ISO/IEC 27018 "Свод правил по защите персональных данных в облаке"

Обзор ISO/IEC 27018

Международная организация по стандартизации (ISO) — это независимая неправительственная организация и крупнейший в мире разработчик рекомендательных международных стандартов. Семейство стандартов ISO/IEC 27000 помогает организациям любого типа и размера обеспечивать безопасность информационных ресурсов.

В 2014 г. организация ISO приняла к стандарту ISO/IEC 27001 дополнение ISO/IEC 27018:2014 — первый международный свод правил по конфиденциальности в облаке. Основанный на законах ЕС по защите данных, он предоставляет конкретные инструкции для поставщиков облачных служб (CSP), действующих в качестве обработчиков личных сведений (PII), с целью оценки рисков и применения современных средств для защиты личных сведений.

Майкрософт и ISO/IEC 27018

Минимум раз в год Microsoft Azure и Azure для Германии проходят проверку на соответствие стандартам ISO/IEC 27001 и ISO/IEC 27018 уполномоченным сторонним органом по сертификации, обеспечивающим независимую проверку наличия соответствующих средств управления безопасностью и их эффективной работы. В рамках этой проверки соответствия требованиям аудиторы подтверждают в заявлении о применимости, что соответствующие облачные службы Майкрософт и коммерческие службы технической поддержки внедрили средства управления ISO/IEC 27018 для защиты личных сведений в Azure. Чтобы поддерживать соответствие требованиям, облачные службы Майкрософт должны проходить ежегодные независимые проверки.

Соблюдая стандарты ISO/IEC 27001 и свод правил, входящий в состав стандарта ISO/IEC 27018, корпорация Майкрософт (первый крупный облачный поставщик, соблюдающий этот свод правил) демонстрирует надежность своих политик и процедур конфиденциальности и их соответствие самым строгим требованиям.

  • Клиенты облачных служб Майкрософт знают, где хранятся их данные. Так как стандарт ISO/IEC 27018 требует, чтобы сертифицированный поставщик облачных служб сообщал клиентам о странах, в которых могут храниться их данные, клиенты облачных служб Майкрософт наглядно видят сведения, требующиеся для соблюдения любых применяющихся правил по защите информации.
  • Данные клиентов не используются в целях маркетинга или рекламы без явного согласия. Некоторые поставщики облачных служб используют данные клиентов для собственных коммерческих целей, включая адресную рекламу. Так как корпорация Майкрософт реализовала стандарт ISO/IEC 27018 в своих корпоративных облачных службах, клиенты могут быть уверены, что их данные никогда не будут использоваться для таких целей без явного согласия и что согласие не может быть условием для использования облачной службы.
  • Клиенты Майкрософт знают, что происходит с их личными сведениями. Стандарт ISO/IEC 27018 требует применения политики, позволяющей возвращать, передавать и безопасно удалять личные сведения в течение разумного срока. Если корпорация Майкрософт сотрудничает с другими компаниями, которым требуется доступ к данным ваших клиентов, Майкрософт заранее предоставляет сведения об этих субобработчиках.
  • Корпорация Майкрософт выполняет только юридически обязывающие запросы на раскрытие данных клиентов. Если корпорация Майкрософт обязана выполнить такой запрос (например, при расследовании преступления), корпорация Майкрософт уведомит об этом клиента, если это не запрещено законом.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure, Azure для государственных организаций и Azure — Германия
  • Azure DevOps Services
  • Dynamics 365, Dynamics 365 для государственных учреждений и Dynamics 365 — Германия
  • Intune
  • Microsoft Cloud App Security
  • Профессиональные услуги Майкрософт: Premier и локальная поддержка для Azure, Dynamics 365, Intune, а также для среднего бизнеса и корпоративных клиентов с Microsoft 365 для бизнеса
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Компьютеры, управляемые Майкрософт
  • Microsoft Threat Experts
  • Microsoft Stream
  • Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government Defense
  • Office 365 Germany
  • OMS Service Map
  • Облачная служба Power Automate (прежнее название Microsoft Flow) в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Defender для конечной точки: обнаружение и нейтрализация атак на конечные точки, автоматическое исследование и исправление, оценка безопасности
  • Windows 365

Azure, Dynamics 365 и ISO ISO/IEC 27018

Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure ISO/IEC 27018.

Office 365 и ISO ISO/IEC 27018

Облачные среды Office 365

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

Этот раздел посвящен следующим облачным средам Office 365.

  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Access Online, Azure Active Directory, Azure Communications Service, диспетчер соответствия требованиям, защищенное хранилище, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, клиентский портал Office 365, микрослужбы Office 365 (в том числе Kaizala, ObjectStore, Sway, служба документов PowerPoint Online, служба аннотации запросов, Синхронизация сведений о школе, Siphon, Speech, StaffHub, программа приложений eXtensible), Центр безопасности и соответствия требованиям Office 365, Office Online, Office Pro Plus, инфраструктура служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, Project Online, шифрование службы с помощью ключа клиента, SharePoint Online, Skype для бизнеса, Stream
GCC Azure Active Directory, Azure Communications Service, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Центр безопасности и соответствия требованиям Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream
GCC High Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Центр безопасности и соответствия требованиям Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса
DoD Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Центр безопасности и соответствия требованиям Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power BI, SharePoint Online, Skype для бизнеса

Аудит, отчеты и сертификаты Office 365

Аудит облачных и коммерческих служб технической поддержки Майкрософт выполняется раз в год на соответствие своду правил ISO/IEC 27018 в рамках процесса сертификации для ISO/IEC 27001.

Вопросы и ответы

К кому применяется ISO/IEC 27018?

Этот свод правил применяется к поставщикам облачных служб (CSP), обрабатывающим личные сведения в рамках договора для других организаций. В Майкрософт он также применяется для поддержки этих CSP.

В чем разница между "контроллерами личных сведений" и "обработчиками личных сведений"?

В контексте ISO/IEC 27018:

  • "Контроллеры" управляют сбором, удержанием, обработкой или использованием личных сведений. К ним относятся те, кто управляет ими от имени другой организации.
  • "Обработчики" обрабатывают сведения от имени контроллеров. Они не принимают решений о способе использования сведений или целях обработки. При предоставлении корпоративных облачных служб (выступая в качестве поставщика по отношению к вам) корпорация Майкрософт является обработчиком сведений.

Где можно посмотреть сведения о соответствии Office 365 требованиям ISO/IEC 27018?

  • Вы можете ознакомиться с сертификатами ISO/IEC 27018 от BSI (независимый аудитор, подтвердивший соответствие Майкрософт стандарту ISO/IEC 27018) для Office 365.

Можно ли использовать соответствие требованиям Майкрософт в процессе сертификации моей организации?

Да. Если соблюдение стандарта ISO/IEC 27018 важно для вашей организации, а развертывание выполнено с использованием любых применимых корпоративных облачных служб Майкрософт, вы можете использовать аттестацию Майкрософт о соответствии стандарту ISO/IEC 27018 вместе с сертификацией Майкрософт по стандарту ISO/IEC 27001 в рамках оценки соответствия требованиям вашей организации.

Однако вы несете ответственность за привлечение аудитора для оценки реализации на соответствие требованиям, а также оценки средств управления и процессов в рамках вашей организации.

Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт)

Диспетчер соответствия требованиям (Майкрософт) — это предварительная функция в Центре соответствия требованиям Microsoft 365, помогающая понять состояние вашей организации в отношении соответствия требованиям и принять меры по снижению рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы