отличается от других ролей, которые чаще используются для администрирования службы, и тщательно изучается перед утверждением. В совокупности эти инвестиции в управление доступом значительно снижают вероятность того, что инженер в Office 365 ненадлежащим образом обращается к данным клиентов.
Системы мониторинга безопасности и автоматизация: Office 365 поддерживает надежные системы мониторинга безопасности в режиме реального времени. Среди прочего, эти системы вызывают оповещения о попытках незаконного доступа к данным клиентов или о попытках незаконной передачи данных из нашей службы. В связи с упомянутыми ранее пунктами об управлении доступом наши системы мониторинга безопасности ведут подробные записи выполненных запросов на повышение прав и действий, предпринятых для данного запроса на повышение прав. Office 365 также поддерживает инвестиции в автоматическое разрешение, которое автоматически действует для устранения угроз в ответ на обнаруженные проблемы, и выделенные команды для реагирования на оповещения, которые не могут быть устранены автоматически. Чтобы проверить наши системы мониторинга безопасности, Office 365 регулярно проводит упражнения red-team, в которых внутренняя команда тестирования на проникновение имитирует поведение злоумышленников в живой среде. Эти упражнения приводят к регулярному улучшению наших возможностей мониторинга безопасности и реагирования.
Персонал и процессы: В дополнение к описанной выше автоматизации Office 365 поддерживает процессы и команды, ответственные как за информирование широкой организации о процессах управления конфиденциальностью и инцидентами, так и за выполнение этих процессов во время нарушения безопасности. Например, подробные сведения о нарушении конфиденциальности в рамках стандартной операционной процедуры (SOP) поддерживаются и передаются командам по всей организации. В этой SOP подробно описаны роли и обязанности отдельных групп в Office 365 и централизованных групп реагирования на инциденты безопасности. Эти обязанности охватывают как то, что необходимо сделать командам для улучшения их собственного состояния безопасности (проведение проверок безопасности, интеграция с центральными системами мониторинга безопасности и другие рекомендации), так и то, что потребуется сделать командам в случае фактического нарушения безопасности (быстрая эскалация реагирования на инциденты, обслуживание и предоставление конкретных источников данных, которые будут использоваться для ускорения процесса реагирования). Teams также регулярно обучаются классификации данных, а также правильной обработке и хранению персональных данных.
Основной вывод заключается в том, что Office 365 активно инвестирует в снижение вероятности и последствий нарушения личных данных, затрагивающего наших клиентов. В случае нарушения безопасности персональных данных мы стремимся быстро уведомить наших клиентов после подтверждения этого нарушения.
Что ожидать в случае нарушения безопасности
В разделе выше описаны инвестиции, Office 365, чтобы снизить вероятность утечки данных. В маловероятном случае нарушения безопасности клиенты должны ожидать прогнозируемых действий с точки зрения следующих ответов:
Согласованный жизненный цикл реагирования на инциденты в Office 365. Как описано выше, Office 365 поддерживает подробные СОП реагирования на инциденты, описывающие, как команды должны подготовиться к нарушению и как они должны работать в случае нарушения. Это гарантирует, что наши меры защиты и процессы будут применяться во всей службе.
Согласованные критерии для уведомления клиентов. Наши критерии уведомлений касаются конфиденциальности, целостности и доступности данных клиентов. Office 365 напрямую уведомляет клиентов о влиянии на конфиденциальность или целостность данных клиента. Это значит, что мы будем уведомлять клиентов о том, осуществляется ли доступ к их данным без надлежащего разрешения или о неправильном уничтожении или потере данных. Office 365 также сообщит о проблемах, влияющих на доступность данных, хотя это действие обычно выполняется через панель мониторинга работоспособности служб (SHD).
Согласованные сведения об уведомлении. Когда Office 365 сообщает о нарушении безопасности данных, клиенты могут ожидать передачи конкретных сведений: как минимум, мы предоставим следующие сведения:
- время нарушения безопасности и время, когда о нем стало известно;
- примерное количество затронутых пользователей;
- тип поврежденных пользовательских данных;
- действия, которые должен предпринять процессор либо оператор, для смягчения последствий нарушения.
Клиенты также должны помнить, что Office 365, как обработчик данных, не будет определять риск утечки данных. Всякий раз, когда обнаруживается утечка персональных данных, мы уведомляем наших клиентов и предоставляем им сведения, необходимые для точного определения риска для затронутых пользователей и принятия решения о том, требуется ли дальнейшая отчетность в регулирующие органы. С этой целью контроллеры данных должны определить следующее об инциденте:
- серьезность нарушения (т. е. определение риска);
- необходимо ли уведомить конечных пользователей;
- необходимо ли уведомить регулирующие органы (DPA);
- конкретные действия, которые должен выполнить оператор, для уменьшения последствий нарушения безопасности данных.
Обращение в Майкрософт
В некоторых случаях клиент может узнать о нарушении и уведомить корпорацию Майкрософт. Текущий протокол предназначен для того, чтобы клиенты уведомляли служба поддержки Майкрософт, который затем взаимодействует с командами разработчиков для получения дополнительных сведений. В этом сценарии отделы инженеров Майкрософт также стремятся своевременно предоставлять клиентам необходимую информацию через их контактную службу поддержки.
Призыв к действию для клиентов
Как отмечалось ранее, Microsoft 365 обязуется уведомлять клиентов в течение 72 часов после объявления о нарушении. Администратор клиента будет уведомлен. Кроме того, Microsoft 365 рекомендует клиентам назначать одного или нескольких пользователей в качестве читателей конфиденциальности Центра сообщений, что можно сделать в Центр администрирования Microsoft 365. В случае нарушения безопасности персональных данных ресурсы, которым назначена роль читателя конфиденциальности Центра сообщений, смогут получить доступ к центру сообщений для просмотра соответствующих уведомлений о конфиденциальности и, в зависимости от настроек центра сообщений, могут получать связанные сообщения электронной почты.
Дополнительные сведения см. в разделе: