Правила и методики в случае чрезвычайных ситуаций в Dropbox

Обновление Aug 14, 2023

В Dropbox разработаны правила и методики на случай чрезвычайной ситуации, которые помогают решать проблемы, связанные с доступностью, целостностью, безопасностью и конфиденциальностью услуг. В соответствии с этими правилами в Dropbox действуют специальные рабочие группы, которые умеют:

  • оперативно реагировать на предупреждения о потенциальных чрезвычайных ситуациях;
  • определять степень серьезности ситуации;
  • при необходимости предпринимать меры, чтобы смягчить и локализовать последствия чрезвычайных ситуаций;
  • взаимодействовать с соответствующими внутренними и внешними причастными к ситуации лицами, в том числе уведомлять затронутых пользователей о выполнении договорных обязательств в отношении утечки данных или извещении о чрезвычайных ситуациях и соблюдении соответствующих законов и нормативных актов;
  • собирать и хранить доказательства для расследования ситуации;
  • документировать обстоятельства произошедшего и разрабатывать постоянные планы, которые помогут установить очередность действий по устранению и предупреждению чрезвычайных ситуаций.

Правила и процессы для чрезвычайных ситуаций проверяются в рамках соответствия SOC 2+, стандарту ISO/IEC 27001 и др.

В Dropbox используется стандартная процедура для чрезвычайных ситуаций, предусматривающая следующие этапы:

  1. обнаружение;
  2. уведомление;
  3. реагирование;
  4. оценка;
  5. устранение недостатков.

После сообщения о чрезвычайной ситуации, затронувшей пользователей (независимо от того, была ли она вызвана внешними субъектами или лицами с авторизованным доступом), проводится оценка воздействия, чтобы разработать план действий по устранению выявленных проблем. Если этого требует действующее законодательство, договорные обязательства или если это иным образом целесообразно, Dropbox уведомляет пользователей о ситуации в порядке, указанном в Соглашении об обработке данных Dropbox.

Проблемы, выявленные в ходе ситуации, делятся на две основные категории:

  1. Вопросы, требующие безотлагательных действий — краткосрочных действий для снижения рисков и устранения ситуации.
  2. Вопросы безопасности, требующие более длительных работ, связанных с определенными технологиями или системами и направленных на снижение рисков информационной безопасности.

За выполнение безотлагательных действий отвечают определенные сотрудники компании, которые координируют усилия, чтобы смягчить последствия ситуации, взаимодействуют с внутренними причастными лицами и предоставляют ресурсы для оказания помощи.

Проблема считается решенной, когда завершаются все действия, предусмотренные планом. 

После устранения последствий выясняются обстоятельства, приведшие к этой ситуации, чтобы полностью понять первопричину проблемы, определить безотлагательные действия и вопросы безопасности, а также завершить все оставшиеся работы, чтобы предотвратить повторное возникновение проблемы. Чрезвычайная ситуация несколько раз анализируется, чтобы собрать данные о ее причинах и сделать выводы на различных организационных уровнях.  Чем серьезнее проблема, тем на более высоком уровне рассматривается ситуация. К краткосрочным программам и планам дальнейших действий добавляются программы работ, рассчитанные на более длительную перспективу, а выработанные рекомендации на основе анализа произошедшего доводятся до сведения соответствующих команд.  

Такой поэтапный подход гарантирует, что Dropbox сможет в нужный момент сосредоточиться на наиболее важных работах, чтобы избежать проблем в будущем.

Оказалась ли эта статья полезной?

Let us know how why it didn't help:

Thanks for letting us know!

Благодарим за отзыв!

Ответы сообщества