План обеспечения соответствия GDPR для Microsoft 365: основные приоритеты на первые 30, 90 и больше дней

В этой статье приводится план действий в порядке приоритета, который поможет вам обеспечить соответствие требованиям Общего регламента по защите данных (GDPR). Этот план действий был разработан совместно с Protiviti, партнером Майкрософт, специализирующимся на обеспечении соответствия требованиям нормативных документов.

GDPR обязывает компании, государственные учреждения, некоммерческие и другие организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила. GDPR действует независимо от того, где находитесь вы или ваше предприятие.

Результаты выполнения плана действий

Эти рекомендации разделены в соответствии с тремя этапами в логической последовательности, результаты выполнения каждого из них указаны ниже.

Этап Результаты
30 дней Ознакомьтесь с требованиями GDPR и рассмотрите возможность обращения к партнеру Майкрософт по консультациям касательно GDPR.
* Оцените свою готовность и получите рекомендации по дальнейшим действиям.
* В сотрудничестве с партнером Майкрософт по консультациям касательно GDPR установите внутренние правила реагирования на запросы субъектов данных (DSR), проанализируйте недочеты в соответствии вашей организации требованиям GDPR и определите план обеспечения соответствия.

Начните определять типы хранящихся у вас персональных данных и их расположение, чтобы выполнять запросы субъектов данных.
* Используйте средство "Поиск контента" и обнаружение электронных данных в центрах безопасности и соответствия требованиям, чтобы находить в организации персональные данные.
* При работе с большими объемами контента используйте службу Advanced eDiscovery, основанную на технологиях машинного обучения, чтобы эффективнее и точнее искать контент.
90 дней Начните внедрять нормативные требования с помощью включенных в Microsoft 365 возможностей управления данными и обеспечения соответствия.
* Оцените риски, связанные с соответствием требованиям, и управляйте такими рисками с помощью диспетчера соответствия требованиям (Майкрософт).
* Помогите пользователям выявлять и классифицировать персональные данные, соответствующие определениям из GDPR.

Используйте возможности защиты в Microsoft 365, чтобы предотвратить нарушения безопасности и реализовать защиту персональных данных.
* Защитите учетные записи администраторов и пользователей.
* Защититесь от вредоносного кода, предотвращайте нарушения безопасности данных и реализуйте средства защиты от них.
* Ведите журнал аудита, чтобы выявлять потенциально опасные действия и проводить экспертный анализ нарушений безопасности данных.
* Используйте политики защиты от потери данных (DLP), чтобы обнаруживать и защищать конфиденциальные данные.
* Защититесь от наиболее распространенных видов атак, в том числе фишинговых писем и документов Office, содержащих вредоносные ссылки и вложения.
Более 90 дней Используйте расширенные средства управления данными и их защиты в Microsoft 365, чтобы реализовать программы непрерывного управления персональными данными.
* Автоматически выявляйте персональные данные в документах и электронных письмах.
* Защитите персональные данные на всех устройствах в организации и обеспечьте использование соответствующих корпоративных устройств для доступа к конфиденциальным данным.
* Обеспечьте хранение и использование конфиденциальных персональных данных в соответствии с корпоративными политиками.
* Реализуйте политики хранения данных, чтобы персональные данные хранились ровно столько, сколько необходимо.

Непрерывно отслеживайте соответствие требованиям в Microsoft 365 и других облачных приложениях. Учитывайте требования к месту расположения персональных данных резидентов ЕС.
* Отслеживайте использование облачных приложений и реализуйте расширенные политики оповещения в своей организации.
* Учитывайте требования к месту расположения данных для единой международной организации.

30 дней: быстрые и эффективные решения

Это быстрые и эффективные задачи, которые почти не влияют на пользователей.

Область Tasks
Ознакомьтесь с требованиями GDPR и рассмотрите возможность обращения к партнеру Майкрософт по консультациям касательно GDPR. * Оценивайте и контролируйте риски несоответствия с помощью диспетчера соответствия требованиям (Майкрософт) в Центре соответствия требованиям Microsoft 365, чтобы провести оценку соблюдения GDPR в вашей организации.
* В сотрудничестве с вашим партнером Майкрософт по консультациям касательно GDPR установите внутренние правила реагирования на запросы субъектов данных (DSR) и исключения из DSR.
* В сотрудничестве с вашим партнером Майкрософт по консультациям касательно GDPR проанализируйте недочеты соответствия требованиям GDPR в вашей организации и составьте план обеспечения полного соблюдения GDPR.
* Научитесь использовать информационную панель GDPR и возможности управления запросами субъектов данных в Центре соответствия требованиям Microsoft 365.
Начните определять типы хранящихся у вас персональных данных и их расположение, чтобы выполнять запросы субъектов данных. * Используйте средство Поиск контента и дела обнаружения электронных данных для удобного поиска по почтовым ящикам, общедоступным папкам, группам Microsoft 365, Microsoft Teams, сайтам SharePoint Online, сайтам One Drive для бизнеса и беседам через Skype для бизнеса. Узнайте, как использовать типы конфиденциальной информации для поиска персональных данных граждан ЕС.
* При работе с большими объемами контента определяйте документы, имеющие отношение к определенной теме (например, расследованию соответствия требованиям), за меньшее время и с большей точностью, чем при традиционном поиске по ключевым словам, используя службу Advanced eDiscovery, основанную на технологиях машинного обучения.
* Заранее просматривайте результаты поиска, получайте статистику ключевых слов для одной или нескольких операций поиска, массово редактируйте операции поиска контента и экспортируйте результаты с помощью Центра безопасности и соответствия требованиям.&

