Поделиться через


Меры безопасности высокого уровня согласно испанскому стандарту Esquema Nacional de Seguridad (ENS)

Обзор ENS в Испании

В 2007 г. испанское правительство приняло закон 11/2007, создавший правовое поле для предоставления гражданам электронного доступа к государственным и частным услугам. Этот закон является основой для Esquema Nacional de Seguridad (Национальная база безопасности), который регулируется обновленным Королевским указом (RD) 311/2022. Целью инфраструктуры является создание доверия при предоставлении электронных услуг, а также обеспечение доступа, целостности данных, доступности, подлинности, конфиденциальности, возможности отслеживания и сохранности данных, информации и служб.

Эта инфраструктура используется всеми общественными организациями и государственными учреждениями Испании, приобретающими облачные службы, а также поставщиками информационных и коммуникационных технологий (ICT). Она управляет реализацией этими учреждениями и компаниями эффективных элементов управления для обеспечения безопасности в облаке и локальной среде в соответствии со стандартами безопасности и защиты конфиденциальности Испании и ЕС.

Инфраструктура устанавливает основные политики и обязательные требования, которые должны соблюдаться государственными учреждениями и их поставщиками услуг. Она определяет набор конкретных элементов управления безопасностью (многие из которых непосредственно соответствуют стандарту ISO/IEC 27001) в отношении доступности, проверки подлинности, целостности, конфиденциальности и отслеживания. Конфиденциальность информации (низкая, средняя или строгая) определяет меры безопасности, которые должны применяться для ее защиты.

Каждое государственное учреждение должно применить подход к безопасности с управлением рисками, при котором выявляются и оцениваются риски с последующим применением к ним соответствующих элементов управления безопасностью. Поставщики услуг также должны соответствовать строгим требованиям инфраструктуры, чтобы обеспечивать безопасность своих процедур, технических функций и операций, а также обеспечивать соблюдение учреждениями нормативных требований.

Инфраструктура предписывает использовать процесс аккредитации, добровольный для систем, управляющих сведениями низкой конфиденциальности, но обязательный для систем, управляющих сведениями среднего или строгого уровня конфиденциальности. Аудит выполняется независимым аккредитованным аудитором. Отчет проверяется в процессе сертификации до принятия элементов управления риском на заключительном этапе аккредитации.

Майкрософт и меры безопасности высокого уровня согласно испанскому стандарту ENS

Microsoft Azure и Microsoft Office 365 прошли строгую оценку компании BDO — независимого аудитора, который опубликовал официальное подтверждение их соответствия требованиям. Она сообщает, что меры безопасности в обеих службах, а также в их информационных системах и центрах обработки данных соответствуют стандарту RD 3/2010 на высоком уровне и не требуют какой-либо коррекции. Корпорация Майкрософт стала первым поставщиком гипермасштабируемых облачных служб в Испании, получившим этот сертификат.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure
  • Microsoft 365 & Microsoft 365 для образовательных учреждений
  • Dynamics 365

Microsoft 365 и ENS High

Среды Microsoft 365 (Office 365)

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Microsoft 365 & Microsoft 365 для образовательных учреждений и служб в область

Используйте следующую таблицу, чтобы определить применимость для служб и подписок Microsoft 365 и Microsoft 365 для образовательных учреждений:

Применимость Затрагиваемые службы
Коммерческий сектор Microsoft Viva (включает Connections, Аналитику, Обучение и Engage), Microsoft 365 (включая Word, Excel, PowerPoint, Outlook, Sharepoint, Exchange, OneNote, OneDrive, Планировщик (Майкрософт), Sway, Whiteboard, Delve, Microsoft Forms, Microsoft To Do и Windows), Microsoft Purview (включает аудит, адаптационную защиту, соответствие требованиям к коммуникациям, обнаружение электронных данных, диспетчер соответствия требованиям, Information Protection, управление жизненным циклом данных, управление внутренними рисками, предотвращение потери данных и единое управление данными azure Purview), Microsoft Teams (включая аудиоконференции и телефонную систему), Microsoft Outlook Web App, Microsoft Outlook Mobile, Microsoft Copilot для Microsoft 365, Copilot в Windows, Microsoft Copilot с коммерческой защитой данных, защита Microsoft Exchange Online, Microsoft Defender XDR (включает Microsoft Defender для конечной точки, Microsoft Defender для удостоверений и Microsoft Defender для Office 365 и Microsoft Defender for Cloud Apps), Microsoft Defender для конечной точки, Microsoft Defender для удостоверений, Microsoft Defender для Office 365, Microsoft Defender for Cloud Apps, Microsoft Intune

Dynamics 365 и ENS High

Dynamics 365 применимости и область служб

Используйте следующую таблицу, чтобы определить применимость для служб и подписки Dynamics 365:

