Уведомление о нарушении безопасности Microsoft Azure, Dynamics 365 и Power Platform в соответствии с GDPR

Майкрософт со всей серьезностью относится к своим обязательствам, налагаемым Общим регламентом по защите данных (GDPR). Корпорация Майкрософт принимает широкие меры безопасности в рамках своей веб-службы для защиты от нарушений безопасности данных. Эти меры включают в себя как физические, так и логические средства управления безопасностью, автоматизированные процессы безопасности, комплексные политики информационной безопасности и конфиденциальности, а также обучение безопасности и конфиденциальности для всего персонала.

Безопасность встроена в Microsoft Azure, Dynamics 365 и Power Platofrm с нуля, начиная с жизненного цикла разработки безопасности— обязательного процесса разработки, включающего методологии конфиденциальности и конфиденциальности по умолчанию. Основной принцип стратегии безопасности Корпорации Майкрософт заключается в том, чтобы "предполагать нарушение", что является продолжением стратегии глубокой защиты. Постоянно бросая вызов возможностям безопасности Microsoft Azure, Dynamics 365 и Power Platofrm, корпорация Майкрософт может опережать новые угрозы. Дополнительные сведения о безопасности Azure см. в этих ресурсах.

Корпорация Майкрософт имеет выделенную глобальную службу реагирования на инциденты 24x7, которая работает для устранения последствий атак на Microsoft Azure, Dynamics 365 и Power Platform. Проверенная несколькими аудитами безопасности и соответствия требованиям (например, ISO/IEC 27018), корпорация Майкрософт применяет строгие операции и процессы в своих центрах обработки данных для предотвращения несанкционированного доступа, включая видеомонификатор 24x7, обученный персонал безопасности, смарт-карты и биометрические средства контроля.

Обнаружение потенциальных нарушений

Из-за характера современных облачных вычислений не все утечки данных, происходящие в облачной среде клиента, связаны со службами Microsoft Azure, Dynamics 365 или Power Platform. Корпорация Майкрософт использует модель общей ответственности для служб Microsoft Azure, Dynamics 365 и Power Platform для определения безопасности и операционной ответственности. Общая ответственность важна, если речь идет о безопасности облачных служб, поскольку и поставщик облачных служб и клиент отвечают за секторы безопасности в облаке.

Корпорация Майкрософт не отслеживает инциденты безопасности и не реагирует на них в пределах ответственности клиента. Компрометация безопасности только для клиента не будет обрабатываться как инцидент безопасности Майкрософт и потребует от клиента управлять усилиями по реагированию. Реагирование на инциденты клиентов может включать совместную работу со службой поддержки клиентов Microsoft Azure, Dynamics 365 поддержкой клиентов и (или) поддержкой клиентов Power Platform с учетом соответствующих контрактов на обслуживание. Корпорация Майкрософт также предлагает различные службы (например, Microsoft Defender для облака), которые клиенты могут использовать для разработки и управления реагированием на инциденты безопасности.

Корпорация Майкрософт реагирует на потенциальную утечку данных в соответствии с процессом реагирования на инциденты безопасности, который является подмножеством плана управления инцидентами Майкрософт. Реагирование на инциденты безопасности Microsoft Azure реализуется с помощью пятиэтапного процесса: обнаружение, оценка, диагностика, стабилизация и закрытие. Группа реагирования на инциденты безопасности может переходить между этапами диагностики и стабилизации по ходу расследования. Обзор реагирования на инциденты безопасности представлен ниже.

Этап Описание
1: обнаружение Первый признак потенциального инцидента.
2: оценка Член группы реагирования на инциденты по вызову оценивает влияние и серьезность события. Основываясь на доказательствах, оценка может привести к дальнейшей эскалации в группе реагирования на безопасность.
3: диагностика Специалисты по реагированию выполняют технический или криминалистический анализ, определяют стратегию сдерживания, устранения и решения проблем. Если группа безопасности считает, что данные клиента могли быть предоставлены незаконному и несанкционированному лицу, параллельно начинается выполнение процесса уведомления клиента об инциденте.
4: стабилизация и восстановление Группа реагирования на инциденты создает план восстановления для устранения проблемы. Кризисные меры сдерживания, такие как карантин затронутых систем, могут происходить немедленно и параллельно с диагностикой. Могут быть запланированы долгосрочные меры по устранению рисков, которые происходят после того, как непосредственный риск будет пройден.
5: закрытие и анализ По завершении группа реагирования на инциденты анализирует работу и создает отчет, в котором кратко излагаются сведения об инциденте, чтобы пересмотреть политики, процедуры и процессы и предотвратить повторение события.

Процессы обнаружения, используемые Microsoft Azure, Dynamics 365 и Power Platform, предназначены для обнаружения событий, которые рискуют конфиденциальность, целостность и доступность служб Azure, Dynamics 365 и Power Platform. Расследование может быть запущено несколькими событиями:

  • Автоматические системные уведомления, отправляемые через внутренние платформы мониторинга и оповещений. Эти оповещения могут поступать в виде предупреждений, основанных на анализе сигнатур (защита от вредоносных программ, обнаружение атаки), или через алгоритмы, предназначенные для отслеживания активности и оповещения об аномалиях.
  • Отчеты из служб Microsoft, запущенных в Microsoft Azure и Azure для государственных организаций.
  • Отчеты об уязвимостях поступают в Центр Майкрософт по реагированию на угрозы (MSRC) через Сообщение о проблеме. Центр MSRC сотрудничает с партнерами и исследователями со всего мира для предотвращения инцидентов и повышения безопасности продуктов Майкрософт.
  • Отчеты клиентов через порталы, включая портал поддержки клиентов Microsoft Azure, Dynamics 365 поддержку клиентов, службу поддержки power Platform, портал Microsoft Azure и портал управления Azure для государственных организаций, в которых описываются подозрительные действия, приписываемые инфраструктуре Azure (в отличие от действий, происходящих в среде область ответственности клиента).
  • Обеспечение безопасности с помощью красной и синей групп. Эта стратегия использует высококвалифицированную Красную команду наступательных экспертов по безопасности Майкрософт для выявления и атаки на потенциальные слабые места в Microsoft Azure. Синяя команда реагирования должна обнаруживать действия красной команды и обеспечивать защиту от них. Действия красной и синей команд используются для проверки эффективности реагирования на инциденты безопасности в Azure. Действия Red Team и Blue Team выполняются в соответствии с правилами взаимодействия, чтобы обеспечить защиту данных клиентов и персональных данных.
  • Эскалация по операторам Microsoft Azure, служб Dynamics 365 и Power Platform Services. Сотрудники Майкрософт обучены определять потенциальные проблемы безопасности и передавать их на рассмотрение.

Реагирование microsoft Azure, Dynamics 365 и Power Platform на утечку данных

Корпорация Майкрософт назначает соответствующие уровни приоритета и серьезности нарушения путем определения функционального воздействия, возможности восстановления и информационного воздействия инцидента. Приоритет и серьезность могут изменяться в процессе расследования по мере поступления новых фактов и заключений. События безопасности, связанные с приближающимся или подтвержденным риском для данных клиента, считаются событиями с высоким уровнем серьезности и обрабатываются круглосуточно до решения проблемы.

Группа реагирования на инциденты безопасности работает с соответствующими инженерами службы Майкрософт и экспертами по предмету, чтобы классифицировать событие на основе фактических данных из доказательств. Событие безопасности можно классифицировать следующим образом:

  • Ложноположительный результат. Событие, которое соответствует критериям обнаружения, но является частью обычной бизнес-практики и может потребоваться отфильтровать. Группы обслуживания будут выявлять первопричину ложноположительных результатов и систематически устранять их, чтобы точно настроить их по мере необходимости.
  • Событие безопасности: наблюдаемое событие в системе, службе и/или сети попытки атаки, обхода средств контроля безопасности или выявленной проблемы, когда факты указывают на то, что данные клиента или персональные данные могли быть потеряны, уничтожены, изменены, раскрыты, или доступны без авторизации.
  • Инцидент нарушения безопасности/инцидент нарушения конфиденциальности, о котором должен сообщать клиент (CRSPI): подтвержденное (например, объявленное) нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению или доступу к данным клиента или персональным данным во время обработки корпорацией Майкрософт.
  • Событие конфиденциальности. Событие безопасности, затрагивающее данные клиента, персональные данные или обработку данных, которое приводит к непредвиденным последствиям для конфиденциальности, включая несоблюдение политик конфиденциальности, стандартов и элементов управления Майкрософт.
  • Инцидент конфиденциальности или сообщаемый клиентом инцидент безопасности и конфиденциальности (CRSPI): инцидент безопасности, который влияет на данные клиента или персональные данные, данные или обработку данных, что приводит к непредвиденным последствиям для конфиденциальности, включая несоблюдение политик конфиденциальности, стандартов и элементов управления Майкрософт.

Чтобы объявить CRSPI, сотрудники Майкрософт должны установить, что произошел или вероятно произошел несанкционированный доступ к данным клиента и/или имеется юридическое либо договорное обязательство о необходимости отправки уведомления. Как правило, инцидент объявляется как CRSPI по завершении стадии диагностики для инцидента безопасности. Однако в любой момент может быть объявлена необходимость во всех соответствующих сведениях.

Корпорация Майкрософт проверяет, что риск клиента и бизнеса успешно сдерживается и что реализованы корректирующие меры. При необходимости выполняются действия по устранению чрезвычайных рисков, связанных с событием.

Кроме того, Майкрософт выполняет внутренний анализ нарушений безопасности данных. В рамках этого упражнения оценивается достаточность ответных и операционных процедур, а также выявляются и внедряются все обновления, которые могут потребоваться для стандартной операционной процедуры реагирования на инциденты безопасности (SOP) или связанных процессов. Внутренние анализы нарушений безопасности данных — строго конфиденциальные документы, которые недоступны для клиентов. Тем не менее, анализы могут обобщаться и включаться в другие уведомления о событиях. Эти отчеты предоставляются внешним аудиторам для проверки в рамках регулярных циклов аудита Microsoft Azure, Dynamics 365 и Power Platform.

Уведомление клиента

Майкрософт уведомляет затронутых клиентов и регулирующие органы о нарушении безопасности данных в соответствии с установленными требованиями. Корпорация Майкрософт полагается на сильное внутреннее отделение в работе Microsoft Azure, Dynamics 365 и Power Platform. В результате большинство инцидентов затрагивают только отдельных клиентов. Цель — предоставить клиентам точное, своевременное и требующее действия уведомление при нарушении безопасности данных.

После объявления CRSPI максимально быстро запускается процесс уведомления, принимая во внимание скорость распространения угроз безопасности. Уведомления клиентов доставляются без неоправданной задержки, и в любом случае не более чем через 72 часа с момента объявления о нарушении, за исключением некоторых ограниченных обстоятельств, некоторые примеры:

  • Майкрософт считает, что отправка уведомления увеличивает риск для других клиентов. Например, уведомление может привести к тому, что злоумышленник не сможет исправить ситуацию.
  • 72-часовой временная шкала может оставить некоторые сведения об инциденте недоступными. Они предоставляются клиентам и регулятивным органам по мере продвижения расследования.

Майкрософт предоставляет затронутым клиентам подробные сведения, позволяющие проводить внутренние расследования, а также помогает выполнять обязательства перед пользователями, не задерживая при этом отправку уведомлений. Уведомление о нарушении безопасности для Azure будет доставлено в колонку уведомлений о работоспособности службы Microsoft Azure клиента в виде рекомендаций по безопасности. Если это оправдано, одна или несколько из следующих ролей могут быть уведомлены по электронной почте об инциденте безопасности или конфиденциальности в сочетании с уведомлением о работоспособности службы или вместо них:

Команда Microsoft Azure или Azure для государственных организаций также может уведомить других сотрудников Майкрософт, таких как члены группы поддержки клиентов Майкрософт (CSS) и менеджеры по работе с клиентами (AM) или менеджеры по работе с клиентами (CSAM). Эти люди взаимодействуют с клиентом и ускоряют процесс исправления.

Уведомление о нарушении безопасности данных для Microsoft Dynamics 365 и Power Platform будет доставлено в Центр администрирования Microsoft 365 в разделе "Центр сообщений" и "панель мониторинга Работоспособность служб". Дополнительные сведения см. в статье Политики и коммуникации для Power Platform и служб Dynamics 365.

Встроенные функции безопасности Microsoft Dynamics 365 и Power Platform

Microsoft Dynamics 365 и Power Platform используют инфраструктуру облачных служб и встроенные функции безопасности для обеспечения безопасности данных с помощью мер безопасности и механизмов защиты данных. Кроме того, Dynamics 365 и Power Platform обеспечивают эффективный доступ к данным и совместную работу с целостностью данных и конфиденциальностью в следующих областях: безопасность идентификации, защита данных, безопасность на основе ролей и управление угрозами.

Предложения Microsoft Dynamics 365 и Power Platform соответствуют одним и тем же техническим и организационным мерам, принятым одной или несколькими командами служб Microsoft Azure для защиты от процессов утечки данных. Поэтому любая информация, описанная здесь в документе с уведомлением Microsoft Azure Data Breach, относится также к Microsoft Dynamics 365 и Power Platform.

Дополнительные сведения

Центр управления безопасностью (Майкрософт)