Правила и методики в случае чрезвычайных ситуаций в Dropbox
Информация, описанная в этой статье, относится ко всем пользователям платных тарифных планов Dropbox.
В Dropbox действуют политики и процедуры реагирования на происшествия, связанные с доступностью услуг, целостностью, безопасностью, защитой персональных данных и конфиденциальностью. В рамках процедур реагирования на происшествия у нас есть специальные группы, обученные:
- оперативно реагировать на предупреждения о потенциальных чрезвычайных ситуациях;
- определять степень серьезности ситуации;
- при необходимости предпринимать меры, чтобы смягчить и локализовать последствия чрезвычайных ситуаций;
- взаимодействовать с соответствующими внутренними и внешними причастными к ситуации лицами, в том числе уведомлять затронутых пользователей о выполнении договорных обязательств в отношении утечки данных или извещении о чрезвычайных ситуациях и соблюдении соответствующих законов и нормативных актов;
- собирать и хранить доказательства для расследования ситуации;
- документировать обстоятельства произошедшего и разрабатывать постоянные планы, которые помогут установить очередность действий по устранению и предупреждению чрезвычайных ситуаций.
Правила и процессы для чрезвычайных ситуаций проверяются в рамках соответствия SOC 2+, стандарту ISO/IEC 27001 и др.
В Dropbox используется стандартная процедура для чрезвычайных ситуаций, предусматривающая следующие этапы:
- обнаружение;
- уведомление;
- реагирование;
- оценка;
- устранение недостатков.
После сообщения о чрезвычайной ситуации, затронувшей пользователей (независимо от того, была ли она вызвана внешними субъектами или лицами с авторизованным доступом), проводится оценка воздействия, чтобы разработать план действий по устранению выявленных проблем. Если этого требует действующее законодательство, договорные обязательства или если это иным образом целесообразно, Dropbox уведомляет пользователей о ситуации в порядке, указанном в Соглашении об обработке данных Dropbox.
Проблемы, выявленные в ходе ситуации, делятся на две основные категории:
- Вопросы, требующие безотлагательных действий — краткосрочных действий для снижения рисков и устранения ситуации.
- Вопросы безопасности, требующие более длительных работ, связанных с определенными технологиями или системами и направленных на снижение рисков информационной безопасности.
За выполнение безотлагательных действий отвечают определенные сотрудники компании, которые координируют усилия, чтобы смягчить последствия ситуации, взаимодействуют с внутренними причастными лицами и предоставляют ресурсы для оказания помощи.
Проблема считается решенной, когда завершаются все действия, предусмотренные планом.
После устранения последствий выясняются обстоятельства, приведшие к этой ситуации, чтобы полностью понять первопричину проблемы, определить безотлагательные действия и вопросы безопасности, а также завершить все оставшиеся работы, чтобы предотвратить повторное возникновение проблемы. Чрезвычайная ситуация несколько раз анализируется, чтобы собрать данные о ее причинах и сделать выводы на различных организационных уровнях. Чем серьезнее проблема, тем на более высоком уровне рассматривается ситуация. К краткосрочным программам и планам дальнейших действий добавляются программы работ, рассчитанные на более длительную перспективу, а выработанные рекомендации на основе анализа произошедшего доводятся до сведения соответствующих команд.
Такой поэтапный подход гарантирует, что Dropbox сможет в нужный момент сосредоточиться на наиболее важных работах, чтобы избежать проблем в будущем.