ISO/IEC 27018 "Свод правил по защите персональных данных в облаке"
Обзор ISO/IEC 27018
Международная организация по стандартизации (ISO) — это независимая неправительственная организация и крупнейший в мире разработчик рекомендательных международных стандартов. Семейство стандартов ISO/IEC 27000 помогает организациям любого типа и размера обеспечивать безопасность информационных ресурсов.
В 2014 г. организация ISO приняла к стандарту ISO/IEC 27001 дополнение ISO/IEC 27018:2014 — первый международный свод правил по конфиденциальности в облаке. Основанный на законах ЕС по защите данных, он предоставляет конкретные инструкции для поставщиков облачных служб (CSP), действующих в качестве обработчиков личных сведений (PII), с целью оценки рисков и применения современных средств для защиты личных сведений.
Майкрософт и ISO/IEC 27018
По крайней мере один раз в год Microsoft Azure и Azure для Германии проверяются на соответствие iso/IEC 27001 и ISO/IEC 27018 аккредитованным сторонним органом по сертификации. Этот аудит обеспечивает независимую проверку того, что применимые элементы управления безопасностью имеются и работают эффективно. В рамках этой проверки соответствия требованиям аудиторы подтверждают в заявлении о применимости, что соответствующие облачные службы Майкрософт и коммерческие службы технической поддержки внедрили средства управления ISO/IEC 27018 для защиты личных сведений в Azure. Чтобы поддерживать соответствие требованиям, облачные службы Майкрософт должны проходить ежегодные независимые проверки.
Следуя стандартам ISO/IEC 27001 и кодексу практики, воплощенным в ISO/IEC 27018, корпорация Майкрософт демонстрирует, что ее политики и процедуры конфиденциальности являются надежными и соответствуют высоким стандартам.
- Клиенты облачных служб Майкрософт знают, где хранятся их данные. Так как стандарт ISO/IEC 27018 требует, чтобы сертифицированный поставщик облачных служб сообщал клиентам о странах, в которых могут храниться их данные, клиенты облачных служб Майкрософт наглядно видят сведения, требующиеся для соблюдения любых применяющихся правил по защите информации.
- Данные клиентов не используются в целях маркетинга или рекламы без явного согласия. Некоторые поставщики облачных служб используют данные клиентов для собственных коммерческих целей, включая адресную рекламу. Так как корпорация Майкрософт приняла стандарт ISO/IEC 27018 для своих корпоративных облачных служб, клиенты могут быть уверены, что их данные никогда не будут использоваться для таких целей без явного согласия, и это согласие не может быть условием для использования облачной службы.
- Клиенты Майкрософт знают, что происходит с их личными сведениями. Стандарт ISO/IEC 27018 требует применения политики, позволяющей возвращать, передавать и безопасно удалять личные сведения в течение разумного срока. Если корпорация Майкрософт сотрудничает с другими компаниями, которым требуется доступ к данным ваших клиентов, Майкрософт заранее предоставляет сведения об этих субобработчиках.
- Корпорация Майкрософт выполняет только юридически обязывающие запросы на раскрытие данных клиентов. Если корпорация Майкрософт должна выполнить такой запрос (как в случае уголовного расследования), она всегда будет уведомлять клиента, если это не запрещено законом.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure, Azure для государственных организаций и Azure — Германия
- Azure DevOps Services
- Dynamics 365, Dynamics 365 для государственных учреждений и Dynamics 365 — Германия
- Intune
- Microsoft Defender for Cloud Apps
- Профессиональные услуги Майкрософт: Premier и локальная поддержка для Azure, Dynamics 365, Intune, а также для среднего бизнеса и корпоративных клиентов с Microsoft 365 для бизнеса
- Microsoft Graph
- Microsoft Healthcare Bot
- Компьютеры, управляемые Майкрософт
- Microsoft Threat Experts
- Microsoft Stream
- Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government Defense
- Office 365 Germany
- OMS Service Map
- Облачная служба Power Automate (прежнее название Microsoft Flow) в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
- Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
- Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
- Power BI Embedded
- Power Virtual Agents
- Microsoft Defender для конечной точки: обнаружение и нейтрализация атак на конечные точки, автоматическое исследование и исправление, оценка безопасности
- Windows 365
Azure, Dynamics 365 и ISO ISO/IEC 27018
Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure ISO/IEC 27018.
Office 365 и ISO ISO/IEC 27018
Среды Office 365
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие среды Office 365:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
Применимость | Затрагиваемые службы |
---|---|
Коммерческий сектор | Access Online, Microsoft Entra ID, Служба коммуникаций Azure, диспетчер соответствия требованиям, защищенное хранилище клиентов, Delve, Exchange Online Protection, Exchange Online, Exchange Online, Forms, Griffin, Диспетчер удостоверений, Хранилище (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка для расширенного соответствия требованиям Office 365, клиентский портал Office 365, микрослужбы Office 365 (включая, помимо прочего, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Служба заметок запросов, синхронизация школьных данных, Siphon, речь, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive для бизнеса, Planner, PowerApps, Power Automate, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype для бизнеса, Stream |
GCC | Microsoft Entra ID, Служба коммуникации Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка office 365 Advanced Compliance, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream |
GCC High | Microsoft Entra ID, Служба коммуникации Azure, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка office 365 Advanced Compliance, Office 365 Security & Центр соответствия требованиям, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса |
DoD | Microsoft Entra ID, Служба коммуникации Azure, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка office 365 Advanced Compliance, Office 365 Security & Центр соответствия требованиям, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power BI, SharePoint Online, Skype для бизнеса |
Аудит, отчеты и сертификаты Office 365
Аудит облачных и коммерческих служб технической поддержки Майкрософт выполняется раз в год на соответствие своду правил ISO/IEC 27018 в рамках процесса сертификации для ISO/IEC 27001.
Вопросы и ответы
К кому применяется ISO/IEC 27018?
Этот свод правил применяется к поставщикам облачных служб (CSP), обрабатывающим личные сведения в рамках договора для других организаций. В Майкрософт он также применяется для поддержки этих CSP.
В чем разница между "контроллерами личных сведений" и "обработчиками личных сведений"?
В контексте ISO/IEC 27018:
- "Контроллеры" управляют сбором, хранением, обработкой или использованием персональных данных; они включают те стороны, которые контролируют его от имени другой компании.
- "Обработчики" обрабатывают сведения от имени контроллеров; они не принимаются решения о том, как использовать информацию или цели обработки. При предоставлении корпоративных облачных служб (выступая в качестве поставщика по отношению к вам) корпорация Майкрософт является обработчиком сведений.
Где можно посмотреть сведения о соответствии Office 365 требованиям ISO/IEC 27018?
- Вы можете ознакомиться с сертификатами ISO/IEC 27018 от BSI (независимый аудитор, подтвердивший соответствие Майкрософт стандарту ISO/IEC 27018) для Office 365.
Можно ли использовать соответствие требованиям Майкрософт в процессе сертификации моей организации?
Да. Если соблюдение стандарта ISO/IEC 27018 важно для вашей организации и развертывания выполнены на основе любых применимых корпоративных облачных служб (Майкрософт), вы можете использовать аттестацию Майкрософт о соответствии стандарту ISO/IEC 27018 с сертификацией Майкрософт по ISO/IEC 27001 в рамках своей оценки соответствия требованиям.
Однако вы несете ответственность за привлечение оценчика для оценки вашей реализации на предмет соответствия требованиям, а также за средства управления и процессы в вашей организации.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция на портале соответствия требованиям Microsoft Purview , которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- Практический кодекс ISO/IEC 27018:2019
- Центральная инфраструктура соответствия требованиям для стандартных элементов управления (Майкрософт)
- Политики доступа к данным для корпоративных облачных и технических служб Майкрософт
- Условия использования веб-служб Майкрософт
- Облако Майкрософт для государственных организаций
- Соответствие требованиям в центре управления безопасностью Майкрософт