רגולציית GDPR עם Office 365 Secure Score

במאמרים הקודמים של Office 365 Secure Score התמקדנו ביכולות והכלים וכן באפשרויות יישום.
כלי Secure Score בשירות Office 365 הוא כלי ניתוח לאבטחה אשר מספק נראות לגבי אבטחה בשירותי הענן הקיימים לאותו דומיין, הגדרות אבטחה בדומיין והמלצות עם הסברים מפורטים ודירוג. הכלי Office 365 Secure Score מבצע Risk Assessment לשירות Office 365 ונותן דוח שמחולק לפי ממצאים, המלצות ודרכים לביצוע באופן מפורט.
למאמרים השונים:
מהו Office 365 Secure Score
וניהול המלצות עםOffice 365 Secure Score

המאמר הנוכחי יתמקד באפשרויות הקיימות של Office 365 Secure Score מול רגולציית General Data Protection Regulation

רגולציית GDPR

הרגולציה נועדה בעיקר לאפשר לכל תושב באיחוד האירופי שליטה מרבית על הפרטים שנשמרו אודותיו בחברות פרטיות, ציבוריות וגופים עסקיים וממשלתיים, וזאת באמצעות החלת כללים משפטיים בני אכיפה על אותם גופים. הרגולציה התקבלה ב-27 באפריל 2016, פורסמה בעיתון הרשמי של האיחוד האירופי, והפכה לבת אכיפה בתאריך 25 במאי 2018. הרגולציה אינה דורשת ממדינות האיחוד לחוקק חקיקה ספציפית נוספת, שכן היא חלה באופן ישיר ומחייב על המדינות החברות.
הרגולציה מחליפה את הדירקטיבה האירופאית בנוגע להגנה על נתונים (הנחיה 95/46/EC[2]) שנחקקה לפני מעל ל-20 שנה, בשנת 1995, והייתה מיושנת ולא מותאמת לעידן הנוכחי. הרגולציה חלה על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי, ובלבד שהם מעבדים נתונים של נושאי מידע בטריטוריה של האיחוד האירופי. חלים איסורים ומגבלות על העברת מידע אל מחוץ לטריטוריית האיחוד, בשל החשש להפרות שעלולות להתרחש באזורים בעולם בהם הפרטיות אינה מוגנת כראוי.

https://eshlomo.files.wordpress.com/2017/06/image10.png?w=704&h=223

מידע נוסף Rules for the protection of personal data inside and outside the EU

Office 365 Secure Score ורגולציית GDPR

הממשקים והאפשרויות של Microsoft מול הרגולציה מכילה המון מידע ודרכים בכדי לנהל את הרגולציה בין היתר ניתן למצוא מידע בפורטל Privacy with the Microsoft Cloud או בפרט פורטל GDPR שהוא חלק מפורטל Office 365 Security and Compliance Center או הפורטל הייעודי של Compliance Center

image

image

אז עדיין מה הקשר בין Office 365 Secure Score לבין רגולציית GDPR? אין קשר ישיר בין פורטל הניהול של Office 365 Secure Score מול רגולציית GDPR אבל הממצאים שפורטל Office 365 Secure Score מספק הם מותאמים למדיניות הנדרשת של GDPR ולכן אפשר לרתום את כל אותן ממצאים והמלצות מתוך אותו ממשק Secure Score ולהחיל אותו על שירות Office 365.
כחלק מהיישום ניתן להחיל מדיניות של מעקב וניטור אחר Office 365 או לחלופין להפעיל פוליסי מסוים, בין כלל היכולות ניתן למצוא את אפשרויות היישום הבאות:

  • Enable MFA for all global admins
  • Enable MFA for all users
  • Enable Client Rules Forwarding Block
  • Enable audit data recording
  • Review signs-ins after multiple failures
    report weekly
  • Set outbound spam notifications
  • Review sign-ins from unknown sources report
    weekly
  • Review signs-ins from multiple geographies
    report weekly
  • Review role changes weekly
  • Store user documents in OneDrive for Business
  • Enable Information Rights Management (IRM)
    services
  • Use audit data
  • Do not use transport rule to external domains
  • Do not use transport white lists
  • Review mailbox forwarding rules weekly
  • Review mailbox access by non-owners report
    bi-weekly
  • Review malware detections report weekly
  • Do not use mail forwarding rules to external
    domains
  • SPO Sites have classification policies
  • Review sign-in devices report weekly
  • Review account provisioning activity report
    weekly
  • Review non-global administrators weekly
  • IRM protections applied to documents
  • IRM protections applied to email
  • Configure expiration time for external
    sharing links
  • Tag documents in SharePoint
  • Review list of external users you have
    invited to documents monthly
  • Disable accounts not used in last 30 days
  • Enable Data Loss Prevention policies
  • Enable Advanced Security Management Console
  • Enable Advanced Threat Protection safe
    attachments policy
  • Enable Advanced Threat Protection safe links
    policy
  • Enable mobile device management services
  • Require mobile devices to use a password
  • Require mobile devices to block access and
    report policy violations
  • Require mobile devices to manage email
    profile
  • Do not allow simple passwords on mobile
    devices
  • Require mobile devices to use alphanumeric
    password
  • Require mobile devices to use encryption
  • Require mobile devices to lock on inactivity
  • Require mobile devices to have minimum
    password length
  • Require mobile devices to wipe on multiple
    sign-in failures
  • Do not allow jail broken or rooted mobile
    devices to connect
  • Require mobile devices to never expire
    password
  • Do not allow mobile device password re-use
  • Enable customer lockbox feature

במבט על הרשימה ניתן להבין שישנם לא מעט פעולות שניתן לבצע שהם חלק מיישום המדיניות של GDPR ולכן אפשר לנצל את ממשק Office 365 Secure Score בכדי להחיל את כל אותן דרישות.

לסיכום

ממשק Office 365 Secure Score אינו נותן מענה ישיר לרגולציית GDPR אבל כחלק מהמדיניות ניתן לנצל את היכולות ואופן ניהול הממצאים והממלצות בכדי להפעיל את כל אותו פעולות (מעקב אחר מידע, הצפנה וכן הלאה) בצורה פשוטה יותר ועם מעקב אחר כל פעולה.

מודעות פרסומת


:קטגוריותCyber, Office365, Security

תגים: , , ,

תגובה אחת

  1. כיף לקרוא את המאמרים שלך ובכל פעם אתה יודע לחדש משהו תודה אלוף

    אהבתי

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: