Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



24.05.2018

Do obsługi konferencji

HP Elite Slice G2
21.05.2018

Dla małych grup

Drukarki Canon
17.05.2018

Inteligentna ochrona

Ever UPS DUO AVR
14.05.2018

Bezpieczna piaskownica

Kaspersky Cloud Sandbox
10.05.2018

Monitoring IT

NetCrunch 10.2 Suite
07.05.2018

Mobilna firma

Sophos Mobile 8.1
27.04.2018

Wydajne procesory

AMD EPYC Embedded 3000 i AMD Ryzen Embedded V1000
24.04.2018

Z odłączanym ekranem

Panasonic Toughbook CF-20
18.04.2018

Dla biznesu

Monitory AOC 6x

DLP i inne funkcje bezpieczeństwa w Office 365

Data publikacji: 19-02-2018 Autor: Marek Krupa
Widżet Take Action, Improve...

Już za kilkanaście tygodni wszystkich będzie dotyczyć rozporządzenie o ochronie danych osobowych (rodo), które wymaga wprowadzenia nie tylko odpowiednich procedur na poziomie zarządzania bezpieczeństwem danych osobowych, ale również na poziomie systemów i usług. Przyglądamy się mechanizmom i funkcjom związanym z bezpieczeństwem w zakresie przetwarzania danych, oferowanych przez usługę Office 365 firmy Microsoft.

Office 365 jest rozwiązaniem firmy Microsoft dostarczanym w modelu Software as a Service (Saas, oprogramowanie jako usługa). Do podstawowych komponentów usługi należą: Exchange Online, SharePoint Online, Skype for Business Online, OneDrive for Business, Office Web Apps oraz Azure AD. W zależności od zakupionego planu klienci uzyskują dostęp do innych funkcji oferowanych przez usługę oraz mają różne możliwości w zakresie ilości zapisywanych danych w chmurze.

Office 365 jest oferowany w planach przeznaczonych dla małych i średnich firm (wersja Business – do 300 użytkowników) oraz dużych przedsiębiorstw (subskrypcje Enterprise E1, E3 oraz E5). Dostępne są również subskrypcje przeznaczone dla podmiotów administracji publicznej (Office 365 Government), organizacji non-profit (Office 365 Nonprofit) oraz placówek edukacyjnych (Office 365 for Education).

> BEZPIECZEŃSTWO NA POZIOMIE USŁUGI

Usługa Office 365 została zaprojektowana w modelu ochrony wielowarstwowej. Począwszy od warstwy fizycznej, gdzie stosowane są czytniki biometryczne, czujniki ruchu, monitoring wizyjny oraz systemy alarmowe sygnalizujące naruszenie bezpieczeństwa, poprzez szyfrowanie danych podczas transmisji i wykonywanie kopii zapasowych, stały monitoring ruchu sieciowego i wykrywanie różnych prób ataku, aż po procedury i zgodność z regulacjami międzynarodowymi. Usługa Office 365 zgodna jest z takimi regulacjami i standardami, jak chociażby z ustawą HIPAA (Health Insurance Portability and Accountability Act), FISMA (Federal Information Security Management Act), FedRAMP (Federal Risk and Authorization Program), normami ISO 27001 i ISO 27018, wzorcowymi klauzulami Unii Europejskiej dotyczącymi ochrony prywatności i praw człowieka oraz z rodo. Szczegółowe informacje na temat bezpieczeństwa i spełnianych przez usługę norm można znaleźć na stronie Centrum zaufania (tinyurl.com/centrum-zaufania).

Usługa Office 365 dostarcza wielu funkcji, za pomocą których zarówno administratorzy usługi, jak i zwykli użytkownicy mogą kontrolować sposób przetwarzania danych. Wśród opcji dostępnych dla użytkowników jest to m.in. możliwość udostępniania dokumentów po wykonaniu odpowiedniej czynności. Żadne dokumenty nie są udostępniane automatycznie. W przypadku usługi SharePoint Online właściciele witryn mogą precyzyjnie kontrolować, kto i z jakimi uprawnieniami uzyska dostęp do odpowiednich danych.

Dużo większe możliwości kontrolowania bezpieczeństwa danych posiadają oczywiście administratorzy. Mogą oni kontrolować, z jakich urządzeń lub adresów IP sieci będzie możliwy dostęp do danych, kontrolować dane wychodzące poza organizację, określać sposób udostępniania danych, wymuszać uwierzytelnianie wieloskładnikowe, audyt wszystkich operacji, nadzorować czynności administracyjne czy wręcz zbierać tzw. elektroniczne materiały dowodowe. Decydując się na korzystanie z usługi Office 365, warto zapoznać się z możliwościami wbudowanych zabezpieczeń fizycznych i logicznych oraz mechanizmów kontroli użytkownika, administratora i danych, których opis znajduje się na stronie tinyurl.com/zabezpieczenia365.

> USTAWIENIA W JEDNYM MIEJSCU

W usłudze Office 365 administratorom udostępniany jest portal, za pośrednictwem którego mogą modyfikować wiele ustawień związanych z bezpieczeństwem danych. Portal o nazwie Zabezpieczenia i zgodność znajduje się pod adresem protection.office.com i pozwala między innymi zarządzać klasyfikacją informacji poufnych i konfigurować ochronę przed utratą danych oraz zabezpieczenia urządzeń użytkowników.

W każdej organizacji poziom dostępu administracyjnego jest dostosowany do zadań wykonywanych przez poszczególnych członków personelu IT oraz innych pracowników. Nie inaczej jest w usłudze Office 365. We wspomnianym portalu w obszarze Uprawnienia można poszczególnym osobom przypisywać uprawnienia do większości funkcji związanych z kontrolą bezpieczeństwa. Dostępne uprawnienia nie obejmują zarządzania usługami Exchange Online oraz SharePoint Online. Nadając uprawnienia, można natomiast korzystać z predefiniowanych grup uprawnień lub tworzyć własne grupy, przypisując im odpowiednie role (dostępnych 29 ról). Portal Zabezpieczenia i zgodność pozwala definiować ustawienia dotyczące wysyłania alertów związanych z bezpieczeństwem. Alert może zostać wygenerowany np. w przypadku podniesienia uprawnień, działań związanych z witrynami SharePoint lub skrzynek pocztowych programu Exchange. Możliwe jest oczywiście tworzenie różnych alertów i definiowanie różnych odbiorców dla każdego typu alertu.

Wartym uwagi miejscem w portalu jest obszar Zapewnianie bezpieczeństwa usług. Dzierżawcy usługi Office 365 mogą w tym miejscu znaleźć informacje o normach, jakie spełnia usługa Office 365 oraz poszczególne jej komponenty, uzyskać dostęp do raportów oraz znaleźć odpowiedzi na najczęściej zadawane pytania związane z bezpieczeństwem, prywatnością oraz zgodnością usług chmurowych Microsoft.

[...]

Certyfikowany trener i konsultant, m.in. technologii firmy Microsoft, od ponad 15 lat profesjonalnie zajmujący się zarządzaniem systemami informatycznymi. Autor publikacji zamieszczanych m.in. na stronach TechNet. Nagrodzony tytułem MVP w kategorii Enterprise Client Management. Posiadacz certyfikatów MCT, MCSE, MCSA oraz MCTS.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"