Obowiązki Atlassian dotyczące incydentów związanych z bezpieczeństwem
Wstęp
Podobnie jak każdy dostawca usług w chmurze, dokładamy wszelkich starań, aby nasi klienci nie doświadczyli awarii ani incydentu związanego z bezpieczeństwem. Zdajemy sobie jednak sprawę, że może dojść do incydentu związanego z bezpieczeństwem. Ważne jest dla nas, aby klienci wiedzieli, w jaki sposób wpisują się w nasz proces reagowania na incydenty związane z bezpieczeństwem i jakie obowiązki spoczywają na nich w trakcie incydentu. Planujemy z myślą o najgorszych scenariuszach, dlatego jesteśmy gotowi i „nie wkurzamy naszych klientów”.
Dokładamy wszelkich starań, aby uporać się z wszelkimi incydentami dotyczącymi bezpieczeństwa, które mają wpływ na nasze usługi i infrastrukturę. Jesteśmy gotowi na wszystko, od wykrywania naruszeń po powstrzymanie, a nawet ujawnienie. Jednak nie wszystko jesteśmy w stanie zobaczyć. Czasami potrzebujemy pomocnej dłoni ze strony naszych klientów w postaci zgłoszenia incydentu lub ze strony zewnętrznego doradcy, aby móc skorzystać ze specjalistycznych kompetencji śledczych lub kryminalistycznych.
Rola
Sprawdziliśmy i wykorzystaliśmy szereg modeli zarządzania incydentami związanymi z bezpieczeństwem, aby zyskać pewność, że nasze procesy reagowania na incydenty są nie tylko kompleksowe, ale i najwyższej klasy. Wyciągnęliśmy z tych modeli najważniejsze działania i opisaliśmy zakres obowiązków w ramach każdego z nich.
Obowiązki
Określamy nasze obowiązki związane z zarządzaniem incydentami bezpieczeństwa za pomocą modelu RACI. Dokładamy wszelkich starań, aby wypełniać określone przez nas obowiązki, ale to klienci ponoszą końcową odpowiedzialność za bezpieczeństwo swoich danych zgodnie z Umową Klienta Atlassian.
- Odpowiedzialna— strona wykona pracę, aby zrealizować zadanie.
- Rozliczalna — strona ponosząca bezpośrednią odpowiedzialność za prawidłowe i rzetelne wykonanie zadania.
- Konsultowana — strona, u której zasięga się opinii i z którą odbywa się dwustronna komunikacja.
- Informowana — strona, która jest na bieżąco informowana o postępach i z którą komunikacja jest tylko jednokierunkowa.
| Aktywność | Atlassian | Klient |
---|---|---|---|
| Aktywność Wykrywanie | Atlassian Odpowiada za wykonanie | Klient
|
| Aktywność Klasyfikacja | Atlassian Odpowiada za wykonanie | Klient
|
| Aktywność Dochodzenie | Atlassian Odpowiada za wykonanie | Klient
|
| Aktywność Ograniczenie skutków | Atlassian Odpowiada za wykonanie | Klient
|
| Aktywność Eliminowanie | Atlassian Odpowiada za wykonanie | Klient Otrzymuje informacje |
| Aktywność Odzyskiwanie | Atlassian Odpowiada za wykonanie | Klient Otrzymuje informacje |
| Aktywność Powiadamianie (klienta) | Atlassian Odpowiada za wykonanie | Klient Otrzymuje informacje |
| Aktywność Powiadamianie (firmy Atlassian) | Atlassian Otrzymuje informacje | Klient Odpowiada za wykonanie |
| Aktywność Wprowadzenie ulepszeń | Atlassian Odpowiada za wykonanie | Klient
|
| Aktywność Testowanie | Atlassian Odpowiada za wykonanie | Klient
|
| Aktywność Zgłoszenie na zewnątrz (funkcjonariuszom prawa i organom ds. zapewniania zgodności z przepisami) | Atlassian Odpowiada w świetle prawa Odpowiada za wykonanie | Klient Otrzymuje informacje |
| Aktywność Publikacja zagregowanych danych | Atlassian Odpowiada za wykonanie | Klient Otrzymuje informacje |