Поделиться через

Контролируемые Канадой товары

Контролируемые товары — это главным образом товары, включая компоненты и технические данные, имеющие военное значение или национальную безопасность, которые контролируются внутри страны правительством Канады и определены в Законе об оборонном производстве. Общие сведения о контролируемых товарах, способах их регулирования и связанных с ними юридических обязанностях см. в статье Что такое контролируемые товары. Физические лица и организации должны зарегистрироваться в Программе контролируемых товаров (CGP), если им нужно проверить, обладать или передать контролируемые товары.

Контролируемые товары и облачные службы

Многие организации, зарегистрированные в CGP, управляют техническими данными контролируемых товаров в цифровой форме и стремятся применить преимущества общедоступных облачных служб для этих рабочих нагрузок. 16 мая 2024 г. Управление контролируемых товаров (CGD) опубликовало обновленное Руководство по использованию или предоставлению облачных решений для данных контролируемых товаров. В руководстве по облачным решениям CGD описывается общая ответственность за защиту контролируемых данных о товарах между поставщиком облачных служб (CSP) и регистраторами CGP, которые могут рассмотреть возможность использования облачных служб.

Корпорация Майкрософт и контролируемые товары

Microsoft Canada Inc. зарегистрирована в CGP как для традиционных целей, включая консультационные услуги, так и для облачных служб в Интернете. Чтобы просмотреть каталог организаций, зарегистрированных в CGP, см. статью Поиск лиц и организаций, зарегистрированных в программе контролируемых товаров.

Несмотря на отсутствие сертификации соответствия для контролируемых товаров, регистрация CGP Майкрософт включает утвержденный план безопасности контролируемых товаров, описывающий соответствие облачному руководству CGD для служб область. В этой статье описаны рекомендации для регистрантов CGP при оценке в область Microsoft Online Services для контролируемых рабочих нагрузок товаров.

Затрагиваемые облачные платформы и службы Майкрософт

Корпорация Майкрософт предлагает широкий спектр коммерческих облачных служб по всему миру. С учетом различных условий и возможностей продуктов и сложных нормативных требований корпорация Майкрософт рекомендует клиентам оценить только следующие службы на предмет пригодности для хранения и обработки данных контролируемых товаров:

  • Основные службы Azure для региона Канада состоят из служб Azure Core Online Services, определенных в условиях конфиденциальности & безопасности в условиях продукта, которые можно развернуть в регионе Канады (в настоящее время — Центральная Канада или Восточная Канада). Чтобы просмотреть основные службы Azure, доступные в канадских регионах, см. статью Продукты Azure, доступные по регионам .

  • Основными службами office для канады являются Exchange Online, SharePoint Online, OneDrive для бизнеса и Teams.

Все предварительные или предварительные версии этих служб, доступные клиенту для дополнительного использования до их общей доступности, не область для этого руководства.

Основные службы Azure для региона Канады и основные службы Office для канады входят в глобальную облачную инфраструктуру Майкрософт. Некоторые клиенты канадской оборонной промышленной базы также могут иметь право на доступ к облачным предложениям корпорации Майкрософт для государственных организаций США. Оценка этих предложений, размещенных в США, в контексте данных контролируемых товаров выходит за рамки область этой статьи.

Контролируемые товары и Microsoft Облачные службы

Microsoft Cloud — это глобально развернутый и стандартизированный набор веб-служб, доступных клиентам для оценки, приобретения, настройки и развертывания в соответствии с конкретными бизнес-требованиями. Если облачный клиент клиента настроен правильно, он предоставляет клиентам повышенную гибкость, расширенные возможности и улучшенную безопасность по сравнению с традиционными локальными технологическими развертываниями. Корпорация Майкрософт разрабатывает свои веб-службы таким образом, чтобы данные клиентов были защищены и были под контролем клиента. Корпорация Майкрософт обычно не может настроить, как она предоставляет свои предложения веб-служб в соответствии с конкретными требованиями клиентов.

Клиенты, которые решили использовать облачные службы, несут конечную ответственность за соблюдение нормативных обязательств по контролируемым товарам и защиту данных контролируемых товаров, которые они предпочитают хранить в облаке. Обязательства по общей ответственности клиента включают в себя:

  • Обеспечение того, чтобы их использование этих услуг соответствовало применимым законам, включая законы, регулирующие проверку, владение или передачу контролируемых товаров.
  • Оценка того, подходит ли облачная служба, включая компонент или инструмент в службе, для обработки соответствующих категорий контролируемых товаров, включая данные, которые также могут подвергаться контролю в соответствии с правилами США, такими как Международные правила торговли оружием (ITAR). Это может включать оценку адекватности мер безопасности поставщика облачных служб, обязательств по размещению данных (неактивному хранилищу), расположению обработки данных, расположению передачи данных, сторонним аудитам, а также функциям или инструментам, которые могут включать проверку данных клиента человеком (например, обзор выходных данных некоторых служб ИИ для предотвращения злоупотреблений).
  • Оценка и применение функций облачной безопасности для ограничения доступа к контролируемым данным о товарах, которые клиент хранит в облаке.
  • Обеспечение того, чтобы контролируемые данные о товарах не включались в заголовки, имена документов или пути к файлам.
  • Реализация собственных средств контроля безопасности клиента и других мер для управления любыми остаточными рисками, связанными с несанкционированным доступом к контролируемым данным о товарах, в том числе путем обеспечения того, чтобы доступ к контролируемым данным о товарах не предоставлялся сотрудникам Корпорации Майкрософт таким образом, чтобы они проверяли, владели или передавали данные контролируемых товаров, если клиент не решит, что это лицо одобрено для проверки контролируемых товаров.

В контексте работы веб-служб корпорация Майкрософт не владеет контролируемыми данными о товарах. Персонал корпорации Майкрософт не знает характера данных, которые клиенты предпочитают передавать в свои веб-службы. Корпорация Майкрософт также не имеет коммерческих средств понять, какие из ее клиентов используют или намерены использовать свои веб-службы для хранения и обработки контролируемых данных о товарах.

Согласование с руководством по контролируемым товарам для поставщиков облачных служб

Веб-службы — это стандартизированные коммерческие готовые службы, которые предоставляются клиентам в соответствии с соглашением о корпоративном лицензировании Майкрософт. Это соглашение включает в себя надстройку по защите данных о продуктах и службах Майкрософт (DPA) и условия использования продуктов Майкрософт (Условия использования продуктов).

Корпорация Майкрософт разработала и внедрила основные службы Azure для региона Канады и основные службы Office в Канаде в соответствии с международно признанными методиками и политиками безопасности. Многие веб-службы Майкрософт были оценены Канадским центром кибербезопасности в рамках процесса оценки безопасности информационных технологий поставщика облачных служб (ITSM.50.100) в среднем профиле безопасности облака CCCS . Кроме того, корпорация Майкрософт обязуется внедрять и поддерживать технические и организационные меры, соответствующие требованиям ISO 27001, ISO 27002 и ISO 27018. Кроме того, каждая служба Azure Core Service региона Канады и базовая служба Office в Канаде (с ограниченными опубликованными исключениями) также соответствуют стандартам управления и платформам, которые входят в состав SSAE 18 SOC 1 Type II и SSAE 18 SOC 2 Type II. Дополнительные сведения см. в разделе DPA и Условия конфиденциальности & безопасности в условиях продукта.

Руководство по плану безопасности CGD содержит следующие важные определения:

  • Доступ: иметь возможность проверять, владеть или передавать контролируемые товары.
  • Изучение: подробное рассмотрение или предмет анализа с целью выявления основных признаков или смысла.
  • Обладание: либо фактическое владение, когда лицо имеет прямой физический контроль над контролируемым товаром в данный момент времени, либо конструктивное владение, где лицо имеет власть и намерение в данный момент осуществлять контроль над контролируемым товаром, напрямую или через другого лица или лиц.
  • Передача: в отношении контролируемого блага, чтобы избавиться от него или раскрыть его содержимое каким-либо образом.

Принимая во внимание средства управления безопасностью и операционные методики, реализованные для основных служб Azure для региона Канады и основных служб Канадского региона, корпорация Майкрософт понимает, что она не обращается, не проверяет, не владеет и не передает контролируемые данные о товарах при предоставлении таких услуг или соответствующей технической поддержки.

Техническая поддержка

Веб-службы Майкрософт разработаны таким образом, чтобы корпорация Майкрософт не видела, как и когда клиент использует веб-службы для хранения или обработки контролируемых данных о товарах (или любых других типов данных). Сотрудники Майкрософт по умолчанию не имеют постоянного доступа к данным клиентов в веб-службах. В очень ограниченных сценариях поддержки и разработки специалисты службы поддержки Майкрософт или технического персонала могут требовать доступа к данным клиентов. В таких редких случаях специалисты службы поддержки или инженеров Майкрософт (которые обычно находятся за пределами Канады) могут получить доступ к данным клиентов под контролем управления с помощью временных учетных данных через JIT-системы управления привилегированным доступом. С помощью рабочего процесса ограниченного доступа доступ к данным клиента тщательно контролируется, регистрируется и отменяется, когда он больше не нужен. Даже в этих сценариях корпорация Майкрософт не будет знать, связаны ли управляемые рабочие нагрузки товаров.

Глобально развернутый персонал службы поддержки и инженеров Корпорации Майкрософт не оценивает безопасность в соответствии с требованиями Регламента о контролируемых товарах. По этой причине клиент обязан определить, какие данные следует обрабатывать в веб-службах или делиться с корпорацией Майкрософт во время взаимодействия со службой поддержки. В более широком смысле клиент несет ответственность за то, чтобы использование веб-служб не привело к тому, что сотрудники проверят контролируемые товары.

В руководстве по CGP термин "Проверка" определяется как подробное рассмотрение данных или их анализ, чтобы обнаружить их основные признаки или значение. Это руководство предполагает, что случайное воздействие данных, которые являются временными и не приводят к их рассмотрению в деталях или определению его существенного значения, не включает "изучение" контролируемого блага.

В качестве дополнительной защиты в мерах по устранению рисков корпорация Майкрософт рекомендует клиентам включить функцию "Защищенное хранилище клиентов" с область службами. Защищенное хранилище предоставляет клиенту контроль над рабочими процессами поддержки, которым требуется доступ к данным клиента, позволяя клиенту утверждать или отклонять такие запросы с повышенными привилегиями. Дополнительные сведения о защищенном хранилище клиента:

Примечание.

Веб-службы в область обычно поддерживают функцию "Защищенное хранилище клиентов" с некоторыми исключениями. Клиент обязан учитывать это при оценке пригодности веб-служб для использования с контролируемыми рабочими нагрузками товаров.

Ограниченная поддержка на канадской основе

Существуют ограниченные сценарии, когда для оказания технической помощи во время развертывания технологий или устранения неполадок требуется досмотр контролируемых товаров или владение им. Если требуется подробное изучение, клиент должен запросить отдельное взаимодействие с Microsoft Canada, которое включает в себя явное договорное обязательство гарантировать, что сотрудники, которым необходимо изучить контролируемые данные о товарах, находятся в Канаде и оцениваются в соответствии с Правилами контроля товаров. Клиент несет ответственность за создание этого пользовательского соглашения непосредственно с Microsoft Canada. За дополнительными сведениями обратитесь в службу поддержки учетных записей Майкрософт.

Учета

Корпорация Майкрософт не знает характер или содержимое данных, которые клиенты могут хранить или обрабатывать в веб-службах, и не может получать уведомления от клиентов, связанные с типами данных, которые они отправляют в веб-службы. В результате корпорация Майкрософт не имеет коммерческих средств отслеживания того, какие из ее клиентов используют или планируют использовать свои веб-службы для хранения и обработки контролируемых данных о товарах. Обязательства по ведению записей остаются только у клиента, когда он решает использовать веб-службы Майкрософт.

Инциденты безопасности

Обязательства майкрософт по уведомлениям об инцидентах безопасности для веб-служб описаны в DPA. Сотрудники Корпорации Майкрософт не имеют сведений о характере каких-либо конкретных данных клиента, на которые мог повлиять инцидент безопасности. Клиент (или регистрант CGP) несет ответственность за определение того, связан ли конкретный инцидент безопасности с данными о контролируемых товарах, и сообщить об этом CGP, как это предусмотрено в разделе 10(h) Регламента.

Вопросы и ответы

Где находятся специалисты службы поддержки и инженеров Microsoft Online Services?

Корпорация Майкрософт предоставляет услуги поддержки для своих коммерческих облачных предложений во многих местах по всему миру для клиентов в разных регионах и странах.

Каковы гражданские адреса облачных центров обработки данных Майкрософт в Канаде?

Корпорация Майкрософт не раскрывает гражданские адреса своих центров обработки данных. Мы установили эту политику, чтобы обеспечить безопасность наших центров обработки данных. В настоящее время корпорация Майкрософт управляет двумя облачными регионами в Канаде : Центральная Канада с сайтами в Торонто и Восточной Канадой , а сайты находятся в Квебеке. Мы рекомендуем клиентам ссылать облачный регион, где их данные хранятся вместо физических адресов в своих планах безопасности контролируемых товаров, если это необходимо.

Где хранятся данные в Microsoft Online Services?

Расположение данных относится к географическому расположению облака или региону, в котором хранятся неактивные данные клиента. Используйте следующие ссылки, чтобы понять, как определить текущие обязательства по размещению и размещению данных в область службах:

Клиенты несут ответственность за оценку того, поддерживает ли данная облачная служба конфигурацию расположения данных (включая любые исключения, указанные в условиях продукта или Центре управления безопасностью Майкрософт). Не все веб-службы позволяют настраивать хранилище данных в определенных облачных регионах.

Где обрабатываются данные в microsoft Online Services?

Обработка данных включает вычислительные операции, выполняемые облачными службами с данными клиента для предоставления необходимых веб-служб. Клиент несет ответственность за оценку того, может ли обработка, хранение или передача данных за пределами Канады выполняться в облачных службах или в рамках технической поддержки, а также может ли потребоваться разрешение на экспорт.

Для основных служб Azure для региона Канада корпорация Майкрософт не будет хранить или обрабатывать данные клиентов за пределами указанного клиентом географического расположения без вашего разрешения. Клиентам следует ознакомиться с расположением данных в Azure — дополнительные сведения о расположении данных клиента и оценить следующее:

  • Для обеспечения устойчивости корпорация Майкрософт использует переменные сетевые пути, которые иногда пересекают географические границы, но репликация данных клиента между регионами всегда передается по зашифрованным сетевым подключениям.
  • Персонал Майкрософт (включая субобработчиков), расположенный за пределами географического региона, может удаленно управлять системами обработки данных в географическом регионе, но не будет получать доступ к данным клиента без авторизации клиента.
  • Некоторые службы могут не позволить клиенту настроить развертывание в определенном регионе Azure или крупном географическом регионе (географическом регионе) или выполнять ограниченную обработку или хранение в других расположениях, как описано в Центре управления безопасностью Майкрософт (которые Корпорация Майкрософт может время от времени обновлять, но корпорация Майкрософт не будет добавлять исключения для служб, больше не доступных в предварительной версии).
  • Если администратор клиента или пользователь предпринимает действие в службах, которые инициируют передачу данных из канадского региона, корпорация Майкрософт не будет ограничивать такие передачи, инициированные клиентом; это нарушит обычные бизнес-операции клиента.

Для основных служб office в Канаде данные обычно обрабатываются ближе всего к месту хранения данных, но некоторые операции могут обрабатывать данные клиентов в коммерческих облачных регионах Azure за пределами Канады. Полный список этих стран и регионов см. в статье География Azure.

Каковы рекомендации по использованию решений генеративного ИИ с контролируемыми товарами?

Решения microsoft generative AI, включая Службу Azure OpenAI и службы и возможности Copilot, не используют данные вашей организации для обучения базовых моделей без вашего разрешения. Ваши данные недоступны для OpenAI или используются для обучения моделей OpenAI. Ваши данные остаются конфиденциальными при использовании Службы Azure OpenAI и Copilots и регулируются нашими применимыми обязательствами по обеспечению конфиденциальности и договорными обязательствами, включая обязательства, которые мы ложим на себя в Дополнительном соглашении о защите данных Майкрософт, условиях продукта Майкрософт и Заявлении о конфиденциальности Майкрософт.  

Благодаря приверженности корпорации Майкрософт ответственному использованию ИИ службы Azure OpenAI используют процессы мониторинга злоупотреблений, включая проверку человеком, для обнаружения и устранения случаев повторяющегося содержимого и (или) поведения, которые предполагают использование службы способом, который может нарушить Правила поведения или другие применимые условия продукта. Клиенты должны оценить, как обрабатываются данные с помощью ресурсов, доступных в Azure OpenAI Data, Privacy, and Security, и как они могут применяться для получения исключения из мониторинга злоупотреблений и проверки человеком.

Дополнительные сведения о данных, конфиденциальности и безопасности для Microsoft Copilot для Microsoft 365 см. в статье Данные, конфиденциальность и безопасность для Microsoft 365 Copilot.

Какие разрешения на экспорт требуются при использовании контролируемых товаров с веб-службами Майкрософт?

Клиенты должны обратиться за рекомендациями по глобальным делам Канады (или другим нормативным органам) в отношении любых разрешений на экспорт, которые могут потребоваться при оценке основных служб Azure и основных служб Office в Регионе Microsoft Канада, включая, помимо прочего, сценарии, в которых хранение данных, передача сетевых данных, обработка или передача данных могут происходить за пределами Канады.

Корпорация Майкрософт не несет ответственности за добавление в качестве участника любого приложения на экспорт лицензии без нашего явного согласия. Дополнительные сведения см. в статье Вопросы и ответы по экспорту Майкрософт.

Какие другие функции безопасности и конфиденциальности могут быть полезны при настройке веб-службы в область для использования с контролируемыми товарами?

Клиент несет ответственность за то, чтобы его использование веб-служб не привело к несанкционированным лицам, включая сотрудников Microsoft Online Services, проверке, хранению или передаче контролируемых товаров. Это может включать, например, оценку и внедрение клиентом функций безопасности, доступных в определенных веб-службах. К соответствующим функциям относятся:

  • Защищенное хранилище клиентов. Корпорация Майкрософт рекомендует клиентам включить функцию "Защищенное хранилище клиентов" с область службами в качестве дополнительной защиты в меры по устранению рисков. Защищенное хранилище предоставляет клиенту контроль над рабочими процессами поддержки, которым требуется доступ к данным клиента, позволяя клиенту утверждать или отклонять такие запросы с повышенными привилегиями. Дополнительные сведения о защищенном хранилище клиента см. в разделе:
  • Защита информации Microsoft Purview. Метки конфиденциальности из Защита информации Microsoft Purview позволяют классифицировать и защищать данные организации, обеспечивая при этом, чтобы производительность пользователей и их способность к совместной работе не препятствовали. Корпорация Майкрософт рекомендует клиентам развертывать и настраивать соответствующие метки конфиденциальности и связанные политики защиты данных для контролируемых данных о товарах в основных службах Office.
  • Шифрование двойного ключа Microsoft Purview (DKE): приложения Office (Outlook, Word, Excel и PowerPoint в Windows) поддерживают использование шифрования с двойным ключом, предоставляя возможность сквозной конфигурации шифрования. Документы Office и текст электронной почты шифруются клиентскими приложениями Office с помощью службы управления ключами и ключа, которые находятся под контролем клиента. Если содержимое шифруется с помощью DKE, общая функциональность основных служб Microsoft 365, включая многие настраиваемые клиентом функции безопасности, может быть сокращена, так как облачная инфраструктура Майкрософт не имеет доступа к закрытому ключу и не может выполнять облачную обработку зашифрованных данных. Например, это ограничивает некоторые функции, такие как облачная защита от потери данных (DLP), использование Office веб-приложения и совместное редактирование. Таким образом, данные клиентов, зашифрованные с помощью DKE в облаке, никогда не доступны в незашифрованном виде для службы поддержки или технического персонала Майкрософт. DKE необходимо развернуть с Защита информации Microsoft Purview для шифрования служб и использования меток конфиденциальности для содержимого.
  • Конфиденциальные вычисления Azure. Конфиденциальные вычисления в Azure повышают безопасность в различных аспектах облачной инфраструктуры вычислений и соответствуют отраслевому определению конфиденциальных вычислений. В то время как существующее шифрование защищает неактивные и передаваемые данные, конфиденциальные вычисления защищают или шифруют данные во время обработки или вычисления в памяти с помощью новых доверенных сред выполнения на основе оборудования в Azure. Предложения конфиденциальных вычислений Azure выходят за рамки операционных мер безопасности и защиты памяти, обеспечивая изоляцию рабочей нагрузки с доверием с аппаратным корнем. Модель угроз конфиденциальных вычислений направлена на удаление или уменьшение возможности оператора поставщика облачных служб и других субъектов в домене клиента доступа к коду и данным во время его выполнения. При использовании с шифрованием неактивных и передаваемых данных конфиденциальные вычисления устраняют самый большой барьер шифрования ( шифрование во время использования ) путем защиты конфиденциальных или строго регулируемых наборов данных и рабочих нагрузок приложений на безопасной общедоступной облачной платформе.
  • Azure Key Vault. Управляемый модуль HSM (аппаратный модуль безопасности) Azure Key Vault — это полностью управляемая высокодоступная однотенантная облачная служба, совместимая со стандартами, которая позволяет защищать криптографические ключи для облачных приложений с помощью модулей HSM уровня 3, проверенных FIPS 140-2. Это одно из нескольких ключевых решений для управления в Azure.

Какие рекомендации связаны с подключенными службами Office?

Microsoft Office состоит из клиентских программных приложений и подключенных возможностей, предназначенных для более эффективного создания, взаимодействия и совместной работы. Примеры сетевых функций: совместная работа с другими пользователями над документом, хранящимся в OneDrive, или перевод содержимого документа Word в на другой язык. Некоторые возможности подключения, известные как необязательные подключенные возможности, которые можно получить при использовании приложений Office для выполнения своих функций через Интернет (или другие веб-службы Майкрософт).

Некоторые возможности Office Connected Experience анализируют содержимое клиентов в приложениях Office, чтобы предоставить рекомендации по проектированию, предложения по редактированию, аналитику данных и аналогичные функции. Анализ содержимого таким образом является еще одной формой обработки данных и может выполняться в коммерческих облачных регионах Azure за пределами Канады.

Клиенты должны включить подключенные возможности Office в рамках оценки контролируемых товаров и Microsoft Online Services, включая возможность контролировать использование возможностей анализа содержимого для документов, к которым применены определенные метки конфиденциальности.

Каковы распространенные ограничения сквозного шифрования с облачными службами?

Сквозное шифрование или E2EE обычно подразумевает, что содержимое шифруется перед отправкой в облако и расшифровывается только предполагаемым получателем при получении из облака. При использовании E2EE только две системы конечных точек участвуют в шифровании и расшифровке данных. Если инфраструктура облачных служб не имеет управляемого доступа к ключу шифрования для расшифровки данных, возможность обработки этих данных ограничена. Например, сканирование облачных вредоносных программ, применение правил защиты от потери данных в облаке (DLP) для содержимого и многопользовательское редактирование документов не будут работать, если поставщику облачных служб не удалось расшифровать данные для выполнения необходимой обработки.

Шифрование с двойным ключом (Майкрософт) предоставляет параметр конфигурации сквозного шифрования, предназначенный для использования с подмножеством Office 365 данных, в соответствии с самыми строгими требованиями к защите данных. При оценке этой возможности необходимо тщательно проверять требования к развертыванию.

Примечание.

Термин сквозного шифрования может иметь другие интерпретации, в том числе в контексте определенной границы безопасности. Клиент несет ответственность за оценку и настройку параметров шифрования, доступных в веб-службах.

Какие ресурсы доступны для реализации защищенной облачной конфигурации, которая применяет политики безопасности организации?

Корпорация Майкрософт публикует подробные сведения о том, как проектировать, настраивать и использовать защищенные конфигурации облачных клиентов. Microsoft Cloud Adoption Framework для Azure является полезной отправной точкой для рабочих нагрузок IaaS и PaaS. План развертывания "Никому не доверяй" в Microsoft 365 содержит рекомендации по созданию системы безопасности "Никому не доверяй" с помощью Microsoft 365.

Что делать, если данные контролируемых товаров также распространяются на другие правила экспортного контроля?

Клиенты несут ответственность за определение того, подходят ли службы Майкрософт (включая веб-службы, техническую поддержку и профессиональные службы) для хранения или обработки информации, подлежащей каким-либо конкретным законам или нормативным актам, а также для использования служб Майкрософт в соответствии с юридическими и нормативными обязательствами. Хотя сценарии с данными контролируемых товаров, на которые распространяются правила экспортного контроля, не относящиеся к Канаде, выходят за рамки область этой статьи, информация в разделе Ресурсы может оказаться полезной для клиентов.

Ресурсы