az első lépések megtétele az általános adatvédelmi · az általános adatvédelmi rendelet...
TRANSCRIPT
Az első lépések
megtétele az általános
adatvédelmi
rendelet (GDPR)
alkalmazásában A GDPR-megfelelőség
gyorsabbá tétele
a Microsoft Cloud
használatával
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
2. oldal | 36
Tartalomjegyzék
Bevezetés .................................................................................................................................................................. 4
A Microsoft GDPR iránti elkötelezettsége ........................................................................................... 4
A GDPR megértése – alapozó ........................................................................................................................... 5
Mi az a GDPR? ................................................................................................................................................ 5
Vonatkozik a GDPR a szervezetünkre? ................................................................................................. 5
Mikor alkalmazandó a GDPR? .................................................................................................................. 5
Melyek a GDPR főbb elvei? ....................................................................................................................... 6
Nézzünk pár példát arra, milyen követelményeket ír elő a GDPR ezekhez
az elvekhez kapcsolódóan!........................................................................................................................ 6
Partneri együttműködés a Microsofttal a GDPR megvalósításához vezető úton .......................... 7
Az első lépések a GDPR-rel kapcsolatban .................................................................................................... 8
Platformalapú megközelítés a GDPR alkalmazásához ........................................................................ 8
Intézkedés még ma ............................................................................................................................................. 11
Felfedezés: azonosítani kell, hogy milyen személyes adatokkal rendelkeznek,
és hogy azok hol találhatóak. ..................................................................................................................... 11
Vonatkozik a GDPR az adatainkra? ..................................................................................................... 11
Leltár készítése ............................................................................................................................................ 11
Kezelés: a személyes adatok használatának és elérésének szabályozása .................................. 15
Adatgazdálkodás ........................................................................................................................................ 15
Adatbesorolás ............................................................................................................................................. 17
Védelem: a kitettségek és adatvédelmi incidensek megelőzésére, észlelésére
és kezelésére vonatkozóan előírt biztonsági ellenőrzések kialakítása ........................................ 19
Az adatok védelme .................................................................................................................................... 19
A biztonsági incidensek felismerése és reagálás rájuk ................................................................ 26
Jelentés: az adatkérések végrehajtása, az adatvédelmi incidensek jelentése,
a szükséges nyilvántartások vezetése ...................................................................................................... 31
Nyilvántartás ................................................................................................................................................ 31
A felhőszolgáltatások jelentéskészítési eszközei és dokumentációja .................................... 34
Az érintettek értesítése ............................................................................................................................ 35
Az érintettek kéréseinek kezelése ........................................................................................................ 35
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
3. oldal | 36
Jogi nyilatkozat
A jelen tanulmány az általános adatvédelmi rendelettel kapcsolatos magyarázó szöveg,
a Microsoftnak a közzététel dátuma szerinti értelmezésében. Nagyon sok időt fordítottunk
a GDPR-re, és úgy gondoljuk, alaposan sikerült megértenünk a mögötte rejlő szándékot
és jelentést. A GDPR alkalmazása azonban nagy mértékben függ a tényektől, a rendeletnek
nem minden aspektusa és értelmezése tökéletesen rögzített.
Emiatt ez a tanulmány csupán tájékoztatás céljára szolgál, nem alkalmazható jogi tanácsként,
illetve annak megállapítására, hogyan vonatkozhat a GDPR Önre, illetve a szervezetre.
Azt javasoljuk, hogy jogi képesítéssel rendelkező szakemberrel vitassa meg a rendeletet,
annak alkalmazását a szervezetre, illetve hogy milyen lépésekkel biztosítható leginkább
a követelményeinek való megfelelés.
A MICROSOFT SEMMIFÉLE GARANCIÁT NEM VÁLLAL A
TANULMÁNY TARTALMÁÉRT. A tanulmány tartalmáért kibocsátása után felelősséget nem
vállalunk. A tanulmányban található információk és vélemények előzetes értesítés nélkül
módosulhatnak, beleértve az URL-címeket és az egyéb internetes weboldal-hivatkozásokat is.
Jelen dokumentum nem ad jogot a Microsoft termékeiben megjelenő szellemi tulajdon
felhasználásához. A dokumentum reprodukálása és felhasználása kizárólag belső
tájékoztatási célokra engedélyezett.
Közzétéve: 2017. május
Verziószám: 1.1
© 2017 Microsoft. Minden jog fenntartva.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
4. oldal | 36
Bevezetés 2018. május 25-én egy olyan európai adatvédelmi jogszabály lép hatályba, amely globális
szinten új mércét állít fel a személyes adatok, a biztonság és a megfelelőség tekintetében.
Az általános adatvédelmi rendelet – angol rövidítéssel a GDPR – lényege a természetes
személyek adatainak védelme és adatvédelmének lehetővé tétele. A GDPR szigorú általános
adatvédelmi követelményeket határoz meg a személyes adatok kezelésére és védelmére
vonatkozóan, ugyanakkor előírja az egyéni döntések tiszteletben tartását – attól függetlenül,
hogy hová továbbítják, illetve hol dolgozzák fel és tárolják az adatokat.
A Microsoftnak és ügyfeleinek most végig kell járniuk azt az utat, amelynek végén teljesíteni
tudják a személyes adatok védelmére meghatározott célkitűzéseket. A Microsoft véleménye
az, hogy a személyes adatok védelme alapvető jog, és meggyőződésünk, hogy a GDPR
fontos lépést jelent a természetes személyek adataihoz fűződő jogok tisztázásában és
érvényesítésében. Ugyanakkor látjuk azt is, hogy a GDPR komoly változásokat tesz majd
szükségessé a világ legkülönbözőbb részein működő szervezeteknél.
Bár a GDPR-folyamat kihívásnak tűnhet, mi készen állunk segíteni Önöknek.
A Microsoft GDPR iránti elkötelezettsége
A bizalom kérdése központi szerepet játszik küldetésünkben, hogy bolygónkon minden személy
és szervezet számára lehetővé tegyük, hogy többet érjen el. A bizalom megteremtése során elvi
megközelítéssel járunk el, és határozottan kiállunk a személyes adatok védelme, a biztonság,
a megfelelőség és az átláthatóság elvei mellett. A GDPR alkalmazására való felkészülés során
ezeket az elveket alkalmazzuk.
Számunkra világos, hogy GDPR-megfelelőség közös feladat. Ezért vállaltuk, hogy amikor 2018.
május 25-én megkezdődik a rendelet előírásainak alkalmazása, addigra felhőszolgáltatásainkban
mindenütt elérjük a GDPR-megfelelőséget.
Szintén vállaljuk, hogy az összetett szabályozási követelmények teljesítésével kapcsolatban
szerzett tapasztalataink megosztásával segítjük Önöket abban, hogy a saját szervezetük
számára kialakítsák a GDPR adatvédelmi követelményeinek teljesítése felé vezető saját útjukat.
A felhőszolgáltatók közül a legátfogóbb megfelelőségi és biztonsági kínálatunk és hatalmas
partneri ökoszisztémánk segítségével fel vagyunk készülve arra, hogy akár most, akár a
későbbiekben támogatni tudjuk az Önök adatvédelmi és biztonsági kezdeményezéseit.
A GDPR-folyamat partnerként történő közös végigjárása iránti elkötelezettségünk részeként
dolgoztuk ki ezt a tanulmányt, hogy megkönnyítsük az előkészületeket az Önök számára.
A tanulmány áttekintést ad a GDPR-ről, ismerteti, hogy milyen módon készülünk a GDPR-re, és
példákat osztunk meg arról, hogy milyen lépéseket tehetnek meg Önök a Microsofttal közösen
abból a célból, hogy elinduljanak a GDPR-megfelelőség felé vezető úton.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
5. oldal | 36
További aktuális tájékoztatást is tervezünk majd megosztani arról, hogyan tudunk segíteni
Önöknek megfelelni ennek a fontos új jogszabálynak, és e folyamat részeként előmozdítani
a személyes adatok védelmét. A Microsoft Adatvédelmi Központjának GDPR részén további
eszközöket és információforrásokat talál, illetve részletesebben tájékozódhat arról, hogyan
tud a Microsoft segíteni Önöknek a konkrét GDPR-követelmények teljesítésében.
A GDPR megértése – alapozó
Mielőtt megnéznénk, hogy a Microsoft konkrétan milyen módon tud segítséget nyújtani
Önöknek a GDPR-re való felkészülésben, szeretnénk foglalkozni a rendelet legalapvetőbb
és legfontosabb kérdéseinek némelyikével, illetve azzal, hogy ezek mit jelenthetnek az Önök
szempontjából. Részletesebb áttekintést itt talál.
Mi az a GDPR?
Az általános adatvédelmi rendelet az egész Európai Unióban érvényes új rendelet a személyes
adatok védelméről. A természetes személyek számára nagyobb fokú rendelkezést biztosít a
személyes adataik felett, biztosítja az adatok felhasználásának átláthatóságát, valamint
biztonsági és megfelelőségi intézkedéseket ír elő az adatok védelme érdekében.
Vonatkozik a GDPR a szervezetünkre?
A GDPR szélesebb körben alkalmazandó, mint azt első pillantásra gondolnánk. A rendelet új
szabályokat vezet be a cégek, a közhatalmi szervek, a nonprofit szervezetek, illetve az Európai
Unióban a természetes személyek számára árukat és szolgáltatásokat kínáló vagy az EU-ban
tartózkodó érintettekkel kapcsolatos adatokat gyűjtő és elemző egyéb szervezetek számára.
A GDPR alkalmazandó, függetlenül attól, hogy hol van az Önök tevékenységi helye.
Néhány más államban alkalmazott adatvédelmi jogszabályoktól eltérően a GDPR minden méretű
szervezetre és minden ágazatra vonatkozik. Az EU-ra gyakran tekintenek nemzetközi szinten
mintaként az adatvédelmi kérdésekben, úgyhogy arra számítunk, hogy a GDPR főbb elveit
idővel a világ más részein is elfogadják.
Mikor alkalmazandó a GDPR?
A GDPR 2018. május 25-től alkalmazandó. A jelenleg alkalmazandó, 1995 óta hatályban lévő
adatvédelmi irányelv (95/46/EK irányelv) helyébe lép majd. A GDPR ténylegesen 2016. áprilisa
óta jogszabály az EU-ban, de tekintettel arra, hogy a rendelet betartása érdekében milyen
jelentős változtatásokra kényszerülnek egyes szervezetek, kétéves felkészülési időtartamot
határoztak meg.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
6. oldal | 36
Melyek a GDPR főbb elvei?
A GDPR hat elv köré épül fel:
• Az átláthatóság előírása a személyes adatok kezelésével és használatával kapcsolatban.
• A személyes adatok kezelésének korlátozása meghatározott, jogszerű célokra.
• A személyes adatok gyűjtésének és tárolásának korlátozása a tervezett célokra.
• A természetes személyek számára lehetőség biztosítása személyes adataik helyesbítésére
vagy törlésének kérésére.
• A személyazonosításra alkalmas adatok tárolásának korlátozása a tervezett cél eléréséhez
szükséges időre.
• A személyes adatok a megfelelő biztonsági intézkedések alkalmazásával történő védelmének
biztosítása.
Nézzünk pár példát arra, milyen követelményeket ír elő a GDPR ezekhez az
elvekhez kapcsolódóan!
• A GDPR értelmében a természetes személyeknek joguk van tudni róla, ha egy szervezet a
személyes adataikat kezeli, és megismerni az adott adatkezelés célját. Az érintettnek joga
van kérni az adatai törlését vagy helyesbítését, kérni a további adatkezelés megszüntetését,
tiltakozni a közvetlen üzletszerzéssel szemben, illetve visszavonni az adatkezelés bizonyos
típusai tekintetében adott hozzájárulását. Az adathordozhatósághoz való jog pedig a
természetes személyek számára megadja a jogot, hogy adataikat máshová átvigyék, és
ehhez segítséget kapjanak.
• A GDPR előírja a szervezetek számára, hogy a személyes adatokat azok érzékenységének
megfelelően védjék. Adatvédelmi incidens esetén az adatkezelőknek általában 72 órán
belül kell értesíteniük a megfelelő hatóságokat. Emellett, amennyiben az incidens
valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira
nézve, a szervezeteknek az érintett személyeket indokolatlan késedelem nélkül értesíteniük kell.
• A személyes adatok kezeléséhez jogalappal kell rendelkezni. A személyes adatok
kezeléséhez adott hozzájárulásnak „önkéntes, konkrét és megfelelő tájékoztatáson alapuló
és egyértelmű” jellegűnek kell lennie. A GDPR alapján a gyermekek tekintetében különleges
hozzájárulási követelményeknek kell megfelelni a védelmük érdekében.
• A szervezeteknek adatvédelmi hatásvizsgálatok végzésével kell előre jelezniük a projektek
adatvédelmi hatásait, és szükség szerint kockázatenyhítő intézkedéseket kell tenniük.
Az adatkezelési tevékenységekről, az adatkezelési hozzájárulásokról és a GDPR
követelményeinek teljesítéséről nyilvántartást kell vezetni.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
7. oldal | 36
• A GDPR-megfelelőség nem egyszeri tevékenység, hanem folyamat. A GDPR előírásainak be
nem tartása súlyos bírságok kiszabásával járhat. A GDPR betartásának biztosítása érdekében
a szervezeteknél célszerű olyan adatvédelmi kultúrát bevezetni, amely védi az egyéneknek
a személyes adataikhoz fűződő érdekeit.
