Контрольный список готовности к подотчетности для Microsoft 365
1. Введение
Этот контрольный список готовности к подотчетности позволяет получить доступ к информации, необходимой для соблюдения требований GDPR при использовании Microsoft Office 365.
Вы можете управлять элементами этого контрольного списка в диспетчере соответствия требованиям, ориентируясь на идентификаторы и названия контрольных точек в списке Customer Managed Controls (Контрольные точки под управлением клиента) на плитке GDPR.
Кроме того, элементы в этом контрольном списке не ниже 5.Data Protection & Security предоставляют ссылки на элементы управления, перечисленные в разделе Элементы управления, управляемые Корпорацией Майкрософт, на плитке GDPR в диспетчере соответствия требованиям. Просмотр сведений о реализации Майкрософт для этих элементов управления позволяет дополнительно объяснить подход Корпорации Майкрософт к выполнению рекомендаций клиентов в контрольном списке.
Содержимое контрольного списка и диспетчера соответствия требованиям упорядочено по названиям и кодовым номерам (приведенным в скобках для каждой статьи в списке), назначенным контрольным точкам проверки конфиденциальности и безопасности для обработчиков персональных данных, которые определены в стандарте:
- ISO/IEC 27701 — требования, относящиеся к управлению конфиденциальностью.
- ISO/IEC 27001 — требования, относящиеся к методам обеспечения безопасности.
Такая структура контроля также применяется для упорядочения презентации внутренних средств контроля, реализованных в Microsoft Office 365 для выполнения требований GDPR, которую можно скачать в центре Service Trust Center.
2. Условия сбора и обработки
| Категория | Рекомендация клиенту | Сопроводительная документация Майкрософт | Затрагиваемые статьи GDPR |
|---|---|---|---|
| Определение времени получения согласия (7.2.3) | Клиент должен понимать юридические или нормативные требования к получению согласия от физических лиц, прежде чем обрабатывать персональные данные (когда это необходимо, исключен ли тип обработки из требований и т. д.), в том числе способ получения согласия. | Office 365 не предоставляет прямую поддержку получения пользовательского согласия. | (6)(1)(a), (8)(1), (8)(2) |
| Определение и документирование цели (7.2.1) | Клиент должен задокументировать цель обработки персональных данных. | Описание обработки, которую выполняет для вас Майкрософт, и ее целей, которые могут быть включены в вашу отчетную документацию. - Условия использования веб-служб Майкрософт, Условия защиты данных, см. подраздел "Обработка Персональных данных; GDPR" [1] |
(5)(1)(b), (32)(4) |
| Определение законного основания (7.2.2) | Клиенту следует изучить все требования, связанные с законным основанием обработки (например, те, которые касаются предоставления предварительного согласия). | Описание обработки персональных данных службами Майкрософт для включения в вашу отчетную документацию. - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов[10] |
(5) (1) (a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)(4)(a), (6)(4)(b), (6)(4)(4)(b), (6)(4)(4)() c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9) (2) (h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(3)(c) (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
| Определение времени получения согласия (7.2.3) | Клиент должен понимать юридические или нормативные требования к получению согласия от физических лиц, прежде чем обрабатывать персональные данные (когда это необходимо, исключен ли тип обработки из требований и т. д.), в том числе способ получения согласия. | Office 365 не предоставляет прямую поддержку получения пользовательского согласия. | (6)(1)(a), (8)(1), (8)(2) |
| Получение и запись согласия (7.2.4) | Если будет установлено, что это необходимо, клиент должен соответствующим образом получить согласие. Клиент также должен знать о любых требованиях к представлению и сбору запроса на согласие. | Office 365 не предоставляет прямую поддержку получения пользовательского согласия. | (7)(1), (7)(2), (9)(2)(a) |
| Оценка влияния на конфиденциальность (7.2.5) | Клиент должен знать о требованиях в отношении оценки влияния на конфиденциальность (когда проводить оценку, данные каких категорий ее требуют, в какое время должна быть проведена оценка). | Сведения о том, как службы Майкрософт определяют, когда следует выполнять DPIA, и общие сведения о программе DPIA в Корпорации Майкрософт, включая участие DPO, приведены на странице Service Trust Portal Data Protection Protection Assessments (DPIAs). Поддержка по оценкам влияния на защиту данных: - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] |
(35) |
| Контракты с обработчиками личных сведений (7.2.6) | Клиент должен убедиться, что его контракты с обработчиками включают требования, подразумевающие помощь в выполнении любых соответствующих юридических или нормативных обязательств, связанных с обработкой и защитой персональных данных. | Корпорация Майкрософт заключает контракты, обязывающие ее помогать вам выполнять обязательства согласно GDPR, включая соблюдение прав субъекта данных. - Условия использования веб-служб Майкрософт, Условия защиты данных, см. подраздел "Обработка Персональных данных; GDPR" [1] |
(5)(2), (28)(3)(e), (28)(9) |
| Записи, связанные с обработкой личных сведений (7.2.7) | Клиент должен вести все необходимые и необходимые записи, связанные с обработкой персональных данных (то есть назначение, меры безопасности и т. д.). Если некоторые из записей должны быть предоставлены субобработчиком, клиент должен обеспечить получение таких записей. | Инструменты в службах Майкрософт, которые помогают вести записи, необходимые для демонстрации соответствия требованиям и соблюдения GDPR. - Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365 [16] |
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. Права субъектов данных
| Категория | Рекомендация клиенту | Сопроводительная документация Майкрософт | Затрагиваемые статьи GDPR |
|---|---|---|---|
| Определение прав субъектов личных сведений и обеспечение их реализации (7.3.1) | Клиент должен понимать требования в отношении прав физических лиц при обработке персональных данных. Такие права включают право на доступ, исправление и стирание данных. Если клиент использует систему стороннего производителя, ему нужно определить, какие компоненты системы (если таковые имеются) содержат инструменты, позволяющие физическим лицам реализовать свои права (например, для доступа к данным). Если система поддерживает такие возможности, клиенту следует использовать их по мере необходимости. | Возможности, которые предоставляет Майкрософт для обеспечения соблюдения прав субъектов данных. - Office 365 запросы субъектов данных для GDPR [8] - Microsoft Office 365 ISO/IEC 27001:2013 Заявление о применимости ISMS [12] см. iso, IEC 27018, 2014, элемент управления A.1.1 |
(12)(2) |
| Определение информации для субъектов личных сведений, или субъектов данных (7.3.2) | Клиент должен понимать требования к типам информации об обработке персональных данных, которые должны быть доступны для предоставления физическому лицу. Это может быть следующее: - контактные данные управляющего данными или его представителя; - сведения об обработке (о целях, международной передаче и связанных с ней мерах безопасности, периоде хранения и т. д.); - сведения о том, как субъект может получить доступ к своим персональным данным или изменить их, запросить стирание данных или ограничение обработки, получить копию своих персональных данных, а также сведения о переносимости персональных данных; - сведения о том, как и откуда получены персональные данные (если они не получены непосредственно от субъекта); - сведения о праве на подачу жалобы, а также о том, куда ее нужно подавать; - сведения о внесении исправлений в персональные данные; - уведомление о том, что организация больше не вправе идентифицировать субъекта данных, или субъекта личных сведений (в тех случаях, когда для обработки больше не требуется идентификация субъекта данных); - сведения о случаях передачи или разглашения персональных данных; - сведения о наличии автоматического принятия решений, основанного исключительно на автоматической обработке персональных данных; - сведения о периодичности, с которой информация обновляется и предоставляется субъекту данных (то есть по принципу "точно в срок" или с периодичностью, установленной организацией). Если клиент пользуется сторонними системами или услугами сторонних обработчиков, он должен определить, какие из указанных сведений нужно предоставлять, а также убедиться в возможности получения требуемых сведений от сторонних организаций. |
Информация о службах Майкрософт, которую вы можете включить в данные, предоставляемые субъектам данных. - Запросы субъектов данных Office 365 согласно GDPR [8] - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
| Предоставление информации субъектам личных сведений (7.3.3) | Клиент должен соблюдать требования в отношении того, как, когда и в какой форме следует предоставлять физическим лицам необходимую информацию, связанную с обработкой их персональных данных. В случаях, когда сторонняя организация может предоставить необходимую информацию, клиент должен убедиться в том, что это не нарушает требований GDPR. | Шаблонная информация о службах Майкрософт, которую вы можете включить в данные, предоставляемые субъектам данных. - Запросы субъектов данных Office 365 согласно GDPR [8] - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
| Предоставление механизма для изменения или отзыва согласия (7.3.4) | Клиент должен понимать требования к информированию пользователей об их праве на доступ, исправление и (или) удаление своих персональных данных, а также для предоставления механизма, для которого они должны сделать это. Если используется сторонняя система и предоставляет этот механизм в рамках своей функциональности, клиент должен использовать эту функцию по мере необходимости. | Информация о возможностях служб Майкрософт, которые помогают определить информацию, предоставляемую субъектам данных во время запроса согласия. - Запросы субъектов данных Office 365 согласно GDPR [8] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
| Указание способа возражения против обработки (7.3.5) | Клиент должен понимать требования, предъявляемые к правам субъектов данных. Если физическое лицо имеет право возражать против обработки, клиент должен сообщить ему об этом и предоставить ему возможность зарегистрировать свое возражение. | Информация о службах Майкрософт, связанная с возражением против обработки данных, которую вы можете включить в данные, предоставляемые субъектам данных. - Запросы субъектов данных Office 365 согласно GDPR [8], см. шаг 4 "Ограничение" |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
| Совместная реализация прав субъектов данных (7.3.6) | Клиент должен понимать требования в отношении уведомления третьих лиц, которым были предоставлены персональные данные, об экземплярах измененных данных на основе осуществления прав физических лиц (например, если физическое лицо подает запрос на стирание, изменение и т. д.). | Информация о возможностях служб Майкрософт, позволяющих обнаруживать персональные данные, которые вы предоставили третьим лицам. - Запросы субъектов данных Office 365 согласно GDPR [8] |
(19) |
| Исправление или стирание (7.3.7) | Клиент должен понимать требования к информированию пользователей об их праве на доступ, исправление и (или) удаление своих персональных данных, а также для предоставления механизма, для которого они должны сделать это. Если используется сторонняя система и предоставляет этот механизм в рамках своей функциональности, клиент должен использовать эту функцию по мере необходимости. | Шаблонные сведения о службах Майкрософт, касающиеся возможности доступа, исправления или стирания персональных данных, которые вы можете включить в информацию, предоставляемую субъектам данных. - Запросы субъектов данных Office 365 согласно GDPR [8], см. шаг 5 "Удаление" |
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2) |
| Предоставление копии обработанных личных сведений (7.3.8) | Клиент должен понимать требования, связанные с предоставлением физическому лицу копии обрабатываемых персональных данных. Сюда могут входить требования в отношении формата копии (т. е. она должна быть машиночитаемой), передачи копии и т. д. Если клиент использует систему стороннего производителя, которая позволяет передавать копии, он должен использовать эту функцию в случае необходимости. | Сведения о возможностях служб Майкрософт, которые позволяют вам получить копию персональных данных, которую вы можете включить в данные, предоставляемые субъектам данных. - Запросы субъектов данных Office 365 согласно GDPR [8], см. шаг 6 "Экспорт" |
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
| Управление запросами (7.3.9) | Клиент должен понимать требования к принятию и реагированию на законные запросы от физических лиц, связанные с обработкой их персональных данных. Если клиент использует стороннюю систему, он должен понимать, предоставляет ли эта система возможности для такой обработки запросов. Если это так, клиент должен использовать такие механизмы для обработки запросов по мере необходимости. | Информация о возможностях служб Майкрософт, которые можно использовать для определения данных, предоставляемых субъектам данных при управлении запросами субъектов данных. - Запросы субъектов данных Office 365 согласно GDPR [8] Клиент должен понимать требования в отношении автоматизированной обработки персональных данных и принятия решений путем такой автоматизации. Это может быть предоставление информации об обработке физическому лицу, возражение против такой обработки или вмешательство человека. Если такие функции поддерживаются сторонней системой, клиент должен обеспечить предоставление сторонней организацией всей требуемой информации или поддержки. Информация о возможностях служб Майкрософт, которые позволяют автоматизировать принятие решений (эти сведения можно использовать в отчетной документации), а также шаблонная информация для субъектов данных о таких возможностях. |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. Конфиденциальность, предусмотренная по умолчанию
| Категория | Рекомендация клиенту | Сопроводительная документация Майкрософт | Затрагиваемые статьи GDPR |
|---|---|---|---|
| Ограничение сбора (7.4.1) | Клиент должен понимать требования в отношении ограничений сбора персональных данных (например, что сбор нужно ограничить только необходимым для указанной цели). | Описание данных, собранных службами Майкрософт. - Условия использования веб-служб Майкрософт, Условия защиты данных, см. подраздел "Обработка Персональных данных; GDPR" [1] - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] |
(5)(1)(b), (5)(1)(c) |
| Ограничение обработки (7.4.2) | Клиент отвечает за ограничение обработки персональных данных. Разрешается только необходимая обработка для указанной цели. | Описание данных, собранных службами Майкрософт. - Условия использования веб-служб Майкрософт, Условия защиты данных, см. подраздел "Обработка Персональных данных; GDPR" [1] - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] |
(25)(2) |
| Определение и документирование целей обезличивания и минимизации личных сведений (7.4.3) | Клиент должен понимать требования в отношении обезличивания персональных данных, в том числе когда его следует использовать, до какой степени проводить обезличивание и в каких случаях его нельзя применять. | Майкрософт применяет обезличивание и псевдонимизацию внутри компании для дополнительной защиты персональных данных. | (5)(1)(c) |
| Соблюдение уровней идентификации (7.4.4) | Клиенту следует использовать и соблюдать цели и методы обезличивания, установленные в его организации. | Майкрософт применяет обезличивание и псевдонимизацию внутри компании для дополнительной защиты персональных данных. | (5)(1)(c) |
| Обезличивание и удаление личных сведений (7.4.5) | Клиент должен понимать требования, предъявляемые к хранению персональных данных после их использования в указанных целях. Если средства предоставляются системой, клиент должен использовать эти средства для удаления или удаления по мере необходимости. | Возможности, предоставляемые облачными службами Майкрософт для поддержки ваших политик хранения данных. - Запросы субъектов данных Office 365 согласно GDPR [8], см. шаг 5 "Удаление". |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
| Временные файлы (7.4.6) | Клиент должен знать, какие временные файлы могут создаваться системой, приводя к несоблюдению политик касательно обработки персональных данных (например, персональные данные могут храниться во временном файле дольше, чем требуется или разрешается). Если система поддерживает инструменты для удаления или проверки временных файлов, клиент должен использовать такие инструменты для обеспечения соответствия требованиям. | Описание возможностей, предоставляемых службой для идентификации персональных данных с целью поддержки политик в отношении временных файлов. - Запросы субъектов данных Office 365 согласно GDPR [8], см. шаг 1 "Обнаружение". |
(5)(1)(c) |
| Хранение (7.4.7) | Клиент должен определить, в течение какого времени следует хранить персональные данные, учитывая указанные цели. | Информация о хранении персональных данных службами Майкрософт, которую вы можете включить в документацию, предоставляемую субъектам данных. - Условия использования веб-служб Майкрософт, Условия защиты данных, см. сведения о безопасности и хранении данных [1] |
(13)(2)(a), (14)(2)(a) |
| Уничтожение (7.4.8) | Клиент должен использовать механизмы удаления или уничтожения, предоставляемые системой, для удаления персональных данных. | Возможности, предоставляемые облачными службами Майкрософт для поддержки политик удаления данных. -* Запросы субъектов данных Office 365 согласно GDPR* [8], см. шаг 5 "Удаление" |
(5)(1)(f) |
| Процедуры сбора (7.4.9) | Клиент должен знать о требованиях в отношении точности персональных данных (например, точности при сборе данных, поддержании их актуальности и т. д.), и использовать любые механизмы, предусмотренные для этого в системе. | Сведения о том, как службы Майкрософт поддерживают точность персональных данных и какие возможности они предоставляют для поддержки политики в отношении точности данных. - Запросы субъектов данных Office 365 согласно GDPR [8], см. шаг 3 "Исправление" |
(5)(1)(d) |
| Контрольные точки передачи (7.4.10) | Клиент должен понимать требования в отношении защиты передачи персональных данных (в частности, кто может получать доступ к механизмам передачи, как следует записывать передачу и т. д). | Описание типов персональных данных, которые передаются службами Майкрософт, и расположений, между которыми они передаются, а также правовых мер безопасности в отношении передачи. - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] |
(15)(2), (30)(1)(e), (5)(1)(f) |
| Определение основы для передачи личных данных (7.5.1) | Клиент должен знать о требованиях к передаче персональных данных в различные географические регионы и документировать меры, принятые для выполнения таких требований. | Описание типов персональных данных, которые передаются службами Майкрософт, и расположений, между которыми они передаются, а также правовых мер безопасности в отношении передачи. - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] |
Статьи (44), (45), (46), (47), (48) и (49) |
| Страны и организации, в которые можно передавать личные сведения (7.5.2) | Клиент должен понимать и быть в состоянии предоставить физическому лицу страны, в которые могут быть переданы персональные данные. Если третья сторона или обработчик может выполнить эту передачу, клиент должен получить эту информацию от обработчика. | Описание типов персональных данных, которые передаются службами Майкрософт, и расположений, между которыми они передаются, а также правовых мер безопасности в отношении передачи. - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] |
(30)(1)(e) |
| Записи о передаче персональных данных (7.5.3) | Клиент должен вести все необходимые и необходимые записи, связанные с передачей персональных данных. Если передача выполняется сторонним или обработчиком, клиент должен обеспечить ведение соответствующих записей и их получение по мере необходимости. | Описание типов персональных данных, которые передаются службами Майкрософт, и расположений, между которыми они передаются, а также правовых мер безопасности в отношении передачи. - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] |
(30)(1)(e) |
| Записи о разглашении личных сведений третьим лицам (7.5.4) | Клиент должен понимать требования к записи, которым были раскрыты персональные данные. Это может включать раскрытие информации для правоохранительных органов и т. д. Если сторонняя сторона или обработчик раскрывает данные, клиент должен убедиться, что они ведут соответствующие записи и получают их по мере необходимости. | Документация, предоставляемая о категориях получателей разглашенных персональных данных, включая имеющиеся записи о разглашении. - Сведения о том, кто может получить доступ к данным и при каких условиях [6] |
(30)(1)(d) |
| Совместное выполнение обязанностей управляющего (7.5.5) | Клиент должен определить, делит ли он обязанности управляющим с какой-либо другой организацией, а также соответствующим образом задокументировать и распределить обязанности. | Документация по службам Майкрософт, выступающим в качестве управляющего персональными данными, в том числе шаблонная информация, которую можно включать в документацию для субъектов данных. - Условия использования веб-служб Майкрософт, Условия защиты данных, см. подраздел "Обработка Персональных данных; GDPR" [1] |
5. Защита и безопасность данных
| Категория | Рекомендация клиенту | Сопроводительная документация Майкрософт | Затрагиваемые статьи GDPR |
|---|---|---|---|
