Обязанности при возникновении инцидента безопасности в Atlassian
Введение
Как и любой поставщик облачных сервисов, Atlassian делает все возможное, чтобы предотвратить возникновение сбоев или инцидентов безопасности для своих клиентов. Однако мы понимаем, что риск их возникновения все равно остается. Нам важно, чтобы клиенты понимали свою роль в нашем процессе реакции на инциденты безопасности и свои обязанности. У нас разработан план действий на случай развития событий по неблагополучному сценарию, и если это происходит на самом деле, мы знаем, что делать, и остаемся верны принципу «Не #@!% клиента» (DFTC).
Мы делаем все возможное, чтобы устранить абсолютно все инциденты безопасности, затрагивающие наши сервисы и инфраструктуру. Все действия — от обнаружения нарушений до их локализации и даже раскрытия — мы берем на себя. Но мы не можем уследить абсолютно за всем; иногда нам требуется помощь наших клиентов, которые сообщили бы об инциденте, или стороннего консультанта, обладающего специальными знаниями для проведения расследования или выполнения экспертной оценки.
Роли
Мы рассмотрели ряд моделей по управлению инцидентами безопасности и используем их для обеспечения не только всеобъемлющего, но и соответствующего мировым стандартам подхода к реагированию на инциденты. Мы выбрали из этих моделей наиболее значимые виды деятельности и описали ответственность для каждой из них.
Сторона | Позиция | Описание |
|---|---|---|
| ATLASSIAN | Позиция Координатор процесса реагирования на инцидент безопасности | Описание За каждым инцидентом безопасности закрепляется главный координатор инцидента из состава службы безопасности Atlassian. Он принимает решения, связанные с безопасностью, контролирует процесс и распределяет задания. |
| ATLASSIAN | Позиция Аналитик инцидентов безопасности | Описание Аналитики по вопросам безопасности проводят большинство расследований и анализов инцидентов. В случае небольших инцидентов эту роль часто берет на себя координатор процесса реагирования на инцидент безопасности. |
| ATLASSIAN | Позиция Ведущий специалист по взаимодействию с клиентами | Описание За каждым инцидентом закрепляется ведущий специалист по взаимодействию с клиентами, который решает, каким образом контактировать с клиентами. Как правило, этот человек также выполняет основной объем работы по информированию клиентов. |
| ATLASSIAN | Позиция «Красная команда» | Описание «Красная команда» Atlassian имитирует злоумышленников из реального киберпространства и выполняет определенные тестовые сценарии, чтобы оценить наши возможности по выявлению и устранению угроз, а также определить возможности для улучшения. |
| ATLASSIAN | Позиция Консультант по поддержке | Описание Команды по управлению инцидентами безопасности Atlassian обращаются за советом к различным внутренним профильным экспертам (например, в области права, конфиденциальности, рисков, кадров и т. д.). Эти консультанты предоставляют экспертные рекомендации по вопросам, затрагивающим их область компетенции. |
| Консультации по вопросам безопасности | Позиция Консультант | Описание В случае возникновения инцидента Atlassian пользуется услугами квалифицированных консультантов по кибербезопасности. Как правило, такие консультации служат для привлечения дополнительных ресурсов в случае нехватки узкопрофильных специалистов внутри компании, а также для получения рекомендаций и оценки инцидентов независимыми экспертами. |
| Клиент | Позиция Автор | Описание Клиентов поощряют сообщать о любых случаях несанкционированного доступа или вредоносного поведения в отношении активов Atlassian. |
| Клиент | Позиция Контактное лицо по вопросам безопасности | Описание Если затрагивающий клиента инцидент подтверждается, контактное лицо по вопросам безопасности на стороне клиента получает соответствующее уведомление. Обычно это контактное лицо по техническим вопросам, связанным с аккаунтом, но эту роль могут исполнять и другие лица, если у клиента есть выделенная команда по обеспечению безопасности. Контактное лицо по вопросам безопасности отвечает за надлежащее управление инцидентом во всех аспектах, не касающихся активов Atlassian. |
Ответственность
Для определения ответственности за управление инцидентами безопасности мы используем матрицу RACI. Несмотря на то что мы прилагаем все усилия к выполнению установленных для нашей стороны обязанностей, ответственность за безопасность своих данных в конечном счете несут сами клиенты, что определяется Соглашением Atlassian с клиентом.
- Responsible (исполнитель). Сторона, проводящая работы по выполнению задания.
- Accountable (ответственное лицо). Сторона, которая в конечном итоге несет ответственность за правильное и тщательное выполнение операций.
- Consulted (консультант). Сторона, чьим мнением руководствуются и с которой существует двусторонняя связь.
- Informed (информируемое лицо). Сторона, которой постоянно поступает информация о ходе выполнения работы и с которой существует только односторонняя связь.
Действия | ATLASSIAN | Клиент |
|---|---|---|
| Обнаружение | ATLASSIAN Ответственные лица | Customer
|
| Рассмотрение | ATLASSIAN Ответственные лица | Customer
|
| Расследование | ATLASSIAN Ответственные лица | Customer
|
| Локализация | ATLASSIAN Ответственные лица | Customer
|
| Ликвидация | ATLASSIAN Ответственные лица | Клиент Информируемые лица |
| Восстановление | ATLASSIAN Ответственные лица | Клиент Информируемые лица |
| Оповещение (клиента) | ATLASSIAN Ответственные лица | Клиент Информируемые лица |
| Оповещение (компании Atlassian) | ATLASSIAN Информируемые лица | Клиент Ответственные лица |
| Улучшение | ATLASSIAN Ответственные лица | Customer
|
| Тестирование | ATLASSIAN Ответственные лица | Customer
|
| Подготовка внешней отчетности (соблюдение законодательства и нормативных требований) | ATLASSIAN Ответственное лицо | Клиент Информируемые лица |
| Публикация сводных данных | ATLASSIAN Ответственные лица | Клиент Информируемые лица |