Контрольный список готовности к подотчетности для службы поддержки Майкрософт и профессиональных услуг в рамках GDPR
1. Введение
Этот контрольный список готовности к отчетности предоставляет удобный способ доступа к информации, которая может потребоваться для поддержки GDPR при использовании профессиональных служб и служб поддержки Майкрософт. Контрольный список организован с помощью заголовков и ссылочного номера (в скобках для каждой статьи контрольного списка) набора элементов управления конфиденциальностью и безопасностью для обработчиков персональных данных, полученных из:
- ISO/IEC 27701 — требования, относящиеся к управлению конфиденциальностью.
- ISO/IEC 27001 — требования, относящиеся к методам обеспечения безопасности.
Такая структура контроля также применяется для упорядочения презентации внутренних средств контроля, реализованных в Профессиональных услугах Майкрософт для выполнения требований GDPR. Их можно скачать на портале Service Trust Portal.
2. Условия сбора и обработки
| Категория | Рекомендация клиенту | Сопроводительная документация Майкрософт | Затрагиваемые статьи GDPR |
|---|---|---|---|
| Определение и документирование цели (7.2.1) | Клиент должен задокументировать цель обработки персональных данных. | Описание обработки, которую выполняет для вас корпорация Майкрософт, и ее целей, которые могут быть включены в вашу отчетную документацию. — Добавление к защите данных о продуктах и службах Майкрософт [1] |
(5)(1)(b), (32)(4) |
| Определение законного основания (7.2.2) | Клиенту следует изучить все требования, связанные с законным основанием обработки (например, те, которые касаются предоставления предварительного согласия). | Описание обработки персональных данных службами Майкрософт для включения в вашу отчетную документацию. — Ключевая информация из оценок влияния на защиту данных в профессиональных службах Майкрософт [9] |
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
| Определение времени получения согласия (7.2.3) | Клиент должен понимать юридические или нормативные требования для получения согласия от физических лиц перед обработкой персональных данных (когда это необходимо, если тип обработки исключен из требования и т. д.), включая способ сбора согласия. | Профессиональные службы Майкрософт не предоставляют прямую поддержку для получения согласия пользователя. | (6)(1)(a), (8)(1), (8)(2) |
| Получение и запись согласия (7.2.4) | Когда он будет определен как обязательный, клиент должен соответствующим образом получить согласие. Клиент также должен знать о любых требованиях к представлению и сбору запроса на согласие. | Профессиональные службы Майкрософт не предоставляют прямую поддержку для получения согласия пользователя. | (7)(1), (7)(2), (9)(2)(a) |
| Оценка влияния на конфиденциальность (7.2.5) | Клиент должен знать о требованиях в отношении оценки влияния на конфиденциальность (когда проводить оценку, данные каких категорий ее требуют, в какое время должна быть проведена оценка). | Профессиональные службы Майкрософт предоставляют рекомендации касательно того, когда и как выполнять оценку влияния на защиту данных (DPIA), а также обзор программы DPIA в корпорации Майкрософт, включая привлечение ответственного за защиту данных. Эти сведения представлены на странице оценки влияния на защиту данных (DPIA) портала Service Trust Portal. Поддержка по оценкам влияния на защиту данных: |
Статья (35) |
| Контракты с обработчиками личных сведений (7.2.6) | Клиент должен убедиться, что его контракты с обработчиками включают требования, подразумевающие помощь в выполнении любых соответствующих юридических или нормативных обязательств, связанных с обработкой и защитой персональных данных. | Корпорация Майкрософт заключает контракты, обязывающие ее помогать вам выполнять обязательства согласно GDPR, включая соблюдение прав субъекта данных. — Добавление к защите данных о продуктах и службах Майкрософт [1] |
(5)(2), (28)(3)(e), (28)(9) |
| Записи, связанные с обработкой личных сведений (7.2.7) | Клиент должен вести все необходимые записи, связанные с обработкой персональных данных (например, указывать цель, меры безопасности и т. д.). Если некоторые из записей должны быть предоставлены субобработчиком, клиент должен обеспечить получение таких записей. | В Профессиональных услугах Майкрософт ведутся записи, необходимые для демонстрации соответствия требованиям и поддержки подотчетности согласно GDPR. См. документацию по безопасности Профессиональных услуг Майкрософт [2] | (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Права субъектов данных
| Категория | Рекомендация клиенту | Сопроводительная документация Майкрософт | Затрагиваемые статьи GDPR |
|---|---|---|---|
| Определение прав субъектов личных сведений и обеспечение их реализации (7.3.1) | Клиент должен понимать требования в отношении прав физических лиц при обработке персональных данных. Такие права включают право на доступ, исправление и стирание данных. Если клиент использует систему стороннего производителя, ему нужно определить, какие компоненты системы (если таковые имеются) содержат инструменты, позволяющие физическим лицам реализовать свои права (например, для доступа к данным). Если система поддерживает такие возможности, клиенту следует использовать их по мере необходимости. | Возможности, которые предоставляет Майкрософт для обеспечения соблюдения прав субъектов данных. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] |
(12)(2) |
| Определение информации для субъектов личных сведений, или субъектов данных (7.3.2) | Клиент должен понимать требования к типам информации об обработке персональных данных, которые должны быть доступны для предоставления физическому лицу. Это может быть следующее: • контактные данные управляющего данными или его представителя; • сведения об обработке (о целях, международной передаче и связанных с ней мерах безопасности, периоде хранения и т. д.); • сведения о том, как субъект может получить доступ к своим персональным данным или изменить их, запросить стирание данных или ограничение обработки, получить копию своих персональных данных, а также сведения о переносимости персональных данных; • сведения о том, как и откуда получены персональные данные (если они не получены непосредственно от субъекта); • сведения о праве на подачу жалобы, а также о том, куда ее нужно подавать; • сведения о внесении исправлений в персональные данные; • уведомление о том, что организация больше не вправе идентифицировать субъекта данных, или субъекта личных сведений (в тех случаях, когда обработка больше не требует идентификации субъекта данных); • сведения о случаях передачи или разглашения персональных данных; • сведения о наличии автоматического принятия решений, основанного исключительно на автоматической обработке персональных данных; • сведения о периодичности, с которой информация обновляется и предоставляется субъекту данных (например, по принципу "точно в срок" или с периодичностью, установленной организацией). Если клиент пользуется сторонними системами или услугами сторонних обработчиков, он должен определить, какие из указанных сведений нужно предоставлять, а также убедиться в возможности получения требуемых сведений от сторонних организаций. |
Информация о службах Майкрософт, которую вы можете включить в данные, предоставляемые субъектам данных. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Предоставление информации субъектам личных сведений (7.3.3) | Клиент должен соблюдать требования в отношении того, как, когда и в какой форме следует предоставлять физическим лицам необходимую информацию, связанную с обработкой их персональных данных. В случаях, когда сторонняя организация может предоставить необходимую информацию, клиент должен убедиться в том, что это не нарушает требований GDPR. | Шаблонная информация о профессиональных службах Майкрософт, которую вы можете включить в данные, предоставляемые субъектам данных. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Предоставление механизма для изменения или отзыва согласия (7.3.4) | Клиент должен понимать требования к информированию пользователей об их праве на доступ, исправление и (или) удаление своих персональных данных, а также для предоставления механизма, для которого они должны сделать это. Если используется сторонняя система и предоставляет этот механизм в рамках своей функциональности, клиент должен использовать эту функцию по мере необходимости. | Информация о возможностях служб Майкрософт, которые помогают определить информацию, предоставляемую субъектам данных во время запрашивания согласия. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Указание способа возражения против обработки (7.3.5) | Клиент должен понимать требования, предъявляемые к правам субъектов данных. Если физическое лицо имеет право возражать против обработки, клиент должен сообщить ему об этом и предоставить ему возможность зарегистрировать свое возражение. | Информация о службах Майкрософт, связанная с возражением против обработки данных, которую вы можете включить в данные, предоставляемые субъектам данных. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Совместная реализация прав субъектов данных (7.3.6) | Клиент должен понимать требования в отношении уведомления третьих лиц, которым были предоставлены персональные данные, об экземплярах измененных данных на основе осуществления прав физических лиц (например, если физическое лицо подает запрос на стирание, изменение и т. д.). | Информация о возможностях служб Майкрософт, позволяющих обнаруживать персональные данные, которые вы предоставили третьим лицам. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] |
(19) |
| Исправление или стирание (7.3.7) | Клиент должен понимать требования к информированию пользователей об их праве на доступ, исправление и (или) удаление своих персональных данных, а также для предоставления механизма, для которого они должны сделать это. Если используется сторонняя система и предоставляет этот механизм в рамках своей функциональности, клиент должен использовать эту функцию по мере необходимости. | Сведения о службах Майкрософт, касающиеся возможности доступа, исправления или стирания персональных данных, которые вы можете включить в информацию, предоставляемую субъектам данных. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] |
|
| Предоставление копии обработанных личных сведений (7.3.8) | Клиент должен понимать требования, связанные с предоставлением физическому лицу копии обрабатываемых персональных данных. К ним могут относиться требования к формату копии (т. е. ее машиночитаемой), передаче копии и т. д. Если клиент использует стороннюю систему, которая предоставляет функциональные возможности для предоставления копий, он должен использовать эту функцию при необходимости. | Сведения о возможностях служб Майкрософт, позволяющих получить копию персональных данных, которую вы можете включить в данные, предоставляемые субъектам данных.- Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] | (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Управление запросами (7.3.9) | Клиент должен понимать требования к принятию и реагированию на законные запросы от физических лиц, связанные с обработкой их персональных данных. Если клиент использует стороннюю систему, он должен понимать, предоставляет ли эта система возможности для такой обработки запросов. В этом случае клиент должен использовать такие механизмы для обработки запросов по мере необходимости. | Информация о возможностях служб Майкрософт, которые можно использовать при определении информации, предоставляемой субъектам данных при управлении запросами субъектов данных.- Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] | (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h) |
| Автоматическое принятие решений (7.3.10) | Клиент должен понимать требования, предъявляемые к автоматизированной обработке персональных данных, а также о том, какие решения принимает такая автоматизация. Это может быть предоставление информации об обработке физическому лицу, возражение против такой обработки или вмешательство человека. Если такие функции поддерживаются сторонней системой, клиент должен обеспечить предоставление сторонней организацией всей требуемой информации или поддержки. | Информация обо всех возможностях служб Майкрософт, которые могут поддерживать автоматизированное принятие решений и которые можно использовать в отчетной документации, а также шаблонная информация для субъектов данных о таких возможностях. - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Конфиденциальность, предусмотренная по умолчанию
| Категория | Рекомендация клиенту | Сопроводительная документация Майкрософт | Затрагиваемые статьи GDPR |
|---|---|---|---|
| Ограничение сбора (7.4.1) | Клиент должен понимать требования в отношении ограничений сбора персональных данных (например, что сбор нужно ограничить только необходимым для указанной цели). | Описание данных, собранных службами Майкрософт. — Добавление к защите данных о продуктах и службах Майкрософт [1] - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9]] |
(5)(1)(b), (5)(1)(c) |
| Ограничение обработки (7.4.2) | Клиент несет ответственность за ограничение обработки персональных данных, чтобы она ограничивалась тем, что подходит для указанной цели. | Описание данных, собранных службами Майкрософт. — Добавление к защите данных о продуктах и службах Майкрософт [1] - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
(25)(2) |
| Определение и документирование целей обезличивания и минимизации личных сведений (7.4.3) | Клиент должен понимать требования в отношении обезличивания персональных данных (что оно предусматривает, когда его следует использовать, до какой степени проводить обезличивание и в каких случаях его нельзя применять). | Клиент несет ответственность за отмену идентификации перед передачей данных в корпорацию Майкрософт. Майкрософт применяет обезличивание и псевдонимизацию внутри компании для дополнительной защиты персональных данных. | (5)(1)(c) |
| Соблюдение уровней идентификации (7.4.4) | Клиенту следует использовать и соблюдать цели и методы обезличивания, установленные в его организации. | Клиент несет ответственность за отмену идентификации перед передачей данных в корпорацию Майкрософт. Майкрософт применяет обезличивание и псевдонимизацию внутри компании для дополнительной защиты персональных данных. | (5)(1)(c) |
