Общие сведения о защите информации в Office 365 в соответствии с регламентом GDPROverview of Office 365 Information Protection for GDPR

Это решение демонстрирует, как защитить конфиденциальные данные, которые хранятся в службах Office 365. Оно включает предписывающие рекомендации по обнаружению, классификации, защите и отслеживанию персональных данных. В этом решении в качестве примера используется Общий регламент по защите данных (GDPR), но аналогичный процесс можно применить, чтобы обеспечить соответствие требованиям ряда других нормативов.This solution demonstrates how to protect sensitive data that is stored in Office 365 services. It includes prescriptive recommendations for discovering, classifying, protecting, and monitoring personal data. This solution uses General Data Protection Regulation (GDPR) as an example, but you can apply the same process to achieve compliance with many other regulations.

Регламент GDPR регулирует сбор, хранение, обработку и совместное использование персональных данных. Эти данные в регламенте GDPR имеют очень широкое определение, включая любые сведения, которые касаются идентифицированных или идентифицируемых физических лиц, проживающих в Европейском союзе (ЕС).GDPR regulates the collection, storage, processing, and sharing of personal data. Personal data is defined very broadly under the GDPR as any data that relates to an identified or identifiable natural person that is a resident of the European Union (EU).

Статья 4. ОпределенияArticle 4 – Definitions

Под "персональными данными" подразумевается любая информация, связанная с идентифицированным или идентифицируемым физическим лицом ("субъектом данных"). Идентифицируемым физическим лицом считается лицо, которого можно прямо или косвенно определить, в частности с помощью идентификатора, такого как имя, идентификационный номер, данные о местоположении, идентификатор в сети, либо с использованием одного или нескольких факторов, связанных с физическими, физиологическими, генетическими, ментальными, экономическими, культурными или социальными характеристиками этого физического лица.‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Цель этого решения — помочь организациям обнаруживать и защищать персональные данные в Office 365, на которые может распространяться регламент GDPR. Это решение не используется для подтверждения соответствия требованиям регламента GDPR. Организации несут ответственность за обеспечение своего соответствия требованиям этого регламента. Им рекомендуется обратиться к собственным юристам и группам по обеспечению соответствия требованиям либо к третьим лицам, которые специализируются на обеспечении соответствия требованиям.This solution is intended to help organizations discover and protect personal data in Office 365 that might be subject to the GDPR. It is not offered as a GDPR compliance attestation. Organizations are responsible for ensuring their own GDPR compliance and are advised to consult their legal and compliance teams or to seek guidance and advice from third parties that specialize in compliance.

GDPR Assessment — это простое в использовании сетевое средство самостоятельной проверки, с помощью которой ваша организация может бесплатно проверить свое соответствие требованиям регламента GDPR (http://aka.ms/gdprassessment).GDPR Assessment is a quick, online self-evaluation tool available at no cost to help your organization review its overall level of readiness to comply with the GDPR (http://aka.ms/gdprassessment).

Оценка рисков, связанных с соответствием требованиям, и управление имиAssess and manage your compliance risk

Для обеспечения соответствия требованиям регламента GDPR в первую очередь необходимо определить, распространяется ли этот регламент на вашу организацию, и если да, то в какой степени. Для этого нужно понимать, какие данные обрабатывает ваша организация, и знать, где они хранятся.The first step towards GDPR compliance is to assess whether the GDPR applies to your organization, and, if so, to what extent. This analysis includes understanding the data your organization processes and where it resides.

Шаг 1. Просмотр нормативных требований и отслеживание вашего прогресса в диспетчере соответствия требованиямStep 1 — Use Compliance Manager to view the regulation requirements and track your progress

Диспетчер соответствия требованиям позволяет отслеживать и внедрять аудиторские проверки, а также управлять ими. Благодаря этому ваша организация сможет обеспечить соответствие требованиям различных стандартов, в том числе GDPR.Compliance Manager provides tools to track, implement, and manage the auditing controls to help your organization reach compliance against various standards, including GDPR.

Просмотр требований и отслеживание прогресса в диспетчере соответствия требованиям

Дополнительные сведения см. в статье Использование предварительной версии диспетчера соответствия требованиям на портале Service Trust Portal.For more information, see Use Compliance Manager in the Service Trust Portal.

Шаг 2. Поиск персональных данных с помощью веб-части "Поиск контента" и типов конфиденциальной информацииStep 2 — Use Content Search and sensitive information types to find personal data

Выявляйте в своей среде персональные данные, подпадающее под действие регламента GDPR. Используйте веб-часть "Поиск контента" вместе с типами конфиденциальной информации для:Discover personal data in your environment that is subject to the GDPR. Use Content Search together with sensitive information types to:

  • поиска персональных данных и составления отчетов об их расположении;Find and report on where personal data resides.

  • оптимизации типов конфиденциальных данных и других запросов для поиска всех персональных данных в вашей среде.Optimize sensitive data types and other queries to find all personal data in your environment.

Поиск персональных данных с помощью веб-части "Поиск контента" и типов конфиденциальной информации

Типы конфиденциальной информации определяют, как автоматизированный процесс распознает определенные типы данных, такие как номера медицинской страховки и кредитных карт. В этой статье описан набор средств, которые можно использовать в качестве отправной точки. В ближайшее время будет представлен ряд дополнительных типов конфиденциальной информации для персональных данных в странах ЕС.Sensitive information types define how the automated process recognizes specific information types such as health service numbers and credit card numbers. This article includes a set you can use as a starting point. Many more sensitive information types are coming soon for personal data in EU countries.

Дополнительные сведения см. в статье Поиск персональных данных.For more information, see Search for and find personal data.

Классификация, защита и отслеживание персональных данных в Office 365 и других приложениях SaaSClassify, protect, and monitor personal data in Office 365 and other SaaS apps

Некоторые возможности, используемые для защиты информации в Office 365, также можно применять для защиты конфиденциальных данных в других приложениях SaaS.Some of the capabilities used for information protection in Office 365 can also be used to protect sensitive data in other SaaS applications.

Классификация, защита и отслеживание персональных данных

Содержимое этого рисунка описано в следующих разделах (шаги 3–5).This illustration is described by the rest this section (steps 3-5).

Шаг 3. Выбор целесообразности использования меток в дополнение к типам конфиденциальной информацииStep 3 — Decide if you want to use labels in addition to sensitive information types

Типы конфиденциальной информации — это разновидность классификации. См. статью Разработка архитектуры схемы классификации для персональных данных, чтобы решить, нужно ли внедрить метки. Процесс применения меток описан в статье Применение меток к персональным данным в Office 365.Sensitive information types are a form of classification. See Architect a classification schema for personal data, to decide if you also want to implement labels. To apply labels, see Apply labels to personal data in Office 365.

На рисунке выше типы конфиденциальной информации и метки используются во всей системе Office 365. В ближайшее время их можно будет применять с Cloud App Security для поиска конфиденциальных данных в других приложениях SaaS, таких как Box и Salesforce.In the illustration, sensitive information types and labels work across Office 365. Coming soon, you can use these with Cloud App Security to find sensitive data in other SaaS apps, such as Box and Salesforce.

Шаг 4. Защита персональных данных в Office 365Step 4 — Protect personal data in Office 365

Защита персональных данных начинается с защиты от потери данных Office 365. Для защиты доступа к персональным данным также используются другие возможности, в частности шифрование сообщений Office 365 для электронной почты.Protection for personal data starts with Office 365 data loss prevention. There are several other capabilities recommended for protecting access to personal data, including Office 365 Message Encryption for email.

Эти средства защиты можно применять к определенным наборам данных:These protections can be targeted to specific data sets:

  • разрешения на уровне сайта и библиотеки;Site and library-level permissions

  • политики внешнего общего доступа на уровне сайта;Site-level external sharing policies

  • политики доступа к устройствам на уровне сайта.Site-level device access policies

Защита доступа к Office 365 и другим облачным службам включает:Protection for access to Office 365 and other cloud services include:

  • защиту доступа с учетных записей и устройств в Enterprise Mobility + Security (EMS);Identity and device access protection in Enterprise Mobility + Security (EMS)

  • управление привилегированным доступом;Privileged access management

  • возможности защиты Windows 10.Windows 10 security capabilities

Дополнительные сведения см. в статье Применение защиты к персональным данным в Office 365.For more information about applying proteciton, see Apply protection to personal data in Office 365.

Шаг 5. Отслеживание утечек персональных данныхStep 5 — Monitor for leaks of personal data

Отчеты о защите от потери данных в Office 365 включают больше всего сведений для отслеживания конфиденциальных данных. Вы можете настроить автоматические оповещения и исследовать нарушения с помощью журнала аудита Office 365. Cloud App Security включает возможность поиска и отслеживания конфиденциальных данных для других поставщиков SaaS. Дополнительные сведения об этих средствах см. в статье, посвященной отслеживанию нарушений в отношении персональных данных.Office 365 data loss prevention reports provide the greatest level of detail for monitoring sensitive data. You can setup automated alerts and investigate breaches by using the Office 365 audit log. Cloud App Security extends the ability to find and monitor sensitive data to other SaaS providers. For more information on these tools, see Monitor for breaches of personal data.