Ни одно предложение в истории Microsoft не находило такого отклика, как Office 365. Клиенты верят, что платформа не только удовлетворит их профессиональные нужды, но и обеспечит надежную защиту и управление критически важными для бизнеса информационными ресурсами.

Безопасность в Office 365 достигается благодаря непрерывной работе в области мониторинга, обслуживания, совершенствования, подготовки отчетов и проверки. Microsoft стремится показать, что ваши данные в Office 365 остаются вашими; их никогда не будут анализировать для рекламных кампаний и к вашим данным никогда не будут обращаться иначе как с целью предоставления «облачных» услуг для организации офисной работы. Когда вы оформляете подписку на использование Office 365, вам предъявляется ряд предупреждений о нормативных требованиях с описанием способов управления.

Конечно, на различных веб-сайтах и в документах Microsoft содержится самая полная информация, но часто она представлена в разнородных форматах и разбросана по многим сайтам, что затрудняет изучение важных тем. Мы считаем, что было бы полезно дать единый, исчерпывающий обзор мер защиты данных, применяемых на платформе Office 365, который послужит надежным основанием для разработки стратегии управления данными в компании.

Структура этой статьи очень проста: мы приводим подробное описание различных функций безопасности, соответствия требованиям, администрирования и управления, реализованных в Office 365. Для всех тем избран единый порядок представления:

  • Описание каждой функции управления или защиты данных.
  • Объяснение ее предназначения и способов применения.
  • Источники дополнительной информации.

Мы уверены, что такой материал будет незаменимым ресурсом для администраторов Office 365 и специалистов по безопасности. Компания Microsoft приложила немало усилий, чтобы по возможности уменьшить опасения относительно безопасности данных в Office 365. Обязательно обратите внимание на центр управления безопасностью Office 365 Trust Center — в нем вы найдете подробные объяснения для всех рассмотренных в данной статье тем. На сайте своевременно отражаются все изменения в стандартах, применимых к Office 365, приводятся сведения о новых мерах безопасности и ссылки на многие национальные и международные сертификаты, выданные «облачной» платформе.

Цель предлагаемого руководства — дать обзор этих материалов, чтобы помочь читателям разобраться в подходе Microsoft к защите целостности ваших данных и улучшению качества служб, предоставляемых Office 365. Приведенную в статье информацию можно разделить на четыре категории: безопасность, соответствие требованиям, администрирование и управление.

Если на вас возложены какие-либо обязанности по техническому развитию или обслуживанию платформы Office 365, если вы — владелец компании, обеспокоенный тем, как ваши данные обрабатываются в Office 365, или если вы пытаетесь узнать больше об административных функциях платформы, то это руководство для вас.

Как Office 365 обеспечивает безопасность

Теперь, после обзора тем, которые будут затронуты в данной статье, рассмотрим каждую из возможностей системы безопасности, соответствия требованиям, администрирования и управления, реализованных в платформе Office 365, начиная с безопасности данных.

В основе Office 365 лежат одни из самых надежно защищенных центров обработки данных в мире, соответствующие составленным в компании Microsoft требованиям жизненного цикла разработки защищенных приложений Security Development Lifecycle (SDL). Многие методики складывались десятилетиями, и в течение этого времени Microsoft вела собственные разработки корпоративного программного обеспечения, так что начиная с конца 1990?х эти усилия охватывали многочисленные веб-службы.

Платформа Office 365 располагает пользовательскими и административными функциями управления корпоративного уровня, которые дают организациям возможность масштабировать среды, обеспечивая гарантию безопасности на всех уровнях (физическом, логическом и уровне данных) и соответствия отраслевым стандартам. Microsoft постоянно повышает уровень безопасности платформы Office 365, от сканирования портов и периметра до регулярного аудита действий и доступа оператора или администратора. Если вы хотите быть в курсе шагов, предпринимаемых Microsoft для защиты данных, советуем обратить внимание на сайт Office 365 Roadmap (https://products.office.com/en-US/business/office-365?roadmap) и время от времени посещать его, чтобы следить за свежими обновлениями.

Физическая безопасность

В этом разделе речь пойдет об управлении доступом к системам и данным. Microsoft обеспечивает круглосуточную безопасность всего оборудования центров обработки данных, в том числе мультифакторную проверку подлинности всех систем и биометрическое сканирование для физического доступа. Все системы внутренней сети отделяются от внешней.

