Поделиться через

Уведомление о нарушении безопасности Microsoft Azure, Dynamics 365 и Power Platform в соответствии с GDPR

  • Статья

Майкрософт со всей серьезностью относится к своим обязательствам, налагаемым Общим регламентом по защите данных (GDPR). Корпорация Майкрософт принимает широкие меры безопасности в рамках своей веб-службы для защиты от нарушений безопасности данных. Эти меры включают в себя как физические, так и логические средства управления безопасностью, автоматизированные процессы безопасности, комплексные политики информационной безопасности и конфиденциальности, а также обучение безопасности и конфиденциальности для всего персонала.

Безопасность встроена в Microsoft Azure, Dynamics 365 и Power Platform с нуля, начиная с жизненного цикла разработки безопасности— обязательного процесса разработки, который включает методологии конфиденциальности по умолчанию. Основной принцип стратегии безопасности Корпорации Майкрософт заключается в том, чтобы "предполагать нарушение", что является продолжением стратегии глубокой защиты. Постоянно оспаривая возможности безопасности Microsoft Azure, Dynamics 365 и Power Platform, корпорация Майкрософт может опередить новые угрозы. Дополнительные сведения о безопасности Azure см. в этих ресурсах.

Корпорация Майкрософт имеет выделенную глобальную службу реагирования на инциденты 24x7, которая работает для устранения последствий атак на Microsoft Azure, Dynamics 365 и Power Platform. Проверенная несколькими аудитами безопасности и соответствия требованиям (например, ISO/IEC 27018), корпорация Майкрософт применяет строгие операции и процессы в своих центрах обработки данных для предотвращения несанкционированного доступа, включая видеомонификатор 24x7, обученный персонал безопасности, смарт-карты и биометрические средства контроля.

Обнаружение потенциальных нарушений

Из-за характера современных облачных вычислений не все утечки данных, происходящие в облачной среде клиента, связаны со службами Microsoft Azure, Dynamics 365 или Power Platform. Корпорация Майкрософт использует модель общей ответственности для служб Microsoft Azure, Dynamics 365 и Power Platform для определения безопасности и операционной ответственности. Общая ответственность важна, если речь идет о безопасности облачных служб, поскольку и поставщик облачных служб и клиент отвечают за секторы безопасности в облаке.

Корпорация Майкрософт не отслеживает инциденты безопасности и не реагирует на них в пределах ответственности клиента. Компрометация безопасности только для клиента не будет обрабатываться как инцидент безопасности Майкрософт и потребует от клиента управления усилиями по реагированию. Реагирование на инциденты клиентов может включать совместную работу со службой поддержки клиентов Microsoft Azure, Dynamics 365 поддержкой клиентов и (или) поддержкой клиентов Power Platform с учетом соответствующих контрактов на обслуживание. Корпорация Майкрософт также предлагает различные службы (например, Microsoft Defender для облака), которые клиенты могут использовать для разработки и управления реагированием на инциденты безопасности.

Корпорация Майкрософт реагирует на потенциальную утечку данных в соответствии с процессом реагирования на инциденты безопасности, который является подмножеством плана управления инцидентами Майкрософт. Реагирование на инциденты безопасности Microsoft Azure реализуется с помощью пятиэтапного процесса: обнаружение, оценка, диагностика, стабилизация и закрытие. Группа реагирования на инциденты безопасности может переходить между этапами диагностики и стабилизации по ходу расследования. Обзор реагирования на инциденты безопасности представлен ниже.

Этап Описание
1: обнаружение Первый признак потенциального инцидента.
2: оценка Член группы реагирования на инциденты по вызову оценивает влияние и серьезность события. Основываясь на доказательствах, оценка может привести к дальнейшей эскалации в группе реагирования на безопасность.
3: диагностика Эксперты по реагированию на вопросы безопасности проводят техническое или судебное расследование, выявляют сдерживание, устранение рисков и обходную стратегию. Если группа безопасности считает, что данные клиента могли быть предоставлены незаконному и несанкционированному лицу, параллельно начинается выполнение процесса уведомления клиента об инциденте.
4: стабилизация и восстановление Группа реагирования на инциденты создает план восстановления для устранения проблемы. Кризисные меры сдерживания, такие как карантин затронутых систем, могут происходить немедленно и параллельно с диагностикой. Могут быть запланированы долгосрочные меры по устранению рисков, которые происходят после того, как непосредственный риск будет пройден.
5: закрытие и анализ По завершении группа реагирования на инциденты анализирует работу и создает отчет, в котором кратко излагаются сведения об инциденте, чтобы пересмотреть политики, процедуры и процессы и предотвратить повторение события.

Процессы обнаружения, используемые Microsoft Azure, Dynamics 365 и Power Platform, предназначены для обнаружения событий, которые рискуют конфиденциальность, целостность и доступность служб Azure, Dynamics 365 и Power Platform. Расследование может быть запущено несколькими событиями:

  • Автоматические системные уведомления, отправляемые через внутренние платформы мониторинга и оповещений. Эти оповещения могут поступать в виде предупреждений, основанных на анализе сигнатур (защита от вредоносных программ, обнаружение атаки), или через алгоритмы, предназначенные для отслеживания активности и оповещения об аномалиях.
  • Отчеты из служб Microsoft, запущенных в Microsoft Azure и Azure для государственных организаций.
  • Отчеты об уязвимостях поступают в Центр Майкрософт по реагированию на угрозы (MSRC) через Сообщение о проблеме. Центр MSRC сотрудничает с партнерами и исследователями со всего мира для предотвращения инцидентов и повышения безопасности продуктов Майкрософт.
  • Отчеты клиентов через порталы, включая портал поддержки клиентов Microsoft Azure, Dynamics 365 службу поддержки клиентов, поддержку клиентов Power Platform, Microsoft портал Azure и портал управления Azure для государственных организаций, описывающие подозрительные действия, приписываемые инфраструктуре Azure (в отличие от действий, выполняемых в область ответственности клиента).
  • Обеспечение безопасности с помощью красной и синей групп. Эта стратегия использует высококвалифицированную Красную команду наступательных экспертов по безопасности Майкрософт для выявления и атаки на потенциальные слабые места в Microsoft Azure. Синяя команда реагирования должна обнаруживать действия красной команды и обеспечивать защиту от них. Действия красной и синей команд используются для проверки эффективности реагирования на инциденты безопасности в Azure. Действия Red Team и Blue Team выполняются в соответствии с правилами взаимодействия, чтобы обеспечить защиту данных клиентов и персональных данных.
  • Эскалация по операторам Microsoft Azure, служб Dynamics 365 и Power Platform Services. Сотрудники Майкрософт обучены определять потенциальные проблемы безопасности и передавать их на рассмотрение.

Реагирование microsoft Azure, Dynamics 365 и Power Platform на утечку данных

Корпорация Майкрософт назначает соответствующие уровни приоритета и серьезности нарушения путем определения функционального воздействия, возможности восстановления и информационного воздействия инцидента. Приоритет и серьезность могут изменяться в процессе расследования по мере поступления новых фактов и заключений. События безопасности, связанные с приближающимся или подтвержденным риском для данных клиента, считаются событиями с высоким уровнем серьезности и обрабатываются круглосуточно до решения проблемы.

Группа реагирования на инциденты безопасности работает с соответствующими инженерами службы Майкрософт и экспертами по предмету, чтобы классифицировать событие на основе фактических данных из доказательств. Событие безопасности можно классифицировать следующим образом:

  • Ложноположительный результат. Событие, которое соответствует критериям обнаружения, но является частью обычной бизнес-практики и может потребоваться отфильтровать. Группы обслуживания определяют первопричину ложноположительных результатов и будут систематически устранять их, чтобы точно настроить их по мере необходимости.
  • Событие безопасности: наблюдаемое событие в системе, службе и/или сети попытки атаки, обхода средств контроля безопасности или выявленной проблемы, когда факты указывают на то, что данные клиента или персональные данные могли быть потеряны, уничтожены, изменены, раскрыты, или доступны без авторизации.
  • Инцидент нарушения безопасности/инцидент нарушения конфиденциальности, о котором должен сообщать клиент (CRSPI): подтвержденное (например, объявленное) нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению или доступу к данным клиента или персональным данным во время обработки корпорацией Майкрософт.
  • Событие конфиденциальности. Событие безопасности, затрагивающее данные клиента, персональные данные или обработку данных, которое приводит к непредвиденным последствиям для конфиденциальности, включая несоответствие политикам конфиденциальности, стандартам и элементам управления майкрософт.
  • Инцидент конфиденциальности или сообщаемый клиентом инцидент безопасности и конфиденциальности (CRSPI) — инцидент безопасности, затрагивающий данные клиента или персональные данные, данные или обработку данных, который приводит к непредвиденным последствиям для конфиденциальности, включая несоответствие политикам конфиденциальности, стандартам и элементам управления Майкрософт.

Для объявления CRSPI корпорация Майкрософт должна определить, что несанкционированный доступ к данным клиента имеет или, вероятно, произошел, и (или) что имеется юридическое или договорное обязательство о необходимости уведомления. Как правило, инцидент объявляется как CRSPI по завершении стадии диагностики для инцидента безопасности. Однако в любой момент может быть объявлена необходимость во всех соответствующих сведениях.

Корпорация Майкрософт проверяет, что риск клиента и бизнеса успешно сдерживается и что реализованы корректирующие меры. При необходимости выполняются действия по устранению чрезвычайных рисков, связанных с событием.

Кроме того, Майкрософт выполняет внутренний анализ нарушений безопасности данных. В рамках этого упражнения оценивается достаточность ответных и операционных процедур, а также определяются и реализуются все обновления, которые могут потребоваться для реагирования на инциденты безопасности Standard операционной процедуры (SOP) или связанных процессов. Внутренние анализы нарушений безопасности данных — строго конфиденциальные документы, которые недоступны для клиентов. Тем не менее, анализы могут обобщаться и включаться в другие уведомления о событиях. Эти отчеты предоставляются внешним аудиторам для проверки в рамках регулярных циклов аудита Microsoft Azure, Dynamics 365 и Power Platform.

Уведомление клиента

Майкрософт уведомляет затронутых клиентов и регулирующие органы о нарушении безопасности данных в соответствии с установленными требованиями. Корпорация Майкрософт полагается на сильное внутреннее отделение в работе Microsoft Azure, Dynamics 365 и Power Platform. В результате большинство инцидентов затрагивают только отдельных клиентов. Цель заключается в том, чтобы предоставить затронутым клиентам точное, практические и своевременные уведомления о нарушении их данных.

После объявления CRSPI максимально быстро запускается процесс уведомления, принимая во внимание скорость распространения угроз безопасности. Уведомления клиентов доставляются без неоправданной задержки, и в любом случае не более чем через 72 часа с момента объявления о нарушении, за исключением некоторых ограниченных обстоятельств, некоторые примеры:

  • Майкрософт считает, что отправка уведомления увеличивает риск для других клиентов. Например, уведомление может привести к тому, что злоумышленник не сможет исправить ситуацию.
  • 72-часовой временная шкала может оставить некоторые сведения об инциденте недоступными. Они предоставляются клиентам и регулятивным органам по мере продвижения расследования.

Майкрософт предоставляет затронутым клиентам подробные сведения, позволяющие проводить внутренние расследования, а также помогает выполнять обязательства перед пользователями, не задерживая при этом отправку уведомлений. Уведомление о нарушении безопасности для Azure будет доставлено в колонку уведомлений о работоспособности службы Microsoft Azure клиента в виде рекомендаций по безопасности. Если это оправдано, одна или несколько из следующих ролей могут быть уведомлены по электронной почте об инциденте безопасности или конфиденциальности в сочетании с уведомлением о работоспособности службы или вместо них:

Команда Microsoft Azure или Azure для государственных организаций также может уведомить других сотрудников Майкрософт, таких как сотрудники службы поддержки клиентов Майкрософт (CSS) и менеджеры по работе с клиентами (AM) или менеджер по работе с клиентами (CSAM). Эти люди взаимодействуют с клиентом и ускоряют процесс исправления.

Уведомление о нарушении безопасности данных для Microsoft Dynamics 365 и Power Platform доставляется в Центр администрирования Microsoft 365 в разделе Центр сообщений с примененным тегом конфиденциальности данных. Дополнительные сведения см. в разделе Вопросы и ответы о Центре сообщений. Роль глобального администратора получает сообщения о конфиденциальности данных для организации. Кроме того, рассмотрите возможность назначения роли читателя конфиденциальности Центра сообщений другим пользователям в вашей организации, которые должны видеть сообщения о конфиденциальности данных. Другие роли администратора с доступом к Центру сообщений не могут просматривать сообщения о конфиденциальности данных.

Встроенные функции безопасности Microsoft Dynamics 365 и Power Platform

Microsoft Dynamics 365 и Power Platform используют инфраструктуру облачных служб и встроенные функции безопасности для обеспечения безопасности данных с помощью мер безопасности и механизмов защиты данных. Кроме того, Dynamics 365 и Power Platform обеспечивают эффективный доступ к данным и совместную работу с целостностью данных и конфиденциальностью в следующих областях: безопасность идентификации, защита данных, безопасность на основе ролей и управление угрозами.

Предложения Microsoft Dynamics 365 и Power Platform соответствуют одним и тем же техническим и организационным мерам, принятым одной или несколькими командами служб Microsoft Azure для защиты от процессов утечки данных. Поэтому любая информация, описанная здесь в документе с уведомлением Microsoft Azure Data Breach, относится также к Microsoft Dynamics 365 и Power Platform.

Дополнительные сведения

Центр управления безопасностью (Майкрософт)