| Обезличивание и удаление личных сведений (7.4.5) | Клиент должен понимать требования, предъявляемые к хранению персональных данных после их использования в указанных целях. Если средства предоставляются системой, клиент должен использовать эти средства для удаления или удаления по мере необходимости. | Возможности, предоставляемые службами Майкрософт для поддержки ваших политик хранения данных. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| Временные файлы (7.4.6) | Клиент должен знать, какие временные файлы могут отправляться в корпорацию Майкрософт, приводя к несоблюдению политик касательно обработки персональных данных (например, персональные данные могут храниться во временном файле дольше, чем требуется или разрешается). | Описание возможностей, предоставляемых службой для идентификации персональных данных с целью поддержки политик в отношении временных файлов. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] |
(5)(1)(c) |
| Хранение (7.4.7) | Клиент должен определить, в течение какого времени следует хранить персональные данные, учитывая указанные цели. | Информация о хранении персональных данных службами Майкрософт, которую вы можете включить в документацию, предоставляемую субъектам данных. - Приложение о защите данных в профессиональных службах Майкрософт [1] |
(13)(2)(a), (14)(2)(a) |
| Уничтожение (7.4.8) | Клиент должен использовать механизмы удаления или уничтожения, предоставляемые системой, для удаления персональных данных. | Возможности, предоставляемые службами Майкрософт для поддержки политик удаления данных. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] |
(5)(1)(f) |
| Процедуры сбора (7.4.9) | Клиент должен знать о требованиях в отношении точности персональных данных (например, точности при сборе данных, поддержании их актуальности и т. д.), и использовать любые механизмы, предусмотренные для этого в системе. | Сведения о том, как службы Майкрософт поддерживают точность персональных данных и какие возможности они предоставляют для поддержки политики в отношении точности данных. - Запросы субъектов данных из профессиональных служб Майкрософт, определенные в GDPR и CCPA [7] |
(5)(1)(d) |
| Контрольные точки передачи (7.4.10) | Клиент должен понимать требования в отношении защиты передачи персональных данных (в частности, кто может получать доступ к механизмам передачи, как следует записывать передачу и т. д). | Описание типов персональных данных, которые передаются службами Майкрософт, и расположений, между которыми они передаются, а также правовых мер безопасности в отношении передачи. - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Определение основы для передачи личных данных (7.5.1) | Клиент должен знать о требованиях к передаче персональных данных в различные географические регионы и документировать меры, принятые для выполнения таких требований. | Описание типов персональных данных, которые передаются службами Майкрософт, и расположений, между которыми они передаются, а также правовых мер безопасности в отношении передачи. - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
Статьи (44), (45), (46), (47), (48) и (49) |
| Страны и организации, в которые можно передавать личные сведения (7.5.2) | Клиент должен понимать и быть в состоянии предоставить физическому лицу, страны, в которые передаются персональные данные. Если третья сторона или обработчик может выполнить эту передачу, клиент должен получить эту информацию от обработчика. | Описание типов персональных данных, которые передаются службами Майкрософт, и расположений, между которыми они передаются, а также правовых мер безопасности в отношении передачи. - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
(30)(1)(e) |
| Записи о передаче персональных данных (7.5.3) | Клиент должен вести все необходимые и необходимые записи, связанные с передачей персональных данных. Если передача выполняется сторонним или обработчиком, клиент должен обеспечить ведение соответствующих записей и их получение по мере необходимости. | Описание типов персональных данных, которые передаются службами Майкрософт, и расположений, между которыми они передаются, а также правовых мер безопасности в отношении передачи. - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
(30)(1)(e) |
| Записи о разглашении личных сведений третьим лицам (7.5.4) | Клиент должен понимать требования к записи, которым были раскрыты персональные данные. Это может включать раскрытие информации для правоохранительных органов и т. д. Если сторонняя сторона или обработчик раскрывает данные, клиент должен убедиться, что они ведут соответствующие записи и получают их по мере необходимости. | Документация, предоставляемая о категориях получателей разглашенных персональных данных, включая имеющиеся записи о разглашении. - Сведения о том, кто может получить доступ к данным и при каких условиях [6] |
(30)(1)(d) |
| Совместное выполнение обязанностей управляющего (7.5.5) | Клиент должен определить, делит ли он обязанности управляющим с какой-либо другой организацией, а также соответствующим образом задокументировать и распределить обязанности. | Корпорация Майкрософт не является совместным контролером персональных данных, предоставляемых в рамках поддержки и данных профессиональных служб. | (26)(1), (26)(2), (26)(3) |
5. Защита и безопасность данных
| Категория | Рекомендация клиенту | Сопроводительная документация Майкрософт | Затрагиваемые статьи GDPR |
|---|---|---|---|
| Общие сведения об организации и ее контексте (5.2.1) | Клиентам необходимо определить свою роль в обработке персональных данных (например, обработчик, один из управляющих или единственный управляющий), чтобы определить соответствующие требования (нормативные и т. д.) для обработки персональных данных. | Сведения о том, как корпорация Майкрософт рассматривает каждую службу либо как обработчика, либо как управляющего при обработке персональных данных. — Добавление к защите данных о продуктах и службах Майкрософт [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Общие сведения о потребностях и ожиданиях заинтересованных сторон (5.2.2) | Клиенты должны определить стороны, которые могут участвовать или быть заинтересованы в обработке персональных данных (например, регуляторов, аудиторов, субъектов данных и обработчиков персональных данных по договору), а также знать требования для привлечения таких сторон. | Сведения о том, как Майкрософт учитывает мнения всех заинтересованных лиц при рассмотрении рисков, связанных с обработкой персональных данных. - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Определение сферы применения для системы управления информационной безопасностью (5.2.3, 5.2.4) | В любую общую программу безопасности и конфиденциальности, которая может быть у клиента, клиент должен включить обработку персональных данных и связанные с ней требования. | Сведения о том, как службы Майкрософт включают обработку персональных данных в программы управления информационной безопасностью и конфиденциальностью данных. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Отчет об аудите ISO 27001 [10] |
(32)(2) |
| Планирование (5.3) | Клиент должен рассматривать обработку персональных данных в рамках любой оценки риска, которую он проводит, и применять меры защиты, которые считает нужными для смягчения риска, связанного с управляемыми им персональными данными. | Сведения о том, как службы Майкрософт учитывают риски, связанные с обработкой персональных данных, в рамках общей программы безопасности и конфиденциальности. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] |
(32)(1)(b), (32)(2) |
| Политики информационной безопасности (6.2) | Клиент должен усилить существующие политики безопасности информации, добавив защиту персональных данных и политики, необходимые для соответствия требованиям применимого законодательства. | Политики Майкрософт в отношении информационной безопасности и конкретные меры для защиты персональных данных. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Отчет об аудите ISO 27001 [10] |
24(2) |
| Рекомендация клиенту в отношении организации информационной безопасности (6.3) | Клиент должен определить в своей организации, кто несет ответственность за безопасность и защиту персональных данных. Это может включать создание специальных ролей для контроля вопросов, связанных с конфиденциальностью, в том числе DPO. Для поддержки таких ролей необходимо предоставить соответствующее обучение и содействие в управлении. | Корпорация Майкрософт опубликовала сведения о специалисте по защите данных Майкрософт, характере его обязанностей, структуре отчетности и контактных данных. – Сведения об ответственном за защиту данных в Майкрософт [13] |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Безопасность кадрового состава (6.4) | Клиент должен определить и назначить ответственных за проведение соответствующего обучения, связанного с защитой персональных данных. | Общие сведения о роли сотрудника корпорации Майкрософт по защите данных, характере его обязанностей, структуре отчетов и контактных данных. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Описание программы обучения и осведомленности [3] |
(39)(1)(b) |
| Классификация информации (6.5.1) | Клиент должен явным образом включить персональные данные в схему классификации данных. | Как Майкрософт рассматривает персональные данные в системе данных, информация о добавлении тегов и отслеживании. - Ключевая информация из профессиональных служб Майкрософт об оценках влияния на защиту данных клиентов [9] |
(39)(1)(b) |
| Управление съемными носителями (6.5.2) | Клиент должен определить внутренние политики по использованию съемных носителей, поскольку это связано с защитой персональных данных (например, шифрующие устройства). | Как службы Майкрософт обеспечивают безопасность личной информации на всех съемных носителях. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Набор правил для профессиональных служб Майкрософт [4] |
(32)(1)(a), (5)(1)(f) |
| Передача физических носителей (6.5.3) | Клиент должен определить внутренние политики для защиты персональных данных при передаче физического носителя (например, шифрование). | Сведения о том, как службы Майкрософт защищают персональные данные во время передачи физического носителя. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Набор правил для профессиональных служб Майкрософт [4] |
(32)(1)(a), (5)(1)(f) |
| Управление доступом пользователей (6.6.1) | Клиент должен знать о своих обязанностях, связанных с управлением доступом в пределах используемой им службы, и управлять такими обязанностями соответствующим образом, используя доступные ему инструменты. | Инструменты в службах Майкрософт, которые помогают управлять доступом. - Документация по безопасности профессиональных служб Майкрософт [2] |
(5)(1)(f) |
| Регистрация и отмена регистрации пользователей (6.6.2) | Клиент должен управлять регистрацией и отменой регистрации пользователей в службах, используя доступные ему инструменты. | Инструменты в службах Майкрософт, которые помогают управлять доступом. - Документация по безопасности профессиональных служб Майкрософт [2] |
(5)(1)(f) |
| Подготовка доступа для пользователя (6.6.3) | Клиент должен управлять профилями пользователей, особенно для авторизованного доступа к персональным данным, в службе, используя доступные ему инструменты. | Сведения о том, как службы Майкрософт поддерживают формальное управление доступом к персональным данным, включая ИД пользователей, роли, а также регистрацию и отмену регистрации пользователей. - Документация по безопасности профессиональных служб Майкрософт [2] |
(5)(1)(f) |
| Управление привилегированным доступом (6.6.4) | Клиент должен управлять идентификаторами пользователей для упрощения отслеживания доступа (особенно к персональным данным) в службе, используя доступные ему инструменты. | Сведения о том, как службы Майкрософт поддерживают формальное управление доступом к персональным данным, включая ИД пользователей, роли, а также регистрацию и отмену регистрации пользователей. - Документация по безопасности профессиональных служб Майкрософт [2] |
(5)(1)(f) |
| Процедуры безопасного входа (6.6.5) | Клиент должен использовать предусмотренные в службе механизмы, чтобы обеспечить возможности безопасного входа в систему для пользователей. | Сведения о том, как службы Майкрософт поддерживают внутренние политики управления доступом, связанные с персональными данными. - Сведения о том, кто может получить доступ к данным и при каких условиях [6]. |
(5)(1)(f) |
| Криптография (6.7) | Клиент должен определить, какие данные может потребоваться зашифровать, и предоставляет ли эта возможность служба, которую он использует. Клиент должен использовать шифрование по мере необходимости, используя доступные ему средства. | Сведения о том, как службы Майкрософт поддерживают шифрование и псевдонимизацию для снижения риска при обработке персональных данных. - Документация по безопасности профессиональных служб Майкрософт [2] |
(32)(1)(a) |
| Безопасная утилизация или повторное использование оборудования (6.8.1) | Если клиент использует службы облачных вычислений (PaaS, SaaS, IaaS), он должен понимать, как поставщик облачных служб гарантирует, что персональные данные будут стерты из места хранения, прежде чем назначать это место другому пользователю. | Сведения о том, как профессиональные службы Майкрософт обеспечивают стирание персональных данных с оборудования для хранения до его передачи или повторного введения в эксплуатацию при использовании служб облачных вычислений Microsoft Azure в ходе оказания профессиональных услуг. - Документация по безопасности профессиональных служб Майкрософт [2] |
(5)(1)(f) |
| Политика чистого стола и чистого экрана (6.8.2) | Клиент должен учитывать риски, связанные с печатными копиями персональных данных, и по возможности ограничивать создание таких копий. Если используемая система позволяет применить такие ограничения (например, в настройках можно запретить печать либо копирование и вставку конфиденциальных данных), клиент должен рассмотреть необходимость использования таких возможностей. | Сведения о том, что Майкрософт реализует для управления копиями на бумаге или носителе. - Корпорация Майкрософт реализует эти средства контроля внутри компании. См. положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Набор правил для профессиональных служб Майкрософт, определенных в GDPR [4] |
(5)(1)(f) |
| Разделение сред разработки, тестирования и производства (6.9.1) | Клиент должен учитывать сложности использования персональных данных в средах разработки и тестирования своей организации. | Сведения о том, как Майкрософт обеспечивает защиту персональных данных в средах разработки и тестирования. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Набор правил для профессиональных служб Майкрософт [4] |
(5)(1)(f) |
| Резервное копирование информации (6.9.2) | Клиент должен использовать системные возможности для создания резервных копий данных и их тестирования в случае необходимости. | Сведения о том, как Майкрософт обеспечивает доступность данных, которые могут включать персональные данные, как обеспечивается точность восстановленных данных и какие инструменты и процедуры в службах Майкрософт позволяют выполнять резервное копирование и восстановление данных. - Документация по обеспечению непрерывной деятельности предприятия, предоставляемая корпорацией Майкрософт [5] |
(32)(1)(c), (5)(1)(f) |
| Ведение журнала событий (6.9.3) | Клиент должен понимать возможности ведения журнала, предусмотренные системой, и использовать их для регистрации действий, связанных с персональными данными, в случаях необходимости. | Данные, которые записывает для вас служба Майкрософт, в том числе о действиях пользователей, исключениях, сбоях и событиях информационной безопасности, а также способ получения доступа к этим журналам для использования в рамках ведения учета. - Документация по безопасности профессиональных служб Майкрософт [2] - Набор правил для профессиональных служб Майкрософт [4] |
(5)(1)(f) |
| Защита информации журнала (6.9.4) | Клиент должен учитывать требования к защите сведений журнала, которые могут содержать персональные данные или записи, связанные с обработкой персональных данных. Если используемая система предоставляет возможности для защиты журналов, клиент должен использовать эти возможности при необходимости. | Сведения о том, как Майкрософт защищает журналы, которые могут содержать персональные данные. - Документация по безопасности профессиональных служб Майкрософт [2] - Набор правил для профессиональных служб Майкрософт [4] |
(5)(1)(f) |
| Политики и процедуры передачи информации (6.10) | Клиент должен иметь процедуры для случаев, когда персональные данные могут быть переданы на физический носитель (например, жесткий диск, перемещаемый между серверами или помещениями). К ним могут относиться журналы, авторизация и отслеживание. Если сторонний или другой обработчик может передавать физические носители, клиент должен убедиться, что организация имеет процедуры для обеспечения безопасности персональных данных. | Сведения о том, как службы Майкрософт передают физические носители, которые могут содержать персональные данные, в том числе об обстоятельствах такой передачи, а также о принимаемых мерах по защите данных. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Набор правил для профессиональных служб Майкрософт [4] |
(5)(1)(f) |
| Соглашения о конфиденциальности или неразглашении (6.10.2) | Клиент должен определить необходимость в соглашениях о неразглашении или эквиваленте для физических лиц, у которых есть доступ к персональным данным или связанные с ними обязанности. | Сведения о том, как службы Майкрософт обеспечивают соблюдение конфиденциальности физическими лицами с авторизованным доступом к персональным данным. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Набор правил для профессиональных служб Майкрософт [4] |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Защита служб приложений в общедоступных сетях (6.11.1) | Клиент должен понимать требования к шифрованию персональных данных, особенно при отправке через общедоступные сети. Если система предоставляет механизмы для шифрования данных, клиент должен использовать эти механизмы при необходимости. | Описания мер, принимаемых службами Майкрософт для защиты передаваемых данных, включая шифрование данных, а также предусмотренные в службах Майкрософт способы защиты данных, которые могут содержать персональные данные и проходят через общедоступные сети. К таким способам относится, в частности, шифрование. - Документация по безопасности профессиональных служб Майкрософт [2] |
(5)(1)(f), (32)(1)(a) |
| Принципы проектирования защищенной системы (6.11.2) | Клиент должен понимать, как разрабатываются и проектируются системы с учетом защиты персональных данных. Если клиент использует систему, разработанную третьим лицом, он обязан убедиться, что такая защита учтена. | Сведения о том, как службы Майкрософт обеспечивают применение принципов защиты персональных данных при разработке и проектировании. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ профессиональных служб Майкрософт [11] - Что такое жизненный цикл разработки системы безопасности? |
(25)(1) |
| Отношения с поставщиками (6.12) | Клиент должен обеспечить указание требований в отношении информационной безопасности и защиты персональных данных, входящих в обязанности третьего лица, в договоре или других соглашениях. В соглашениях должны также быть указаны инструкции по обработке. | Сведения о том, как службы Майкрософт обеспечивают выполнение требований безопасности и защиты данных, указанных в наших соглашениях с поставщиками, и о том, как мы обеспечиваем эффективную реализацию таких соглашений. - Сведения о том, кто может получить доступ к данным и при каких условиях [6] |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h), (30)(2)(d), (32)(1)(b) |
| Управление инцидентами информационной безопасности и улучшения (6.13.1) | У клиента должны быть предусмотрены процессы, с помощью которых можно определять нарушение безопасности персональных данных. | Сведения о том, как службы Майкрософт определяют нарушения безопасности персональных данных и как мы сообщаем вам о таких нарушениях. - Профессиональные службы Майкрософт и уведомления о нарушении безопасности согласно GDPR [8] |
(33)(2) |
| Обязанности и процедуры в случае инцидентов информационной безопасности (6.13.2) | Клиент должен понимать и документировать свои обязанности во время утечки данных или инцидента безопасности, связанного с персональными данными. Обязанности могут включать уведомление необходимых сторон, связь с обработчиками или другими третьими лицами, а также обязанности в организации клиента. | Сведения о том, как оповестить службы Майкрософт об обнаружении инцидента безопасности или нарушения безопасности персональных данных. - Профессиональные службы Майкрософт и уведомления о нарушении безопасности согласно GDPR [8] |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Реагирование на инциденты информационной безопасности (6.13.3) | У клиента должны быть предусмотрены процессы, с помощью которых можно определять нарушение безопасности персональных данных. | Описание информации от служб Майкрософт, которая помогает определить, была ли нарушена безопасность персональных данных. - Профессиональные службы Майкрософт и уведомления о нарушении безопасности согласно GDPR [8] |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Защита записей (6.15.1) | Клиент должен понимать обязательные требования в отношении записей, связанных с обработкой персональных данных. | Сведения о том, как службы Майкрософт хранят записи, связанные с обработкой персональных данных. - Документация по безопасности профессиональных служб Майкрософт [2] |
(5)(2), (24)(2) |
| Независимая проверка информационной безопасности (6.15.2) | Клиент должен знать о требованиях в отношении оценок безопасности при обработке персональных данных. Сюда могут входить внутренние или внешние аудиты либо другие меры по оценке безопасности при обработке. Если клиент зависит от другой организации третьего лица в вопросе полной или частичной обработки, он должен собрать информацию о таких оценках, выполненных ими. | Сведения о том, как службы Майкрософт тестируют и оценивают эффективность технических и организационных мер по обеспечению безопасности обработки, в том числе об аудитах, проводимых третьими лицами. - Приложение о защите данных в профессиональных службах Майкрософт [1] |
(32)(1)(d), (32)(2) |
| Проверка соответствия техническим требованиям (6.15.3) | Клиент должен понимать требования в отношении тестирования и оценки безопасности при обработке персональных данных. Сюда могут входить технические испытания, например испытания проникновения. Если клиент использует стороннюю систему или услуги стороннего обработчика, он должен понять, какие обязательства берут на себя третьи лица по обеспечению и проверке безопасности (например, управление конфигурациями для защиты данных и последующее тестирование настроек такой конфигурации). Если третье лицо отвечает полостью или частично за безопасность обработки, клиент должен понимать, какое тестирование или оценку проводит третье лицо для обеспечения безопасности обработки. | Сведения о том, как службы Майкрософт тестируют безопасность на основании обнаруженных рисков, в том числе о тестах, выполняемых сторонними организациями, а также типах технических тестов. — Список внешних сертификаций см. в разделе Предложения центра управления безопасностью Майкрософт по соответствию [12] - Дополнительные сведения о тестировании уязвимости приложений см. в документации по безопасности профессиональных служб Майкрософт [2] |
(32)(1)(d), (32)(2) |
6. Список ресурсов и ссылок
Дополнительные сведения
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по