Применимость Затрагиваемые службы
Коммерческий сектор Copilot Studio, Dynamics 365 Sales, Dynamics 365 Customer Insights Journey, Dynamics 365 Данные customer Insights, Dynamics 365 Finance, Dynamics 365 Управление цепочками поставок, Dynamics 365 Business Central, Dynamics 365 обслуживание клиентов (включая Omnichannel), Dynamics 365 Field Service (включая удаленную поддержку), Dynamics 365 отдел кадров, Dynamics 365 Project Operations, Dynamics 365 Commerce, Dynamics 365 Fraud Protection, Dynamics 365 Customer Voice, Power Platform (включает Power BI, Power Apps, Power Automate и Power Pages), Copilot в Power Platform (включая Copilot для Power Apps, Copilot для Power Automate, Copilot для Power Pages и Copilot для Power BI), Copilot для продаж, Copilot для обслуживания клиентов, Copilot для финансов, Copilot для Power BI Dynamics 365

Microsoft Azure и ENS High

Применимость Azure и службы область

Используйте следующую таблицу, чтобы определить применимость для служб и подписки Azure:

Применимость Затрагиваемые службы
Коммерческий сектор Конфиденциальные вычисления Azure, Microsoft Entra (включая Entra ID, Entra ID Governance, Entra Внешняя идентификация, Entra Доменные службы, Entra Проверенные учетные данные, Entra Управление разрешениями, Entra, Entra Идентификация рабочей нагрузки, Entra Internet Access y Entra Private Access), Azure Site Recovery, Azure виртуальная сеть, Azure ExpressRoute, Azure Load Balancer, Azure Backup, Службы Azure AI (включая Azure OpenAI, Когнитивный поиск Azure, Azure AI Vision, Azure AI Пользовательское визуальное распознавание, Язык ИИ Azure, Речь Azure AI, Azure AI Translator, Аналитика документов Azure AI, Azure AI Document Intelligence, Azure AI Служба Bot, Azure AI Audio & Видео, Azure AI Детектор аномалий, Безопасность содержимого ИИ Azure, Azure AI Personalizer, Azure AI Metrics Advisor y Azure AI Иммерсивное средство чтения), Azure AI Studio (включая Azure OpenAI Studio, Студию машинного обучения Azure, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio y Azure Content Safety Studio), Copilot for Azure, Azure SQL, Azure Cosmos DB, Azure SQL Database, База данных Azure для PostgreSQL, Управляемый экземпляр SQL Azure, База данных Azure для MySQL, Кэш Azure для Redis, База данных Azure для MariaDB, служба хранилища Azure (включая BLOB-объект, архив, диск, файл y Data Box), Azure Synapse Analytics
Azure Databricks, Фабрика данных Azure, Azure HDInsight, Azure Analysis Services, Azure Data Lake, Azure Data Lake Analytics, Microsoft Fabric, Fabric Copilot, Power BI Embedded, Azure DevOps, Центр Интернета вещей Azure, Центры событий Azure, Azure Log Analytics, Azure Monitor, Azure Key Vault (включая управляемый модуль HSM уровня "Стандартный", Управляемый модуль HSM уровня "Премиум"), Microsoft Sentinel, Microsoft Copilot для безопасности, Microsoft Defender для Интернета вещей, Microsoft Defender для облака, Управление состоянием безопасности облака Microsoft Defender, Управление направлением внешних атак Microsoft Defender (EASM), Защита от атак DDOS Azure, Брандмауэр Azure, Брандмауэр Azure Manager, Azure Брандмауэр веб-приложений, Шлюз приложений Azure, Azure VPN-шлюз, Бастион Azure, Azure Виртуальные машины, Служба Azure Kubernetes, Экземпляры контейнеров Azure, Реестр контейнеров Azure, Приложения контейнеров Azure, Служба приложений Azure, Azure веб-приложения, Azure Logic Apps, Azure Управление API, Служебная шина Azure, Сетка событий Azure, Решение Azure VMWare, Виртуальный рабочий стол Azure (AVD), Azure Arc, Azure NetApp Files

Аудит, отчеты и сертификаты

Сертификат действителен в течение двух лет с ежегодным инспекционным аудитом.

Azure

Microsoft 365 и Microsoft 365 для образовательных учреждений

Dynamics 365

Вопросы и ответы

Как получить копии отчетов об аудите и сертификатов?

На портале Service Trust Portal отчеты об аудите и сертификаты доступны на испанском и английском языках. Ваши аудиторы могут использовать их, чтобы сравнить результаты для облачных служб Майкрософт с вашими юридическими и нормативными требованиями.

С чего начинается обеспечение соответствия требованиям в организации?

Если в вашей организации используется Azure или Office 365, вы можете использовать аккредитацию и отчеты об аудите Майкрософт ENS в рамках собственного процесса аккредитации. Однако вы несете ответственность за привлечение аудитора для оценки мер по соответствию требованиям, а также за соответствие средств управления и процессов в организации инфраструктуре.

Ресурсы