90 дней — расширенное соответствие требованиям

Планирование и реализация этих задач занимают немного больше времени, но могут повысит общую эффективность ваших усилий по соответствию требованиям GDPR.

Область Tasks
Начните внедрять нормативные требования с помощью включенных в Microsoft 365 возможностей управления данными и обеспечения соответствия. • Контролируйте соблюдение GDPR с помощью диспетчера соответствия требованиям (Майкрософт) в Центре соответствия требованиям Microsoft 365.
* Помогите пользователям выявлять и классифицировать персональные данные, соответствующие определениям из GDPR, используя схему классификации и соответствующие метки Office 365 для электронной почты Exchange, сайтов SharePoint, сайтов OneDrive для бизнеса и групп Microsoft 365. См. статью Защита информации в соответствии с регламентом GDPR.
Используйте возможности защиты в Microsoft 365, чтобы предотвратить нарушения безопасности и реализовать защиту персональных данных. * Усовершенствуйте проверку подлинности администраторов и пользователей в Microsoft Cloud, включив многофакторную проверку подлинности для всех учетных записей пользователей и современную проверку подлинности для всех приложений. Рекомендуемая конфигурация политик представлена в статье Конфигурации доступа для удостоверений и устройств.
* Разверните Microsoft Defender для конечной точки на всех настольных компьютерах, чтобы обеспечить защиту от вредоносного кода, предотвращать нарушения безопасности данных и реагировать на них.
* Включите ведение журнала аудита и аудит почтовых ящиков для всех почтовых ящиков Exchange, чтобы выявлять потенциально опасную деятельность и проводить экспертный анализ нарушений безопасности данных.
* Настройте, протестируйте и разверните политики защиты от потери данных (DLP), чтобы выявлять, отслеживать и автоматически защищать конфиденциальные данные более чем 80 распространенных типов в документах и электронных письмах, в том числе финансовые, медицинские и личные сведения.
* Внедрите решения Безопасности Office 365, чтобы защититься от наиболее распространенных векторов атаки, в том числе фишинговых писем и документов Office, содержащих вредоносные ссылки и вложения.

Более 90 дней — непрерывная конфиденциальность, управление данными и создание отчетов

Это важные меры обеспечения конфиденциальности, основанные на предыдущих наработках.

Область Tasks
Используйте расширенные средства управления данными и их защиты в Microsoft 365, чтобы реализовать программы непрерывного управления персональными данными. * Используйте метки конфиденциальности, чтобы выявлять персональные данные в документах и электронных письмах.
* Защитите персональные данные на всех устройствах в организации, развернув Microsoft Intune.
* Реализуйте политики условного доступа AAD с Microsoft Intune, чтобы обеспечить хранение конфиденциальных персональных данных и доступ к ним в соответствии с корпоративными политиками. Рекомендуемая конфигурация политик представлена в статье Конфигурации доступа для удостоверений и устройств.
* Реализуйте политики хранения данных с помощью меток конфиденциальности, управление информацией (Майкрософт) и политики хранения, чтобы хранить персональные данные в вашей юрисдикции ровно столько, сколько нужно.
Непрерывно отслеживайте соответствие требованиям в Microsoft 365 и других облачных приложениях. Учитывайте требования к месту расположения персональных данных резидентов ЕС. * Используйте отчеты защиты от потери данных и Microsoft Cloud App Security, чтобы отслеживать использование облачных приложений и реализовать расширенные политики оповещения, основанные на эвристическом анализе и действиях пользователей.
* Обеспечьте соответствие организационным, региональным и местным требованиям к месту расположения данных для единой международной организации. Воспользуйтесь для этого обеспечиваемой корпорацией Майкрософт поддержкой нескольких регионов для почтовых ящиков Exchange Online, сайтов OneDrive для бизнеса и сайтов SharePoint Online.

Подробнее