Меры безопасности высокого уровня согласно испанскому стандарту Esquema Nacional de Seguridad (ENS)

Обзор ENS в Испании

В 2007 г. испанское правительство приняло закон 11/2007, создавший правовое поле для предоставления гражданам электронного доступа к государственным и частным услугам. Этот закон является основой для Esquema Nacional de Seguridad (Национальная база безопасности), который регулируется обновленным Королевским указом (RD) 311/2022. Целью инфраструктуры является создание доверия при предоставлении электронных услуг, а также обеспечение доступа, целостности данных, доступности, подлинности, конфиденциальности, возможности отслеживания и сохранности данных, информации и служб.

Эта инфраструктура используется всеми общественными организациями и государственными учреждениями Испании, приобретающими облачные службы, а также поставщиками информационных и коммуникационных технологий (ICT). Он направляет эти агентства и компании в реализации эффективных средств контроля безопасности в облаке и локальной среде в соответствии с испанскими и ЕС стандартами безопасности и конфиденциальности.

Инфраструктура устанавливает основные политики и обязательные требования, которые должны соблюдаться государственными учреждениями и их поставщиками услуг. Она определяет набор конкретных элементов управления безопасностью (многие из которых непосредственно соответствуют стандарту ISO/IEC 27001) в отношении доступности, проверки подлинности, целостности, конфиденциальности и отслеживания. Конфиденциальность информации (низкая, средняя или высокая) определяет меры безопасности, которые должны быть применены для ее защиты.

Каждое государственное учреждение должно применить подход к безопасности с управлением рисками, при котором выявляются и оцениваются риски с последующим применением к ним соответствующих элементов управления безопасностью. Поставщики услуг также должны соответствовать строгим требованиям инфраструктуры, чтобы обеспечивать безопасность своих процедур, технических функций и операций, а также обеспечивать соблюдение учреждениями нормативных требований.

Инфраструктура предписывает использовать процесс аккредитации, добровольный для систем, управляющих сведениями низкой конфиденциальности, но обязательный для систем, управляющих сведениями среднего или строгого уровня конфиденциальности. Аудит выполняется независимым аккредитованным аудитором. Отчет проверяется в процессе сертификации до принятия элементов управления риском на заключительном этапе аккредитации.

Майкрософт и меры безопасности высокого уровня согласно испанскому стандарту ENS

Microsoft Azure и Microsoft 365 прошли строгую оценку BDO, независимого аудитора, который опубликовал официальное заявление об их соответствии. BDO сообщает, что меры безопасности в обеих службах, а также их информационных системах и средствах обработки данных на высоком уровне соответствуют RD 311/2022 без каких-либо корректирующих мер. Корпорация Майкрософт стала первым поставщиком гипермасштабируемых облачных служб в Испании, получившим этот сертификат.

Microsoft in-область облачные платформы и службы

  • Azure
  • Microsoft 365 и Microsoft 365 для образовательных учреждений
  • Microsoft Dynamics 365

Microsoft 365 и ENS High

Среды Microsoft 365

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Microsoft 365 и Microsoft 365 для образовательных учреждений и область служб

Используйте следующую таблицу, чтобы определить применимость для служб и подписок Microsoft 365 и Microsoft 365 для образовательных учреждений:

Применимость Затрагиваемые службы
Коммерческий сектор Copilot в Windows, Microsoft 365 (включает Word, Excel, PowerPoint, Outlook, SharePoint, Exchange, OneNote, OneDrive, Планировщик (Майкрософт), Sway, Доска, Delve, Microsoft Forms, Список дел Microsoft и Windows), Microsoft Copilot для Microsoft 365, Microsoft Copilot с коммерческой защитой данных, Microsoft Defender for Cloud Apps, Microsoft Defender для конечной точки, Microsoft Defender для удостоверений, Microsoft Defender для Office 365, Microsoft Defender XDR (включает Microsoft Defender для конечной точки, Microsoft Defender для удостоверений, Microsoft Defender для Office 365 и Microsoft Defender for Cloud Apps), защита Microsoft Exchange Online, Microsoft Intune, Microsoft Outlook Mobile, Microsoft Outlook Web App, Microsoft Purview (включает аудит, адаптивную защиту, соответствие требованиям к обмену данными, обнаружение электронных данных, диспетчер соответствия требованиям, Information Protection, управление жизненным циклом данных, управление внутренними рисками, предотвращение потери данных и единое управление данными, а также Microsoft Purview), Microsoft Teams (включая аудиоконференции и телефонную систему), Microsoft Viva (включая подключения, аналитику, Обучение и Engage)

Dynamics 365 и ENS High

Dynamics 365 применимости и область служб

Используйте следующую таблицу, чтобы определить применимость для служб и подписки Dynamics 365:

Применимость Затрагиваемые службы
Коммерческий сектор Copilot для Dynamics 365, Copilot для финансов, Copilot для продаж, Copilot для обслуживания клиентов, Copilot в Power Platform (включая Copilot для Power Apps, Copilot для Power Automate, Copilot для Power Pages и Copilot для Power BI), Copilot Studio, Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 данные Customer Insights, Dynamics 365 Customer Insights Journey, Dynamics 365 Обслуживание клиентов (включая Omnichannel), Dynamics 365 Customer Voice, Dynamics 365 Field Service (включая удаленную поддержку), Dynamics 365 Finance, Dynamics 365 Fraud Protection, Dynamics 365 отдел кадров, Dynamics 365 Project Operations, Dynamics 365 Sales, управление цепочками поставок Dynamics 365, Power Platform (включая Power BI, Power Apps, Power Automate и Power Pages)

Microsoft Azure и ENS High

Azure применимость и область службы

Используйте следующую таблицу, чтобы определить применимость для служб и подписки Azure:

Применимость Затрагиваемые службы
Коммерческий сектор Azure AI Foundry (включает Azure OpenAI Studio, студию машинного обучения Azure, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio и безопасность содержимого Azure Studio), Azure службы ИИ (включают Azure OpenAI, Когнитивный поиск Azure, Зрение ИИ Azure, Azure ai Пользовательское визуальное распознавание, Azure язык ИИ, Azure ИИ. Речь, переводчик Azure ИИ, аналитика документов Azure ИИ, Azure ИИ Служба Bot, Azure ИИ Аудио & видео, Azure Детектор аномалий ИИ, Azure безопасность содержимого ИИ, Azure Персонализатор ИИ, Azure Помощник по метрикам ИИ и Иммерсивное средство чтения Azure), Azure Analysis Services, Azure Управление API, Служба приложений Azure, Шлюз приложений Azure, Azure Arc, Azure Backup, бастион Azure, Кэш Azure для Redis, Azure Конфиденциальные вычисления, Azure Контейнерные приложения, Экземпляры контейнеров Azure, Реестр контейнеров Azure, Azure Cosmos DB, Фабрика данных Azure, Azure Data Lake, Azure Data Lake Analytics, База данных Azure для MariaDB, База данных Azure для MySQL, База данных Azure для PostgreSQL, Azure Databricks, защита от атак DDoS Azure Azure DevOps, Сетка событий Azure, Центры событий Azure, Azure ExpressRoute, Брандмауэр Azure, Брандмауэр Azure Manager, Azure HDInsight, Центр Интернета вещей Azure, Azure Key Vault (включая Standard, Premium и управляемый модуль HSM), Служба Azure Kubernetes, Azure Load Balancer, Azure Log Analytics, Azure Logic Apps, монитор Azure, Azure NetApp Files, Служебная шина Azure, Azure Site Recovery, Azure SQL, база данных Azure SQL, Управляемый экземпляр SQL Azure, хранилище Azure (включая BLOB-объекты, Архив, диск, файл и Data Box), Azure Synapse Analytics, Azure Виртуальный рабочий стол (AVD), Azure Виртуальные машины Azure виртуальная сеть, Решение Azure VMware, Azure VPN-шлюз, Azure Брандмауэр веб-приложений, Azure веб-приложения, Copilot для Azure, Fabric Copilot, Microsoft Copilot для безопасности, Управление состоянием безопасности облака Microsoft Defender, Управление направлением внешних атак Microsoft Defender (EASM), Microsoft Defender для облака, Microsoft Defender для Интернета вещей, Microsoft Entra (включая Entra id, Entra ID Governance, Entra Внешняя идентификация, Entra Доменные службы, Entra Проверенные учетные данные, Entra Управление разрешениями, Entra Идентификация рабочей нагрузки, Entra Доступ в Интернет и Entra Частный доступ), Microsoft Fabric, Microsoft Sentinel Power BI Embedded

Аудит, отчеты и сертификаты

Сертификат действителен в течение двух лет с ежегодным инспекционным аудитом.

Azure

Microsoft 365 и Microsoft 365 для образовательных учреждений

Dynamics 365

Вопросы и ответы

Как получить копии отчетов об аудите и сертификатов?

На портале Service Trust Portal отчеты об аудите и сертификаты доступны на испанском и английском языках. Ваши аудиторы могут использовать их, чтобы сравнить результаты для облачных служб Майкрософт с вашими юридическими и нормативными требованиями.

С чего начинается обеспечение соответствия требованиям в организации?

Если ваша организация использует Azure или Office 365, вы можете использовать отчеты об аудите и аккредитацию МАЙКРОСОФТ ENS в рамках процесса аккредитации. Однако вы несете ответственность за привлечение аудитора для оценки реализации на предмет соответствия требованиям, а также за обеспечение соответствия элементов управления и процессов в вашей организации платформе.

Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска

Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы