Меры безопасности высокого уровня согласно испанскому стандарту Esquema Nacional de Seguridad (ENS)

Обзор ENS в Испании

В 2007 г. испанское правительство приняло закон 11/2007, создавший правовое поле для предоставления гражданам электронного доступа к государственным и частным услугам. Этот закон является основой для национальной инфраструктуры безопасности (Esquema Nacional de Seguridad), управляемой Королевским указом (RD) 3/2010. Целью инфраструктуры является создание доверия при предоставлении электронных услуг, а также обеспечение доступа, целостности данных, доступности, подлинности, конфиденциальности, возможности отслеживания и сохранности данных, информации и служб.

Эта инфраструктура используется всеми общественными организациями и государственными учреждениями Испании, приобретающими облачные службы, а также поставщиками информационных и коммуникационных технологий (ICT). Она управляет реализацией этими учреждениями и компаниями эффективных элементов управления для обеспечения безопасности в облаке и локальной среде в соответствии со стандартами безопасности и защиты конфиденциальности Испании и ЕС.

Инфраструктура устанавливает основные политики и обязательные требования, которые должны соблюдаться государственными учреждениями и их поставщиками услуг. Она определяет набор конкретных элементов управления безопасностью (многие из которых непосредственно соответствуют стандарту ISO/IEC 27001) в отношении доступности, проверки подлинности, целостности, конфиденциальности и отслеживания. Конфиденциальность информации (низкая, средняя или строгая) определяет меры безопасности, которые должны применяться для ее защиты.

Каждое государственное учреждение должно применить подход к безопасности с управлением рисками, при котором выявляются и оцениваются риски с последующим применением к ним соответствующих элементов управления безопасностью. Поставщики услуг также должны соответствовать строгим требованиям инфраструктуры, чтобы обеспечивать безопасность своих процедур, технических функций и операций, а также обеспечивать соблюдение учреждениями нормативных требований.

Инфраструктура предписывает использовать процесс аккредитации, добровольный для систем, управляющих сведениями низкой конфиденциальности, но обязательный для систем, управляющих сведениями среднего или строгого уровня конфиденциальности. Аудит выполняется независимым аккредитованным аудитором. Отчет проверяется в процессе сертификации до принятия элементов управления риском на заключительном этапе аккредитации.

Майкрософт и меры безопасности высокого уровня согласно испанскому стандарту ENS

Microsoft Azure и Microsoft Office 365 прошли строгую оценку компании BDO — независимого аудитора, который опубликовал официальное подтверждение их соответствия требованиям. Она сообщает, что меры безопасности в обеих службах, а также в их информационных системах и центрах обработки данных соответствуют стандарту RD 3/2010 на высоком уровне и не требуют какой-либо коррекции. Корпорация Майкрософт стала первым поставщиком гипермасштабируемых облачных служб в Испании, получившим этот сертификат.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure
  • Office 365

Office 365 и ENS High

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Exchange Online, Exchange Online Protection, Microsoft Teams, MyAnalytics, клиентский портал Office 365, Office Online, инфраструктура служб Office, Outlook Mobile, SharePoint Online, Skype для бизнеса

Аудит, отчеты и сертификаты

Сертификат действителен в течение двух лет с ежегодным инспекционным аудитом.

Azure

Office 365

Вопросы и ответы

Как получить копии отчетов об аудите и сертификатов?

На портале Service Trust Portal отчеты об аудите и сертификаты доступны на испанском и английском языках. Ваши аудиторы могут использовать их, чтобы сравнить результаты для облачных служб Майкрософт с вашими юридическими и нормативными требованиями.

С чего начинается обеспечение соответствия требованиям в организации?

Если в вашей организации используется Azure или Office 365, вы можете использовать аккредитацию и отчеты об аудите Майкрософт ENS в рамках собственного процесса аккредитации. Однако вы несете ответственность за привлечение аудитора для оценки мер по соответствию требованиям, а также за соответствие средств управления и процессов в организации инфраструктуре.

Ресурсы