| Общие сведения об организации и ее контексте (5.2.1) | Клиентам необходимо определить свою роль в обработке персональных данных (например, обработчик, один из управляющих или единственный управляющий), чтобы определить соответствующие требования (нормативные и т. д.) для обработки персональных данных. | Значение роли службы Майкрософт — обработчик или управляющий — при обработке персональных данных. - Условия использования веб-служб Майкрософт, Условия защиты данных, см. роли и обязанности обработчика и управляющего в подразделе "Обработка Персональных данных; GDPR" [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
| Общие сведения о потребностях и ожиданиях заинтересованных сторон (5.2.2) | Клиенты должны определить стороны, которые могут участвовать или быть заинтересованы в обработке персональных данных (например, регуляторов, аудиторов, субъектов данных и обработчиков персональных данных по договору), а также знать требования для привлечения таких сторон. | Сведения о том, как Майкрософт учитывает мнения всех заинтересованных лиц при рассмотрении рисков, связанных с обработкой персональных данных. - Ключевая информация из Office 365 об оценках влияния на защиту данных клиентов [10] - Руководство по СУИБ для Office 365 [14] (см. раздел 4.2. ОБЩИЕ СВЕДЕНИЯ О ПОТРЕБНОСТЯХ И ОЖИДАНИЯХ ЗАИНТЕРЕСОВАННЫХ СТОРОН) - Общие сведения о потребностях и ожиданиях заинтересованных сторон (5.2.2) в диспетчере соответствия требованиям. |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
| Определение сферы применения для системы управления информационной безопасностью (5.2.3, 5.2.4) | В любую общую программу безопасности и конфиденциальности, которая может быть у клиента, клиент должен включить обработку персональных данных и связанные с ней требования. | Сведения о том, как службы Майкрософт включают обработку персональных данных в программы управления информационной безопасностью и конфиденциальностью данных. - Положение о применимости требований ISO/IEC 27001:2013 к СУИБ Microsoft Office 365 [12] (см. A.19) - Отчет об аудите SOC 2, тип 2 [11] - Office 365 руководство по ISMS [14] см. 4. Контекст организации - Определение сферы применения для системы управления информационной безопасностью (5.2.3) в диспетчере соответствия требованиям. - Система управления информационной безопасностью (5.2.4) в диспетчере соответствия требованиям. |
(32)(2) |
| Планирование (5.3) | Клиент должен рассматривать обработку персональных данных в рамках любой оценки риска, которую он проводит, и применять меры защиты, которые считает нужными для смягчения риска, связанного с управляемыми им персональными данными. | Сведения о том, как службы Майкрософт учитывают риски, связанные с обработкой персональных данных, в рамках общей программы безопасности и конфиденциальности. - Руководство по СУИБ для Office 365 [14] (см. раздел 5.2. Политика) - Планирование (5.3) в диспетчере соответствия требованиям |
(32)(1)(b), (32)(2) |
| Политики информационной безопасности (6.2) | Клиент должен усилить существующие политики безопасности информации, добавив защиту персональных данных и политики, необходимые для соответствия требованиям применимого законодательства. | Политики Майкрософт в отношении информационной безопасности и конкретные меры для защиты персональных данных. - Положение о применимости СУИБ согласно ISO/IEC 27001:2013 для Microsoft Office 365 (полностью) [12] (см. А.19). - Отчет об аудите SOC 2, тип 2 [11] - Политики информационной безопасности (6.2) в диспетчере соответствия требованиям. |
24(2) |
| Рекомендация клиенту в отношении организации информационной безопасности (6.3) | Клиент должен определить в своей организации, кто несет ответственность за безопасность и защиту персональных данных. Это может включать создание специальных ролей для контроля вопросов, связанных с конфиденциальностью, в том числе DPO. Для поддержки таких ролей необходимо предоставить соответствующее обучение и содействие в управлении. | Обзор роли специалиста Майкрософт по защите данных, характера его обязанностей, структуры создания отчетов, а также контактная информация. - Специалист по защите данных корпорации Майкрософт [18] - Руководство по СУИБ для Office 365 [14] (см. раздел 5.3. РОЛИ, ОБЯЗАННОСТИ И ПОЛНОМОЧИЯ ОРГАНИЗАЦИЙ) - Организация информационной безопасности (6.3) в диспетчере соответствия требованиям. |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
| Безопасность кадрового состава (6.4) | Клиент должен определить и назначить ответственных за проведение соответствующего обучения, связанного с защитой персональных данных. | Обзор роли специалиста Майкрософт по защите данных, характера его обязанностей, структуры создания отчетов, а также контактная информация. - Специалист по защите данных корпорации Майкрософт [18] - Руководство по СУИБ для Office 365 [14] (см. раздел 5.3. РОЛИ, ОБЯЗАННОСТИ И ПОЛНОМОЧИЯ ОРГАНИЗАЦИЙ). - Защита кадрового состава (6.4) в диспетчере соответствия требованиям |
(39)(1)(b) |
| Классификация информации (6.5.1) | Клиент должен явным образом включить персональные данные в схему классификации данных. | Возможности Office 365 для поддержки классификации персональных данных. - Защита данных в Office 365 согласно GDPR [5] (см. раздел "Архитектура схемы классификации персональных данных") - Классификация информации (6.5.1) в диспетчере соответствия требованиям |
(39)(1)(b) |
| Управление съемными носителями (6.5.2) | Клиент должен определить внутренние политики по использованию съемных носителей, поскольку это связано с защитой персональных данных (например, шифрующие устройства). | Сведения о том, как службы Майкрософт обеспечивают безопасность персональных данных на всех съемных носителях. - План защиты системы FedRAMP, средний уровень [3] (см. пункт 13.10 о защите носителей) - Управление съемным носителем в диспетчере соответствия требованиям |
(32)(1)(a), (5)(1)(f) |
| Передача физических носителей (6.5.3) | Клиент должен определить внутренние политики для защиты персональных данных при передаче физического носителя (например, шифрование). | Сведения о том, как службы Майкрософт защищают персональные данные во время передачи физического носителя. - План защиты системы FedRAMP, средний уровень [3] (см. пункт 13.10 о защите носителей). - Сведения о передаче физического носителя (6.5.3) в диспетчере соответствия требованиям. |
(32)(1)(a), (5)(1)(f) |
| Управление доступом пользователей (6.6.1) | Клиент должен знать о своих обязанностях, связанных с управлением доступом в пределах используемой им службы, и управлять такими обязанностями соответствующим образом, используя доступные ему инструменты. | Инструменты служб Майкрософт для принудительного применения управления доступом. - Документация по безопасности в Office 365 [2] (см. статью Защита доступа к данным и службам в Office 365). - 6.6.1 в диспетчере соответствия требованиям. |
(5)(1)(f) |
| Регистрация и отмена регистрации пользователей (6.6.2) | Клиент должен управлять регистрацией и отменой регистрации пользователей в службах, используя доступные ему инструменты. | Инструменты служб Майкрософт для принудительного применения управления доступом. - Документация по безопасности в Office 365 [2] (см. статью Защита доступа к данным и службам в Office 365). - Регистрация и отмена регистрации пользователей (6.6.2) в диспетчере соответствия требованиям. |
(5)(1)(f) |
| Подготовка доступа для пользователя (6.6.3) | Клиент должен управлять профилями пользователей, особенно для авторизованного доступа к персональным данным, в службе, используя доступные ему инструменты. | Сведения о том, как службы Майкрософт поддерживают формальное управление доступом к персональным данным, включая идентификаторы пользователей, роли, доступ к приложениям, а также регистрацию и отмену регистрации пользователей. - Документация по безопасности в Office 365 [2] (см. статью Защита доступа к данным и службам в Office 365). - Использование ограничений клиентов для управления доступом к облачным приложениям SaaS [15] - Подготовка доступа пользователей в диспетчере соответствия требованиям. |
(5)(1)(f) |
| Управление привилегированным доступом (6.6.4) | Клиент должен управлять идентификаторами пользователей для упрощения отслеживания доступа (особенно к персональным данным) в службе, используя доступные ему инструменты. | Сведения о том, как службы Майкрософт поддерживают формальное управление доступом к персональным данным, включая ИД пользователей, роли, а также регистрацию и отмену регистрации пользователей. - Документация по безопасности в Office 365 [2] (см. статью Защита доступа к данным и службам в Office 365). - Использование ограничений клиентов для управления доступом к облачным приложениям SaaS [15]. - Управление привилегированным доступом (6.6.4) в диспетчере соответствия требованиям. |
(5)(1)(f) |
| Процедуры безопасного входа (6.6.5) | Клиент должен использовать предусмотренные в службе механизмы, чтобы обеспечить возможности безопасного входа в систему для пользователей. | Сведения о том, как службы Майкрософт поддерживают внутренние политики управления доступом, связанные с персональными данными. - Сведения о том, кто может получить доступ к данным и при каких условиях [6]. - Процедуры безопасного входа (6.6.5) в диспетчере соответствия требованиям. |
(5)(1)(f) |
| Криптография (6.7) | Клиент должен определить, какие данные может потребоваться зашифровать, и предоставляет ли эта возможность служба, которую он использует. Клиент должен использовать шифрование по мере необходимости, используя доступные ему средства. | Сведения о том, как службы Майкрософт поддерживают шифрование и псевдонимизацию для снижения риска при обработке персональных данных. - Планы защиты системы FedRAMP (SSP), средний уровень (см. Cosmos, стр. 29) - Шифрование (6.7) в диспетчере соответствия требованиям. |
(32)(1)(a) |
| Безопасная утилизация или повторное использование оборудования (6.8.1) | Если клиент использует службы облачных вычислений (PaaS, SaaS, IaaS), он должен понимать, как поставщик облачных служб гарантирует, что персональные данные будут стерты из места хранения, прежде чем назначать это место другому пользователю. | Сведения о том, как службы Майкрософт обеспечивают стирание персональных данных с оборудования для хранения перед передачей или повторным использованием оборудования. - План защиты системы FedRAMP, средний уровень [3] (см. пункт 13.10 о защите носителей). - Сведения о безопасной утилизации и повторном использовании оборудования (6.8.1) в диспетчере соответствия требованиям. |
(5)(1)(f) |
| Политика чистого стола и чистого экрана (6.8.2) | Клиент должен учитывать риски, связанные с печатными копиями персональных данных, и по возможности ограничивать создание таких копий. Если используемая система позволяет применить такие ограничения (например, в настройках можно запретить печать либо копирование и вставку конфиденциальных данных), клиент должен рассмотреть необходимость использования таких возможностей. | Сведения о том, что Майкрософт реализует для управления копиями на бумаге или носителе. - Корпорация Майкрософт реализует эти средства контроля внутри компании. См. положение о применимости СУИБ согласно ISO/IEC 27001:2013 для Microsoft Office 365 [12] (A.10.2, A.10.7 и A.4.1). - Политика чистого стола и чистого экрана (6.8.2) в диспетчере соответствия требованиям. |
(5)(1)(f) |
| Разделение сред разработки, тестирования и производства (6.9.1) | Клиент должен учитывать сложности использования персональных данных в средах разработки и тестирования своей организации. | Сведения о том, как Майкрософт обеспечивает защиту персональных данных в средах разработки и тестирования. - Положение о применимости СУИБ согласно ISO/IEC 27001:2013 для Microsoft Office 365 [12] (см. A.12.1.4) - Разделение сред разработки, тестирования и производства (6.9.1) в диспетчере соответствия требованиям. |
5(1)(f) |
| Резервное копирование информации (6.9.2) | Клиент должен использовать системные возможности для создания резервных копий данных и их тестирования в случае необходимости. | Сведения о том, как Майкрософт обеспечивает доступность данных, которые могут включать персональные данные, как обеспечивается точность восстановленных данных и какие инструменты и процедуры в службах Майкрософт позволяют выполнять резервное копирование и восстановление данных. - План защиты системы FedRAMP, средний уровень [3] (см. раздел "10.9. Доступность"). - Резервное копирование данных (6.9.2) в диспетчере соответствия требованиям. |
(32)(1)(c), (5)(1)(f) |
| Ведение журнала событий (6.9.3) | Клиент должен понимать возможности ведения журнала, предусмотренные системой, и использовать их для регистрации действий, связанных с персональными данными, в случаях необходимости. | Данные, которые записывает для вас служба Майкрософт, в том числе о действиях пользователей, исключениях, сбоях и событиях информационной безопасности, а также способ получения доступа к этим журналам для использования в рамках ведения учета. - Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365 [16]. - 6.9.3 Ведение журнала событий в диспетчере соответствия требованиям |
(5)(1)(f) |
| Защита информации журнала (6.9.4) | Клиент должен учитывать требования к защите сведений журнала, которые могут содержать персональные данные или записи, связанные с обработкой персональных данных. Если используемая система предоставляет возможности для защиты журналов, клиент должен использовать эти возможности при необходимости. | Сведения о том, как Майкрософт защищает журналы, которые могут содержать персональные данные. - Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365 [16]. - Защита данных журнала (6.9.4) в диспетчере соответствия требованиям. |
(5)(1)(f) |
| Политики и процедуры передачи информации (6.10.1) | Клиент должен иметь процедуры для случаев, когда персональные данные могут быть переданы на физический носитель (например, жесткий диск, перемещаемый между серверами или помещениями). К ним могут относиться журналы, авторизация и отслеживание. Если сторонний или другой обработчик может передавать физические носители, клиент должен убедиться, что организация имеет процедуры для обеспечения безопасности персональных данных. | Сведения о том, как службы Майкрософт передают физические носители, которые могут содержать персональные данные, в том числе об обстоятельствах такой передачи, а также о принимаемых мерах по защите данных. - План защиты системы FedRAMP, средний уровень [3] (см. пункт 13.10 о защите носителей). - Политики и процедуры передачи информации (6.10.1) в диспетчере соответствия требованиям. |
(5)(1)(f) |
| Соглашения о конфиденциальности или неразглашении (6.10.2) | Клиент должен определить необходимость в соглашениях о неразглашении или эквиваленте для физических лиц, у которых есть доступ к персональным данным или связанные с ними обязанности. | Сведения о том, как службы Майкрософт обеспечивают соблюдение конфиденциальности физическими лицами с авторизованным доступом к персональным данным. - SOC 2, тип 2, аудиторский отчет [11] (см. CC1.4, стр. 33) - Соглашения о конфиденциальности или неразглашении (6.10.2) в диспетчере соответствия требованиям. |
(5)(1)(f), (28)(3)(b), (38)(5) |
| Защита служб приложений в общедоступных сетях (6.11.1) | Клиент должен понимать требования к шифрованию персональных данных, особенно при отправке через общедоступные сети. Если система предоставляет механизмы для шифрования данных, клиент должен использовать эти механизмы при необходимости. | Описания мер, принимаемых службами Майкрософт для защиты передаваемых данных, включая шифрование данных, а также предусмотренные в службах Майкрософт способы защиты данных, которые могут содержать персональные данные и проходят через общедоступные сети. К таким способам относится, в частности, шифрование. - Шифрование в Microsoft Cloud [17] (см. раздел Шифрование данных пользователей при передаче). - Защита служб приложений в общедоступных сетях (6.11.1) в диспетчере соответствия требованиям. |
(5)(1)(f), (32)(1)(a) |
| Принципы проектирования защищенной системы (6.11.2) | Клиент должен понимать, как разрабатываются и проектируются системы с учетом защиты персональных данных. Если клиент использует систему, разработанную третьим лицом, он обязан убедиться, что такая защита учтена. | Сведения о том, как службы Майкрософт обеспечивают применение принципов защиты персональных данных при разработке и проектировании. - SOC 2, тип 2, аудиторский отчет [11] (см. Жизненный цикл разработки системы безопасности, стр. 23; CC7.1, стр. 45) - Принципы проектирования защищенной системы в диспетчере соответствия требованиям. |
(25)(1) |
| Отношения с поставщиками (6.12) | Клиент должен обеспечить указание требований в отношении информационной безопасности и защиты персональных данных, входящих в обязанности третьего лица, в договоре или других соглашениях. В соглашениях должны также быть указаны инструкции по обработке. | Сведения о том, как службы Майкрософт обеспечивают выполнение требований безопасности и защиты данных, указанных в наших соглашениях с поставщиками, и о том, как мы обеспечиваем эффективную реализацию таких соглашений. - Сведения о том, кто может получить доступ к данным и при каких условиях [6]. - Контракты для субобработчиков: контракты с корпорацией Майкрософт [7]. - Отношения с поставщиками (6.12) в диспетчере соответствия требованиям. |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h), (30)(2)(d), (32)(1)(b) |
| Управление инцидентами информационной безопасности и улучшения (6.13.1) | У клиента должны быть предусмотрены процессы, с помощью которых можно определять нарушение безопасности персональных данных. | Сведения о том, как службы Майкрософт определяют нарушения безопасности персональных данных и как мы сообщаем вам о таких нарушениях. - Office 365 и уведомление о нарушении безопасности, определенное в GDPR [9]. - Управление инцидентами информационной безопасности и улучшения (6.13.1) в диспетчере соответствия требованиям. |
(33)(2) |
| Обязанности и процедуры в случае инцидентов информационной безопасности (6.13.2) | Клиент должен понимать и документировать свои обязанности во время утечки данных или инцидента безопасности, связанного с персональными данными. Обязанности могут включать уведомление необходимых сторон, связь с обработчиками или другими третьими лицами, а также обязанности в организации клиента. | Сведения о том, как оповестить службы Майкрософт об обнаружении инцидента безопасности или нарушения безопасности персональных данных. - Office 365 и уведомление о нарушении безопасности, определенное в GDPR [9]. - Обязанности и процедуры (6.13.2) в диспетчере соответствия требованиям. |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
| Реагирование на инциденты информационной безопасности (6.13.3) | У клиента должны быть предусмотрены процессы, с помощью которых можно определять нарушение безопасности персональных данных. | Описание информации от служб Майкрософт, которая помогает определить, была ли нарушена безопасность персональных данных. - Office 365 и уведомление о нарушении безопасности, определенное в GDPR [9]. - Реагирование на инциденты информационной безопасности (6.13.3) в диспетчере соответствия требованиям. |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
| Защита записей (6.15.1) | Клиент должен понимать обязательные требования в отношении записей, связанных с обработкой персональных данных. | Сведения о том, как службы Майкрософт хранят записи, связанные с обработкой персональных данных. - Поиск по журналу аудита в Центре безопасности и соответствия требованиям Office 365 [16]. - Положение о применимости СУИБ согласно ISO/IEC 27001:2013 для Microsoft Office 365 [12] (см. A.18.1.3). - Руководство по СУИБ для Office 365 [14] (см. раздел 9. Оценка производительности). |
(5)(2), (24)(2) |
| Независимая проверка информационной безопасности (6.15.2) | Клиент должен знать о требованиях в отношении оценок безопасности при обработке персональных данных. Сюда могут входить внутренние или внешние аудиты либо другие меры по оценке безопасности при обработке. Если клиент зависит от другой организации третьего лица в вопросе полной или частичной обработки, он должен собрать информацию о таких оценках, выполненных ими. | Сведения о том, как службы Майкрософт тестируют и оценивают эффективность технических и организационных мер по обеспечению безопасности обработки, в том числе об аудитах, проводимых третьими лицами. - См. пункты "Аудит соответствия требованиям" и "Безопасность данных" из раздела "Условия защиты данных" в документе "Условия использования Веб-служб" [1]. - Руководство по СУИБ для Office 365 [14] (см. раздел 9. Оценка производительности). - Независимая проверка безопасности информации (6.15.2) в диспетчере соответствия требованиям. |
(32)(1)(d), (32)(2) |
| Проверка соответствия техническим требованиям (6.15.3) | Клиент должен понимать требования в отношении тестирования и оценки безопасности при обработке персональных данных. Сюда могут входить технические испытания, например испытания проникновения. Если клиент использует стороннюю систему или услуги стороннего обработчика, он должен понять, какие обязательства берут на себя третьи лица по обеспечению и проверке безопасности (например, управление конфигурациями для защиты данных и последующее тестирование настроек такой конфигурации). Если сторонняя организация отвечает полностью или частично за безопасность обработки, клиент должен понимать, какое тестирование или оценку проводит сторонняя организация для обеспечения безопасности обработки. | Сведения о том, как службы Майкрософт тестируют безопасность на основании обнаруженных рисков, в том числе о тестах, выполняемых сторонними организациями, а также типах технических тестов и доступных отчетах о тестах. - Условия использования веб-служб Майкрософт, Условия защиты данных, см. сведения об аудите соответствия требованиям [1] - Перечень внешних сертификаций см. на странице с предложениями для обеспечения соответствия требованиям в центре управления безопасностью Майкрософт [13] - Дополнительные сведения о динамическом тестировании приложений см. в плане обеспечения безопасности системы FedRAMP (SSP), средний уровень [3] ("Тестирование на проникновение CA-8 (M) (H)", стр. 204). - 6.15.3 Проверка технического соответствия в Диспетчере |
(32)(1)(d), (32)(2) |
6. Список ресурсов и ссылок
Подробнее
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по