Перейти к основному контенту
Microsoft 365
Подписаться

Право человека на неприкосновенность частной жизни: интеллектуальная облачная среда корпорации Майкрософт обеспечивает соответствие требованиям GDPR

Автор: Alym Rayani (Алим Райани), руководитель группы Microsoft 365.

Общий регламент по защите данных (GDPR) стал важной вехой на пути к целостной системе законодательных мер, призванных защитить неприкосновенность частной жизни человека. Мы сейчас очень сильно зависим от цифровых технологий, причем во всех аспектах: они обеспечивают нам средства труда и общения и во многом определяют наше мировосприятие. С переходом современного общества на цифровые технологии связана одна важная особенность: нынешние вычислительные системы способны хранить и анализировать огромные массивы данных. Это позволяет нам получить более развернутое представление о тенденциях и процессах и помогает создать для пользователя комфортную, персонализированную рабочую среду. Мы сейчас имеем возможность работать гораздо продуктивнее. Наши горизонты расширяются, но одновременно растут и объемы генерируемой информации. Причем немалую ее часть составляют личные сведения и конфиденциальные бизнес-данные, которые необходимо защищать.

Все продукты и проекты Майкрософт создаются с одной целью: мы помогаем каждому человеку, каждой организации на планете добиваться большего. Вся наша деятельность основывается на доверии, ведь ни для кого не секрет, что люди не пользуются технологиями, которым не доверяют. Мы считаем, что право на конфиденциальность — одно из главных достояний человека, и это право необходимо защищать. В своей недавней публикации Julie Bril (Джули Брил), руководитель корпорации Майкрософт по вопросам конфиденциальности, заметила, что Майкрософт считает заложенные в GDPR принципы уважения к неприкосновенности частной жизни значимыми для всего мира.

Корпорация Майкрософт не только взяла на себя миссию по защите конфиденциальности. За последний год мы немало вложили в разработку средств, обеспечивающих соответствие требованиям GDPR. Ниже вы найдете краткое описание этих функций и возможностей, которые помогут вашей организации исполнить положения GDPR.

Оценка и контроль рисков, связанных с соответствием требованиям

Обеспечить соответствие требованиям — задача не из легких. Прежде всего необходимо понять, в чем заключаются риски. У клиентов нередко возникают проблемы просто потому, что у организации нет возможности внедрить и настроить соответствующие элементы управления и должным образом подготовиться к аудиторской проверке.

Используйте Диспетчер соответствия требованиям и рейтинг соответствия требованиям, чтобы следить за соблюдением GDPR. Диспетчер соответствия требованиям отражает сведения о каждом элементе управления корпорации Майкрософт, который вы используете для обеспечения соответствия требованиям, в том числе данные о плане внедрения и тестирования, а также ответы руководства (если требуется). Кроме того, он рекомендует действия, которые помогут усовершенствовать вашу систему защиты данных и обеспечить соответствие требованиям.

Снимок информационной панели диспетчера соответствия требованиям.

Посмотрите видео и узнайте, как в компании Abrona используют диспетчер соответствия требованиям из пакета Microsoft 365.

Защита личных сведений

Основной целью GDPR является защита личных сведений. Он обеспечивает применение надлежащих политик безопасности и управления, которые препятствуют злонамеренному использованию таких данных и предотвращают несанкционированный доступ к ним. Чтобы гарантировать эффективную защиту персональных данных граждан и конфиденциального контента, связанного с соблюдением требований, необходимо внедрить в организации решения и процессы, позволяющие обнаруживать, классифицировать, защищать и отслеживать данные.

Интегрированные функции и возможности Microsoft 365 для защиты информации, такие как Управление данными Office 365 и Azure Information Protection, позволят вам классифицировать, пометить и защитить конфиденциальную информацию. Вы сможете надежно защитить ваши данные независимо от того, где они хранятся и куда передаются. Классификация персональных и конфиденциальных данных лежит в основе упреждающей стратегии управления данными, которая поможет вам исполнить требования GDPR. Например, вы сможете быстро и четко находить необходимые данные в ответ на запросы контролирующих органов, например на запрос субъекта данных (DSR).

Снимок экрана: параметры защиты в Центре безопасности и соответствия требованиям.

Сканер Azure Information Protection, который работает как в локальной, так и в гибридной среде, позволяет настраивать политики для автоматического обнаружения, классификации, пометки и защиты документов в локальных репозиториях, таких как файловые серверы и локальные серверы SharePoint. Чтобы развернуть сканер в своей среде, следуйте этим инструкциям.

Управляемые службы баз данных Azure, например База данных SQL Azure, позволяют избавиться от проблем с обновлением платформы данных и исправлением ошибок в ее коде, а встроенные интеллектуальные функции помогают определить, какие из хранимых данных являются конфиденциальными. Новые технологии, такие как служба классификации и обнаружения данных SQL Azure, обеспечивают расширенные возможности по обнаружению, классификации, пометке и защите конфиденциальных данных на уровне базы данных. Защитите личные сведения с помощью таких технологий, как прозрачное шифрование данных. Эта технология поддерживает концепцию BYOK («принеси свой ключ») благодаря интеграции с Azure Key Vault.

Посмотрите видео и узнайте, как в компании INAIL используют службу Azure Information Protection из набора Microsoft 365 для классификации, пометки и защиты конфиденциальных данных.

Уверенная работа с запросами

Для многих организаций сложнее всего наладить эффективные процессы, обеспечивающие соответствие некоторым требованиям GDPR, особенно если они связаны с запросами субъекта данных (DSR) или нарушениями безопасности данных.

Чтобы вы увереннее ориентировались в ресурсах GDPR, к которым предоставляют доступ наши облачные службы, в прошлом месяце мы добавили вкладку «Конфиденциальность» на портал Service Trust Portal. На ней вы найдете необходимую информацию, которая поможет вам подготовиться и провести собственную оценку влияния на защиту данных (DPIA) в службах Microsoft Cloud, а также руководство по выполнению запросов DSR. Вы сможете узнать, как корпорация Майкрософт обнаруживает нарушения безопасности данных и какие меры принимаются в ответ, а также как напрямую получать уведомления от корпорации Майкрософт.

Посмотрите новое видео из серии Mechanics и узнайте больше об ресурсах GDPR на портале Service Trust Portal.

Функции и возможности для выполнения запросов DSR

Для выполнения запросов DSR используйте функции служб Microsoft Cloud, в частности вкладку «Конфиденциальность данных» в Office 365, портал Azure DSR и новые функции поиска DSR в Dynamics 365.

Новая вкладка «Конфиденциальность данных», информационная панель GDPR и функции DSR в Office 365 теперь доступны для всех коммерческих пользователей. Вы можете пользоваться средствами, позволяющими эффективно выполнять запросы DSR, связанные с содержимым Office 365 — данными Exchange, SharePoint, OneDrive, Groups и Microsoft Teams.

По словам Келли Клей (Kelly Clay) из компании GlaxoSmithKline: «GDPR 2016/679 — это регламент, ЕС, который устанавливает требования к защите данных и конфиденциальности для всех проживающих на территории Евросоюза. GDPR предоставляет гражданам ЕС новый набор «цифровых прав» в эпоху, когда личные сведения приобретают особое экономическое значение в мире, где правят цифровые технологии. Согласно GDPR, крупным владельцам и обработчикам данных предстоит выполнять запросы DSR, следовательно, Office 365 должен располагать соответствующими инструментами».

Вот что говорит Патрик Утс (Patrick Oots) из юридической компании Shook, Hardy & Bacon о своих клиентах и о том, как они обеспечивают соответствие требованиям GDPR. «Приятно знать, сколько средств и усилий корпорации Майкрософт вкладывает в Office 365. Поскольку наши клиенты готовятся к GDPR, мы придаем огромное значение инструментам, позволяющим выполнять запросы DSR в соответствии со Статьей 15, которые можно найти на портале, посвященном конфиденциальности данных. Законы о конфиденциальности данных меняются, и мы напоминаем клиентам Office 365 о том, как важно правильно настроить политики управления информацией в Центре безопасности и соответствия требованиям, чтобы свести к минимуму риски». Г-н Утс также подчеркивает, что упреждающая стратегия управления данными помогает организациям точно и своевременно выполнять законодательные и нормативные требования, в частности, требования GDPR.

Снимок экрана: информационная панель GDPR в Центре безопасности и соответствия требованиям.

Портал Azure DSR теперь тоже доступен всем. Портал Azure DSR поможет администраторам клиента определить, какие данные связаны с пользователем, а затем изменить, удалить или экспортировать их. Администраторы также смогут находить информацию, связанную с субъектом данных, и выполнять запросы DSR, используя созданные системой журналы для служб Microsoft Cloud (эти данные корпорация Майкрософт генерирует для предоставления определенной службы). Кроме того, теперь в Azure предоставлен общий доступ к следующим службам: Политика Azure, диспетчер соответствия требованиям Azure для GDPR и Azure Blueprint для обеспечения безопасности и соответствия требованиям GDPR.

Подробнее см. в блоге Azure, в статье о функциях, связанных с GDPR.

Снимок начального экрана для работы с конфиденциальностью пользователей в Microsoft Azure.

Чтобы пользователям было проще выполнять запросы DSR, Dynamics 365 предлагает две функции поиска: поиск с сортировкой по релевантности и отчет о поиске людей. Поиск с сортировкой по релевантности позволяет легко и быстро найти нужные данные в поисковых ресурсах Azure. Отчет о поиске людей представляет собой готовый набор расширяемых объектов, созданный корпорацией Майкрософт, и позволяющий опознавать личные сведения, которые определяют человека и назначенные ему роли.

Подробнее см. в блоге Dynamics 365.

Снимок экрана, демонстрирующий функцию поиска с сортировкой по релевантности в Dynamics 365.

В новом центре конфиденциальности Windows на сайте docs.microsoft.com собраны материалы об обеспечении конфиденциальности в Windows. Здесь вы можете найти новое руководство, которое поможет ИТ-руководителям обеспечить соответствие требованиям GDPR, список параметров конфигурации служб Windows 10, используемых для защиты конфиденциальности личных сведений. Вы сможете узнать о диагностических данных Windows и многое другое.

Меры при нарушении безопасности данных

GDPR задает строгие правила, которых организации обязаны придерживаться в случае нарушения безопасности данных. Microsoft 365 располагает комплексным набором функций, от Office 365 Advanced Threat Protection (ATP) до Azure ATP, которые помогут вам предотвратить нарушение безопасности данных или своевременно его обнаружить.

Используйте службы корпорации Майкрософт для соблюдения требований GDPR

Корпорация Майкрософт обладает богатым опытом в области защиты данных, обеспечения конфиденциальности и соблюдения сложных нормативных требований. Мы рассматриваем GDPR как важный шаг на пути к созданию стройного свода законов, обеспечивающих право человека на неприкосновенность частной жизни. В наших договорных обязательствах четко прописаны гарантии, которые мы даем в связи с GDPR.

Не важно, насколько успешно вам сейчас удается обеспечить соответствие требованиям GDPR — мы рады предложить свою помощь. Для начала вы можете воспользоваться следующими ресурсами.

Подробнее о том, какую помощь вы можете получить от корпорации Майкрософт в плане GDPR.