נהלי הפרת נתונים

1) מטרה והיקף

המטרה: לצמצם את הנזק, לעמוד בדרישות המשפטיות ולשקם במהירות את הפעולה הרגילה באמצעות דליפה מאומתת או סבירה של נתונים אישיים/תשלומים/תפעוליים.
סיקור: נגני PII ועובדים, חפצי תשלום, רישומי גישה/אסימונים, מסמכי KYC/AML, מידע משתייך/שותף, מוצר חסוי וחפצי תשתית.

2) ”הדלפה” הגדרות וקריטריונים

הפרת מידע - הפרת הסודיות, שלמות או זמינות המידע האישי (או מידע מוגן אחר) עקב תקרית ביטחונית או טעות תהליכים.
אושר נגד חשוד: כל אינדיקטורים (אנומליות SIEM, הודעות מספקים/משתמשים, אתרי הדבקה) מתחילים את ההליך לפני ההפרכה.

3) סיווג החומרה (דוגמה)

4) SLA ו ”גשר אירוע”

ייזום: עם מדיום +, נוצר חדר מלחמה (צ 'אט/שיחה), מוקצה מפקד תקרית (IC).

SLA: נמוך - 24 Hüdium - 4 High - 1 Hücritic - 15 דקות

קדנציה של עדכונים: כל 30-60 דקות (פנימיות), כל 2-4 שעות (בעלי עניין חיצוני).

5) RACI (מוגדל)

6) נוהל תגובה (צעד אחר צעד)

1. זיהוי ואימות עיקרי

אות מ SIEM/EDR/אנטי הונאה/ספק/משתמש = רשומה במרשם האירוע.
אוסף של עובדות מינימליות: מה/מתי/איפה/כמה, סוגי נתונים ותחום שיפוט מושפע.

2. בלימה

ביטול נקודות קצה/תכונות פגיעות, גאו-קטעים, מגבלות זמן, שחרור הקפאה.
סיבוב מפתח/אסימון, שלילת גישה, חסימת חשבונות בסכנה.

3. מחיקה

תיקון תיקונים, ניקוי חפצים זדוניים, בנייה מחדש של תמונות, בדיקת תת-מעבדים.

4. התאוששות (התאוששות)

כניסת התנועה הקנרית, ניטור רגרסיה, העברת בדיקות שלמות.

5. זיהוי פלילי והערכת השפעה

חישוב נפח, רגישות, גיאוגרפיות, סיכון לנבדקים; אישור של רשומות מושפעות.

6. הודעות ותקשורת

DPO/Legal מגדיר את החובה והתזמון של הודעות; הכנת טקסטים; הפצה לכתובות.

7. לאחר המוות ו CAPA

ניתוח שורש (5 Whys), תוכנית פעולה מתקנת/מונעת עם בעלים ולוחות זמנים.

7) 72 שעות חלון וכתובות משפטיות (ציוני דרך)

מעקב מידע (DPA) - להודיע לא יאוחר מ-72 שעות לאחר איתור דליפה משמעותית, אם הסיכון לזכויות/חירויות הנבדקים אינו נשלל.
משתמשים - ”ללא עיכוב מיותר” בסיכון גבוה (עם המלצות ברורות).
רגולטור הימורים - כאשר משפיע על שחקנים/קיימות/דיווח.
בנקים/PSP - בסיכון של תשלומים/פשרה של אסימונים/עסקאות חשודות.
Partners/Vandors - אם השכיחות של זרימה/נתונים מושפעת או נדרשת פעולה.

8) זיהוי פלילי ו ”שרשרת המשמורת של ראיות”

תמונות של כרכים/יומנים, יצוא חפצים עם חשיש (SHA-256).
עובד רק עם עותקים/תמונות; מערכות מקור - קריאה בלבד.
פרוטוקול הפעולה: מי/מתי/מה עשה, פקודות/כלים בשימוש.
אחסון בתולעת/אחסון אובייקטים; גישה מוגבלת, ביקורת.

9) תקשורת (פנימי/חיצוני)

עקרונות: עובדות * מדדים * המלצות כפול העדכון הבא.
זה בלתי אפשרי: לפרסם מח "ש, לבנות השערות שלא נבדקו, להבטיח מועדים ללא שליטה.

• מה נמצא? ‏ [קטגוריות] המדדים הנוכחיים ‏ [סיכונים] צעדים הבאים בעדכון הבא ב ־ HH: M.S.

10) אינטראקציה עם ספקים/תת-מעבדים

בדוק את קופות התקרית שלהם, יומני גישה, הודעות SLAs, רשימה של תת-מעבדים.
דוחות בקשה (finest/rate), אישור רשומה של מחיקת נתונים/חזרה.
במקרה של אי התאמה בין DPA - הסלמה ובידוד/השעיה זמנית של אינטגרציה.

11) תבניות הודעה (שברים)

11. 1 רשות פיקוח (DPA)

תיאור קצר של האירוע וזמן הגילוי, קטגוריות/נפח משוער של נתונים, קבוצות של נושאים, גאוגרפיה, השלכות וסיכונים, צעדים שננקטו/מתוכננים, קשר DPO, יישומים (ציר זמן, סיכום חשיש).

11. 2 משתמשים

מה קרה? אילו נתונים אולי הושפעו; מה שעשינו; מה אתה יכול לעשות (לשנות סיסמה, עסקאות שליטה, טיפים דיג); איך ליצור קשר; קישור למרכז התמיכה FAQ/.

11. 3 שותפים/PSP/רגולטור

עובדות וממשקים מושפעים; לוח זמנים צפוי פעולות שותף; צרו קשר עם אנשים.

12) רשמת אירוע (שדות מינימליים)

Discovery/Adviction Time 'Severity' Systems/Data Scoupe/Categraphies 'Vendories Increducted Actions Taked [to//When] - התייחסויות למצבים.

13) מדדים ומטרות

MTTD/MTTC/MTTR (גילוי/בלימה/התאוששות).
% מההודעות ב-72 שעות - 100%.
אחוז התקריות עם שורש מזוהה 90%.
CAPAs סגורים 95%.
תקריות חוזרות על עצמן מסיבה אחת: 5%.
אחוז התקריות שנסגרו ב-SLA (Medium/High/Critical): 90/95/99%.

14) רשימות בדיקה

14. 1 התחלה (60 דקות ראשונות)

[ ] IC מוקצה וחדר מלחמה פתוח

[ ] אמצעי ייצוב (ניתוקים/גבולות/סיבוב מפתח)

[ ] אוסף עובדות מינימליות וצילומי מסך/יומנים

[ ] DPO/Legal הודיע, כיתה ראשונית מוגדרת

[ ] להקפיא משחרר ופרוטוקולי ניקוי יומן

14. 2 עד 24 שעות

[ זיהוי פלילי ]: היקף/קטגוריות/גאוגרפיה (טיוטה)

[ החלטת הודעה ], הכנת טקסטים

[ תוכנית החלמה/יושר ]

[ חבילת ראיות ] תולעת, ציר זמן אירוע

14. 3 עד 72 שעות

[ ] הודעות DPA/רגולטור/PSP (במידת הצורך)

[ ] תקשורת למשתמשים (סיכון גבוה)

[ ] מעודכנת של CAPA, בעלים וציר זמן

15) תרחישים ואמצעים טיפוסיים

A) ייצא מסד נתונים תומך צ 'אט לפתיחת מקטע אחסון

מדדים: גישה קרובה, הורדות מלאי, עדכון מושפע, חיזוק מדיניות S3/ACL, כללי ייצוא DLP.

B) פשרה של אסימונים גישה API

אמצעים: סיבוב מיידי, אימות ריענון אסימונים, אימות רישום שיחות, חתימה מחדש, קטעי תנועה.

C) דליפה של KYC סורק באמצעות ספק

צעדים: בידוד אינטגרציה, אישור מחיקה, אימות מחדש של לקוחות בסיכון גבוה באופן ידני, תיקון DPA/הסקת מסקנות.

D) Public Dump Publication

אמצעים: תיקון חפצים (חשיש), הסרה חוקית של קישורים (הפלה), הודעות, מעקב אחר פרסומים נוספים.

16) אינטגרציה עם ציות ופרטיות

צרור עם תהליכי GDPR: DSAR, ROPA, DPIA/DTIA; עדכון המדיניות והעוגיות/CIW במקרה של שינויים בספקים/מטרות.
כולל תקרית במטריצת סיכון ושינוי סף/בקרה.

17) קאפא ולאחר המוות (72 שעות לאחר ההתייצבות)

מבנה דו "ח: עובדות/timline-impact-rost crost - מה עבד/לא CAPA רשימה (בעלים, מונח, קריטריון הצלחה) - תאריך בדיקת יעילות (30-60 יום).

18) מפת דרכים לבגרות

חודש 1: ספר מהלכים עדכון, אנשי קשר, תבניות, ארכיון תולעת, בדיקת הודעה.
חודש 2: תרגילי שולחן (דליפה/ספקים/אסימונים), ספרי משחק של SOAR.
חודש 3 +: רטרוספקטיבות רבעוניות, ביקורת ספקים, בדיקות הטיה של מודלים נגד הונאה/זיהוי, תיקונים קבועים של סף.

TL; DR

במקרה של דליפה: אנו מייצבים במהירות (בלימה), מאשרים במדויק (זיהוי פלילי), מודיעים בזמן (DPA/משתמשים/שותפים), ממסמכים שקופים (רישום, ציר זמן, ראיות) ומתקנים את הגורם השורשי (CAPA). התוצאה היא פחות נזק, ציות ואמון חוזר של שחקנים ושותפים.