Кроме того, вследствие разделения ролей даже сотрудники с физическим доступом к системам не могут определить местоположение конкретных данных клиента. Рабочие процедуры в центре обработки данных гарантируют, что оборудование и системы обновляются и оптимизируются, неисправные накопители и устройства размагничиваются и уничтожаются. Вы можете спать спокойно, зная, что оборудование, в котором хранятся ваши данные, защищено в одном из самых надежных центров обработки данных в мире.

Логическая безопасность

Это защита программного обеспечения и платформы с использованием проверок подлинности, паролей, уровней разрешения и других мер, благодаря которым только определенные люди получат доступ к вашим данным. Microsoft предоставляет клиентам полный контроль над их данными в редких случаях, когда Microsoft необходим доступ к данным, чтобы разрешить конфликт (защищенное хранилище Office 365 Customer Lockbox). Office 365 обеспечивает упреждающее управление угрозами, сканирование портов и периметра и точное управление процессами из одобренного списка на сервере, защищая от вредоносного кода и несанкционированного доступа.

Безопасность данных

Это защита конфиденциальности и целостности данных от стихийных бедствий, порчи системы или отказа оборудования и противоправных действий пользователя. Шифрование неактивных и пересылаемых данных защищает их как на серверах, так и в устройствах хранения или при передаче между пользователем и Microsoft.

В дополнение к борьбе с текущими угрозами, мониторингу безопасности и предотвращению любого вмешательства в работу системы или порчи данных, Office 365 предоставляет подробные соглашения об уровне обслуживания (SLA) для аварийного восстановления и обеспечения непрерывности бизнес-процессов, помогая удовлетворить все требования к безопасности.

Каким образом Office 365 управляет соответствием требованиям?

Платформа Office 365 поддерживает клиентов во всем мире, опираясь на различные стандарты и нормативы, определяющие обработку информационных ресурсов. Microsoft постоянно расширяет список поддерживаемых стандартов соответствия требованиям и безопасности.

Один из ключевых принципов доверия к Office 365 — соответствие требованиям. В коммерческих организациях действуют нормативы и политики, которым необходимо соответствовать для ведения бизнеса в различных областях. Эти политики могут представлять собой сочетание внешних нормативных требований, зависящих от отрасли и географического положения, и внутренних политик компаний.

Office 365 располагает встроенными возможностями и пользовательскими элементами управления, которые помогут добиться соответствия как различным отраслевым нормативам, так и внутренним требованиям и идти в ногу с непрерывно меняющимися современными стандартами и нормативными актами. Чтобы закрепить эти достижения и продолжать завоевывать доверие пользователей, Microsoft проходит независимые аудиторские проверки, подтверждающие соответствие всем политикам и процедурам для безопасности, соответствия требованиям и конфиденциальности.

К основным аспектам встроенных возможностей соответствия требованиям относится независимый аудит, удостоверяющий соответствие Office 365 многим мировым отраслевым стандартам и сертификатам. В Office 365 используется инфраструктура управления, в которой реализован стратегический подход к внедрению обширных функций контроля соответствия стандартам, которые в свою очередь удовлетворяют различным отраслевым нормативам. Office 365 поддерживает более 600 функций управления, которые позволяют Microsoft обеспечить соответствие сложным стандартам и предложить контракты клиентам из регулируемых отраслей, такие как ISO 27001, типовые регламенты ЕС, соглашения о деловых партнерах HIPAA Business Associate Agreements и FISMA/FedRAMP.

Кроме того, Microsoft использует исчерпывающее соглашение об обработке данных для решения проблем конфиденциальности и безопасности, касающихся данных клиентов, помогая клиентам обеспечить соответствие местным нормативным актам. Дополнительные сведения по этой теме можно получить в статье с вопросами и ответами по обеспечению соответствия требованиям нормативных документов Microsoft (https://www.microsoft.com/online/legal/v2/en-us/MOS_PTC_Regulatory_Comp.htm).

Чтобы предоставить клиентам возможность наиболее полного контроля над соответствием требованиям в Office 365, Microsoft разработала три полезные службы.

  • Предотвращение потери данных (DLP). DLP — стратегия и инструментарий, которые помогают администраторам управлять потоком конфиденциальной или критически важной информации вне корпоративной сети. С помощью DLP администраторы могут настраивать политики в зависимости от нужд своей компании в сфере соответствия требованиям, чтобы уменьшить вероятность случайного разглашения финансовой информации, персональных данных (PII) или иных важных сведений об интеллектуальной собственности. Подсказки политики DLP размещают уведомления непосредственно в электронной почте пользователя, предупреждая его о потенциальных опасностях перед отправкой сообщения электронной почты. Эти уведомления могут также использоваться как образовательное средство для ознакомления сотрудников с корпоративными политиками соответствия требованиям.
  • Центр eDiscovery. Обнаружение электронных данных (eDiscovery) — процесс, с помощью которого можно вести поиск, обнаруживать и защищать электронные записи с целью их использования при разрешении юридических вопросов. Эти возможности Office 365 позволяют искать информацию на сайтах SharePoint Online, почтовых ящиках Exchange Online, учетных записях OneDrive для бизнеса или во всех перечисленных хранилищах сразу. Центр eDiscovery позволяет создавать «досье», которые обеспечивают пространство взаимодействия для сбора ключевых элементов, необходимых для формирования доказательной основы. С помощью eDiscovery в Office 365 можно обнаруживать любую информацию, сохраненную в данной среде, в том числе архивированные сообщения электронной почты.
  • Управление записями сообщений Messaging Records. Management (MRM) — внутренняя технология хранения данных в Office 365. Параметры настройки позволяют применять политики управления записями как к содержимому Exchange Online, так и к SharePoint, чтобы указать информацию, которую следует сохранить, и информацию, потребности в которой больше нет. Ведение журнала и подготовка отчетов аудита позволяют отслеживать все что угодно, от действий администратора до доступа к документам и их удаления. Предусмотрено много функций ведения журнала и подготовки отчетов, которые могут быть настроены в соответствии с конкретными нуждами. Сочетание архивации электронной почты и механизма eDiscovery может облегчить задачу пользователям и администраторам за счет сокращения объема работы по организации папки «Входящие» и автоматического применения политики хранения данных на основе типа используемой информации. Дополнительное преимущество архивации заключается в том, что вашим пользователям не приходится сортировать свои почтовые сообщения в независимых архивных файлах на локальных системах, которые могут располагаться за пределами вашего ИТ-подразделения.

Службы постоянного соответствия

Это инфраструктура процессов и функций управления, которые используются Office 365 для упреждающего мониторинга и управления платформой. Существует более 1000 элементов управления, их число постоянно растет, и Microsoft регулярно пересматривает собственные политики и процедуры обработки данных, чтобы обеспечить поддержку новых клиентов и отраслевых стандартов. По мере того как к службе присоединяются новые клиенты, в каждом клиентском соглашении оговариваются процессы обработки данных, обеспечения конфиденциальности и безопасности, необходимые для соответствия нормативным актам, относящимся к локальным данным. Microsoft постоянно анализирует развивающиеся отраслевые стандарты, чтобы обеспечить актуальность инфраструктуры соответствия Office 365.

Кроме того, в систему встроены возможности удержания по юридическим причинам и eDiscovery, чтобы помочь искать, сохранять, анализировать и упаковывать электронный контент по юридическим запросам или расследованиям, а DLP поможет идентифицировать, контролировать и защищать конфиденциальную информацию.

Международные сертификаты и стандарты соответствия

Microsoft учитывает, что клиенты по всему миру действуют в рамках различных законов и нормативных актов. Юридические требования и стандарты в одной стране или регионе могут быть неприменимы в других регионах.

Деятельность компании распространяется на многие регионы, страны и экономические зоны, и Microsoft непрерывно расширяет набор своих служб и функций, чтобы обеспечить соответствие широкому кругу нормативных актов и правил обеспечения конфиденциальности в соответствии с нуждами клиентов.

В приведенном ниже списке перечислены некоторые основные сертификаты и стандарты соответствия, реализованные на платформе Office 365. Однако в конечном итоге клиент определяет, удовлетворяют ли эти стандарты его нормативным требованиям.

  • Закон США об ответственности и переносе данных о страховании здоровья граждан (HIPAA).
  • Соглашения об обработке данных (DPA).
  • Федеральный закон США об управлении информационной безопасностью (FISMA).
  • Федеральная программа управления рисками и авторизацией (FedRAMP).
  • ISO 27001.
  • Типовые регламенты ЕС.
  • Соглашения Safe Harbor США-ЕС.
  • Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA).
  • Заявление по стандартам для заданий по аудиту на соответствие No. 16 (SSAE 16).
  • Закон Канады о защите персональных данных и электронных документах (PIPEDA).
  • Закон Грэмма-Лича-Блайли (GLB).

Что такое администрирование Office 365?

Office 365 — служба, управляемая компанией Microsoft, но на данной платформе существует много инструментов и средств управления, с помощью которых клиенты могут обеспечить безопасность, соответствие требованиям и текущее администрирование, осуществляя детальное управление платформой. Клиенты могут идентифицировать, отслеживать и защищать свои конфиденциальные данные с использованием функций DLP, а также задавать специальные правила относительно архивации, аудита и eDiscovery при различных рабочих нагрузках.

Управление правами

Служба управления правами дает пользователю возможность шифровать информацию с помощью 128?разрядного алгоритма AES и применять политики к электронной почте или документам. В результате контент успешно используется только уполномоченными лицами. Предотвращается доступ на уровне файлов для пользователей, не имеющих соответствующих полномочий. Пользователи и администраторы могут указать разрешения для доступа к документам, рабочим книгам и презентациям. Это поможет предотвратить печать, пересылку или копирование конфиденциальной информации благодаря применению интеллектуальной политики.

Многофакторная проверка подлинности

Определение простое: это способ обеспечения безопасности, требующий двух или нескольких методов проверки подлинности при доступе к системе, обычно с использованием независимых категорий учетных данных, чтобы удостоверить личность пользователя. Благодаря применению второго фактора, например пароля или персонального идентификационного номера (PIN-кода), в дополнение к основному фактору, которым является удостоверение, повышается безопасность мобильной, ориентированной на «облако» среды со многими устройствами. Таким образом проще понять, кто обращается к вашей системе.

Элементы управления для сайтов, библиотек и папок

Это методы и API-интерфейсы, в первую очередь Office 365 Management Activity API, позволяющие компаниям лучше видеть действия, совершаемые в отношении контента, и управлять доступом. SharePoint Online, ключевая служба Office 365, обеспечивающая функции совместной работы, располагает набором элементов управления конфиденциальностью. Эти элементы управления конфиденциальностью позволяют просматривать разнообразные журналы, в которых собраны сведения о взаимодействии пользователей с контентом, с помощью которых можно усовершенствовать политики для текущего мониторинга, анализа и визуализации данных. Помимо оптимизации управления разрешениями на основе происходящего с вашим контентом, вы можете воспользоваться этими сигналами как входными, например для системы управлениями инцидентами и таблицами (SIEM).

S/MIME

Этот широко распространенный стандарт для шифрования и подписи в электронной почте с помощью открытого ключа (S/MIME) дает возможность безопасного доступа к электронной почте на основе сертификатов. Он обеспечивает шифрование сообщений электронной почты и позволяет автору подписывать сообщения, чтобы защитить их целостность и источник.

Элементы управления конфиденциальностью

В Skype для бизнеса (Lync), еще одном ключевом компоненте платформы Office 365, обеспечивающем обмен данными в реальном времени, предусмотрены различные элементы управления административного уровня, а также элементы управления уровня пользователя, чтобы включать или блокировать связь с внешними пользователями и организациями. Это позволяет управлять уровнем видимости средств отслеживания состояния вашей организации внутри и вне компании, обеспечивая конфиденциальность вашего контента и взаимодействия.

Шифрование сообщений Office 365

Технология шифрования позволяет отправлять и получать шифрованные сообщения электронной почты так же просто, как обычные. Какую пользу можно извлечь из этого? Шифрование позволяет не допустить утечки конфиденциальной информации и данных из системы с использованием контролируемых вами правил политики и стандартов соответствия. С помощью шифрования сообщений Office 365 вы можете избежать затрат на стороннюю инфраструктуру и исключаете необходимость в сертификатах, используя собственные электронные сообщения получателя в качестве открытого ключа.

Управление доступом на основе ролей

Эта функция позволяет включить доступ для определенных пользователей в зависимости от назначенных ролей, авторизации ролей и разрешений. Она позволяет при необходимости делегировать административные полномочия в масштабе организации. В некоторых организациях могут работать администраторы или специалисты по SharePoint, которые не являются администраторами Exchange или связи и поэтому нуждаются в административных полномочиях лишь в части среды Office 365. Эта функция позволяет сегментировать администрирование по ролям.

Защита Exchange Online

Поддерживаемая корпорацией Microsoft служба безопасности электронной почты в Office 365 обнаруживает и удаляет вредоносные программы, спам и компьютерные вирусы. Вы можете управлять настройками, используемыми в компании для борьбы с вирусами и спамом, из административной консоли Office 365, получая отчеты, составляемые практически в реальном времени, создавая фильтры на основе политик и отслеживая сообщения. Все эти меры обеспечивают вашу безопасность и соответствие требованиям.

Управление удостоверениями

Это процесс идентификации пользователей в системе и управления предоставляемым им доступом к ресурсам внутри системы. Он предусматривает различные возможности управления удостоверениями, в том числе «облачными», локальными удостоверениями с проверкой подлинности на основе токена безопасности и федеративными удостоверениями (также известными как единый вход или SSO) для интеграции с системой управления удостоверениями Office 365 в зависимости от нужд вашей организации.

Управление мобильными устройствами

Специалисты Microsoft разработали инструменты, которые помогают управлять доступом к среде Office 365 через телефоны и планшеты, независимо от операционной системы (iOS, Android или Windows). Эти функции помогут лучше управлять политиками безопасности из устройств, подключаемых к среде Office 365, обеспечивая охват всех точек доступа к вашей среде политиками и процедурами безопасности, соответствия требованиям и управления.

Что такое рекомендации по управлению Office 365?

Управление это важно, но управление средой Office 365 в меньшей степени связано с технологией, и в большей с методами и процедурами, применяемыми для администрирования информационными ресурсами. Office 365 располагает инструментами и возможностями, необходимыми для создания рациональных стандартов управления и удовлетворения внутренних и отраслевых требований к управлению. Согласованный, целостный и практичный подход к управлению необходим для таких платформ, как Office 365, отличающихся широким охватом. Благодаря упрощению подготовки политик при переходе в «облако» вы сможете тратить меньше усилий на перемещение ресурсов и сосредоточиться на процессах и управлении, что было затруднительно раньше.

Вследствие таких перемен произошли позитивные изменения и в наших взглядах на методы управления и выбор проблем, которым следует уделять время.

Продумывая управление в среде Office 365, важно оценить свои стратегические и тактические планы по реализации этого подхода. Рассмотрите каждую из перечисленных ниже четырех категорий.

  • Платформа. Задайте базовые правила функционирования платформы и параметры безопасности информационной технологии, необходимые для соответствия требованиям. Обратите внимание на структуру и поддержку, которые должна обеспечить ваша организация, чтобы содержать среду в работоспособном состоянии.
  • Администрирование. Акцент на взаимодействие между группами администраторов упростит решение проблем и позволит активнее использовать возможности совместной работы, заложенные в природе платформы. Как в любой групповой среде, определение ролей и ответственности — ключ к успеху. Также необходимо четко определить перспективы, чтобы администраторы управляли средой с учетом ее будущего развития.
  • Соединение. Одна из самых ясных форм взаимодействия — через обмен данными. В отношении управления новой платформой следует быть максимально открытым. Остались в прошлом дни, когда управление осуществлялось из-за кулис. Открыто формулируйте перспективы и дайте сотрудникам возможность высказать свое мнение — результатом неизбежно будет по-настоящему плодотворное взаимодействие.
  • Внедрение. Приложите усилия, чтобы привлечь, информировать и убедить пользователей в преимуществах внедрения новой функциональности. Наделение их некоторыми полномочиями поощрит интерес и увеличит личную вовлеченность в технологию и ее применение в повседневной работе.

В Интернете имеется множество превосходных ресурсов с рекомендациями по управлению в рамках стратегии Microsoft cloud first/mobile first. Office 365 располагает многими инструментами и функциями, необходимыми для поддержания стандартов управления, но некоторые компании предпочитают сторонние решения, чтобы лучше организовать управление. Приступайте к планированию, определив цели и приоритеты управления, и обратитесь к сообществу Office 365 за советом, с чего лучше начать.

В такой обширной платформе, как Office 365, существует множество активных компонентов. Базовые функции в целом интуитивно понятны и могут быть без труда развернуты в небольшой компании, но уровень сложности быстро нарастает при увеличении числа конечных пользователей или строгом определении требований к безопасности, соответствию и управлению.

Важно помнить, что ваши данные нуждаются в защите сверх возможностей настроек безопасности Office 365. Даже если активировать все настройки безопасности Office 365, безопасность данных в значительной мере зависит от действий всех пользователей. Данные, перемещаемые между сотрудниками центра обработки данных Microsoft и вашими собственными пользователями, находятся в условиях постоянного риска. Человеческий фактор — основная причина потери данных в «облаке», поэтому необходимо иметь надежную вторую копию данных. С помощью сторонних решений резервного копирования данные будут надежно защищены и без труда могут быть восстановлены в любое время.