Close

Обязанности при возникновении инцидента безопасности в Atlassian


Введение

Как и любой поставщик облачных сервисов, Atlassian делает все возможное, чтобы предотвратить возникновение сбоев или инцидентов безопасности для своих клиентов. Однако мы понимаем, что риск их возникновения все равно остается. Нам важно, чтобы клиенты понимали свою роль в нашем процессе реакции на инциденты безопасности и свои обязанности. У нас разработан план действий на случай развития событий по неблагополучному сценарию, и если это происходит на самом деле, мы знаем, что делать, и остаемся верны принципу «Не #@!% клиента» (DFTC).

Мы делаем все возможное, чтобы устранить абсолютно все инциденты безопасности, затрагивающие наши сервисы и инфраструктуру. Все действия — от обнаружения нарушений до их локализации и даже раскрытия — мы берем на себя. Но мы не можем уследить абсолютно за всем; иногда нам требуется помощь наших клиентов, которые сообщили бы об инциденте, или стороннего консультанта, обладающего специальными знаниями для проведения расследования или выполнения экспертной оценки.

Роли

Мы рассмотрели ряд моделей по управлению инцидентами безопасности и используем их для обеспечения не только всеобъемлющего, но и соответствующего мировым стандартам подхода к реагированию на инциденты. Мы выбрали из этих моделей наиболее значимые виды деятельности и описали ответственность для каждой из них.

Сторона

Позиция

Описание

ATLASSIAN

Позиция

Координатор процесса реагирования на инцидент безопасности

Описание

За каждым инцидентом безопасности закрепляется главный координатор инцидента из состава службы безопасности Atlassian. Он принимает решения, связанные с безопасностью, контролирует процесс и распределяет задания.

ATLASSIAN

Позиция

Аналитик инцидентов безопасности

Описание

Аналитики по вопросам безопасности проводят большинство расследований и анализов инцидентов. В случае небольших инцидентов эту роль часто берет на себя координатор процесса реагирования на инцидент безопасности.

ATLASSIAN

Позиция

Ведущий специалист по взаимодействию с клиентами

Описание

За каждым инцидентом закрепляется ведущий специалист по взаимодействию с клиентами, который решает, каким образом контактировать с клиентами. Как правило, этот человек также выполняет основной объем работы по информированию клиентов.

ATLASSIAN

Позиция

«Красная команда»

Описание

«Красная команда» Atlassian имитирует злоумышленников из реального киберпространства и выполняет определенные тестовые сценарии, чтобы оценить наши возможности по выявлению и устранению угроз, а также определить возможности для улучшения.

ATLASSIAN

Позиция

Консультант по поддержке

Описание

Команды по управлению инцидентами безопасности Atlassian обращаются за советом к различным внутренним профильным экспертам (например, в области права, конфиденциальности, рисков, кадров и т. д.). Эти консультанты предоставляют экспертные рекомендации по вопросам, затрагивающим их область компетенции.

Консультации по вопросам безопасности

Позиция

Консультант

Описание

В случае возникновения инцидента Atlassian пользуется услугами квалифицированных консультантов по кибербезопасности. Как правило, такие консультации служат для привлечения дополнительных ресурсов в случае нехватки узкопрофильных специалистов внутри компании, а также для получения рекомендаций и оценки инцидентов независимыми экспертами.

Клиент

Позиция

Автор

Описание

Клиентов поощряют сообщать о любых случаях несанкционированного доступа или вредоносного поведения в отношении активов Atlassian.

Клиент

Позиция

Контактное лицо по вопросам безопасности

Описание

Если затрагивающий клиента инцидент подтверждается, контактное лицо по вопросам безопасности на стороне клиента получает соответствующее уведомление. Обычно это контактное лицо по техническим вопросам, связанным с аккаунтом, но эту роль могут исполнять и другие лица, если у клиента есть выделенная команда по обеспечению безопасности. Контактное лицо по вопросам безопасности отвечает за надлежащее управление инцидентом во всех аспектах, не касающихся активов Atlassian.

Ответственность

Для определения ответственности за управление инцидентами безопасности мы используем матрицу RACI. Несмотря на то что мы прилагаем все усилия к выполнению установленных для нашей стороны обязанностей, ответственность за безопасность своих данных в конечном счете несут сами клиенты, что определяется Соглашением Atlassian с клиентом.

  • Responsible (исполнитель). Сторона, проводящая работы по выполнению задания.
  • Accountable (ответственное лицо). Сторона, которая в конечном итоге несет ответственность за правильное и тщательное выполнение операций.
  • Consulted (консультант). Сторона, чьим мнением руководствуются и с которой существует двусторонняя связь.
  • Informed (информируемое лицо). Сторона, которой постоянно поступает информация о ходе выполнения работы и с которой существует только односторонняя связь.

Действия

ATLASSIAN

Клиент

Обнаружение

ATLASSIAN

Ответственные лица

Customer

 

Рассмотрение

ATLASSIAN

Ответственные лица

Customer

 

Расследование

ATLASSIAN

Ответственные лица

Customer

 

Локализация

ATLASSIAN

Ответственные лица

Customer

 

Ликвидация

ATLASSIAN

Ответственные лица

Клиент

Информируемые лица

Восстановление

ATLASSIAN

Ответственные лица

Клиент

Информируемые лица

Оповещение (клиента)

ATLASSIAN

Ответственные лица

Клиент

Информируемые лица

Оповещение (компании Atlassian)

ATLASSIAN

Информируемые лица

Клиент

Ответственные лица

Улучшение

ATLASSIAN

Ответственные лица

Customer

 

Тестирование

ATLASSIAN

Ответственные лица

Customer

 

Подготовка внешней отчетности (соблюдение законодательства и нормативных требований)

ATLASSIAN

Ответственное лицо
Исполнитель

Клиент

Информируемые лица

Публикация сводных данных

ATLASSIAN

Ответственные лица

Клиент

Информируемые лица