В Dropbox действуют политики и процедуры реагирования на происшествия, связанные с доступностью услуг, целостностью, безопасностью, защитой персональных данных и конфиденциальностью. В рамках процедур реагирования на происшествия у нас есть специальные группы, обученные:
- оперативно реагировать на предупреждения о потенциальных чрезвычайных ситуациях;
- определять степень серьезности ситуации;
- при необходимости предпринимать меры, чтобы смягчить и локализовать последствия чрезвычайных ситуаций;
- взаимодействовать с соответствующими внутренними и внешними причастными к ситуации лицами, в том числе уведомлять затронутых пользователей о выполнении договорных обязательств в отношении утечки данных или извещении о чрезвычайных ситуациях и соблюдении соответствующих законов и нормативных актов;
- собирать и хранить доказательства для расследования ситуации;
- Документирование результатов анализа и разработка плана по снижению рисков
Правила и процессы для чрезвычайных ситуаций проверяются в рамках соответствия SOC 2+, стандарту ISO/IEC 27001 и др.
В Dropbox используется стандартная процедура для чрезвычайных ситуаций, предусматривающая следующие этапы:
- Обнаружение
- Уведомления
- Реакция
- Оценка
- устранение недостатков.
После сообщения о чрезвычайной ситуации, затронувшей пользователей (независимо от того, была ли она вызвана внешними субъектами или лицами с авторизованным доступом), проводится оценка воздействия, чтобы разработать план действий по устранению выявленных проблем. Если этого требует действующее законодательство, договорные обязательства или если это иным образом целесообразно, Dropbox уведомляет пользователей о ситуации в порядке, указанном в Соглашении об обработке данных Dropbox.
Проблемы, выявленные в ходе ситуации, делятся на две основные категории:
- План действий: краткосрочные меры по снижению риска и предотвращению инцидента.
- Проблемы безопасности: долгосрочные проекты, связанные с конкретными технологиями или системами, для снижения негативного воздействия рисков безопасности.
За выполнение безотлагательных действий отвечают определенные сотрудники компании, которые координируют усилия, чтобы смягчить последствия ситуации, взаимодействуют с внутренними причастными лицами и предоставляют ресурсы для оказания помощи.
Проблема считается решенной, когда завершаются все действия, предусмотренные планом.
После устранения последствий инцидента проводится анализ, чтобы полностью понять основные причины проблемы, определить необходимые действия и проблемы безопасности, а также завершить всю оставшуюся работу, чтобы предотвратить повторное возникновение проблем. Инциденты проходят серию проверок с целью сбора информации и статистики на различных уровнях организации. Чем серьезнее проблема, тем выше уровень рассмотрения инцидента. Долгосрочные рабочие потоки добавляются в спринты и дорожные карты, а извлеченные уроки доводятся до сведения соответствующих рабочих групп.
Такой поэтапный подход гарантирует, что Dropbox сможет в нужный момент сосредоточиться на наиболее важных работах, чтобы избежать проблем в будущем.