A GDPR részletesebb áttekintéséhez és a szakkifejezések – például álnevesítés, kezelés,
adatkezelők, adatfeldolgozók, érintettek és személyes adatok – jobb megértéséhez keresse
fel a Microsoft.com/GDPR webhelyet. Elhivatottan igyekszünk segíteni Önöknek a GDPR
követelményeinek teljesítésében és az egyének személyes adatok védelméhez fűződő
jogainak további támogatásában.
Partneri együttműködés a Microsofttal a GDPR megvalósításához
vezető úton A GDPR követelményeinek teljesítése az egész vállalkozást érintő kihívás, amely időt,
eszközöket, folyamatokat és szakértelmet igényel, és amely jelentős változásokkal járhat
az Önök adatvédelmi és adatkezelési gyakorlatában. A GDPR-megfelelőséghez vezető út
simább, ha egy jól megtervezett felhőalapú szolgáltatási modellt használnak, és jól működő
adatszabályozási és adatkezelési programmal rendelkeznek. A GDPR követelményeinek sikeres
teljesítésénél számíthat a Microsoft és kiterjedt partneri ökoszisztémájának segítségére.
A Microsoft már régóta nyújt megbízható felhőszolgáltatásokat. Elvi alapú megközelítést
alkalmazunk a személyes adatok védelme, a biztonság, a megfelelőség és az átláthatóság
tekintetében, határozott vállalásaink révén pedig Önök megbízhatnak a mögöttes digitális
technológiákban. Megfelelőségi portfóliónk az egész ágazatban a legkiterjedtebb, és az elsők
között vezettük be olyan alapvető szabványok alkalmazását, mint például az ISO/IEC 27018
szabvány a felhőben tárolt, személyes adatok védelméről. Ügyfeleink és partnereink számára
is előnyt jelent a személyes adatok védelme, a biztonság, a megfelelőség és átláthatóság terén
hosszú évek tapasztalatán keresztül elért vezető szerepünk.
A GDPR-nek való megfelelőségre való felkészülés során a következőket várhatják még tőlünk:
• Az igényeiknek megfelelő technológia. Támaszkodhatnak széles portfóliónkra a
nagyvállalati felhőszolgáltatások területén az olyan GDPR-előírások teljesítésére,
mint például a személyes adatok törlése, helyesbítése, továbbítása, hozzáférése és
tiltakozás a személyes adatok feldolgozása ellen. Emellett kiterjedt globális partneri
ökoszisztémánkra is számíthatnak a Microsoft technológiáinak használatához nyújtott
szakértői támogatással.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
8. oldal | 36
• Szerződéses vállalások. Felhőszolgáltatásainkra vonatkozóan szerződéses
kötelezettségvállalásokkal állunk Önök mögött, például a GDPR új követelményeinek
megfelelő aktuális biztonsági támogatással és értesítésekkel. 2017 márciusától kezdve
a Microsoft felhőszolgáltatásaira vonatkozó ügyfélszerződéseinkben szerepel a vállalás,
hogy a rendelet alkalmazásának megkezdésére a szolgáltatás megfelel majd a GDPR
előírásainak.
• Tapasztalataink megosztása. A GDPR-megfelelőséghez vezető utat közösen járjuk
végig, hogy Önök az általunk már megtanultak adaptálásával alakíthassák ki a saját
szervezetük számára legmegfelelőbb folyamatot.
Az első lépések a GDPR-rel kapcsolatban
Platformalapú megközelítés a GDPR alkalmazásához
Az adatok létrehozására, tárolására, elemzésére és kezelésére Önök által használt rendszerek a
legkülönfélébb informatikai környezetekben elszórva működhetnek – a személyes eszközöktől
kezdve a helyszíni kiszolgálókon, felhőszolgáltatásokon át egészen a tárgyak internetéig. Ez azt
jelenti, hogy az informatikai környezetük nagy részére vonatkozhatnak a GDPR előírásai.
A GDPR előírásainak teljesítésére irányuló törekvéseknél a legcélszerűbb a követelmények
holisztikus megközelítéssel, a teljes szabályozói és jogi adatvédelmi kötelezettségek
kontextusában történő vizsgálata. Például a GDPR által a kitettségek és adatvédelmi incidensek
megelőzésére, észlelésére és kezelésére vonatkozóan előírt biztonsági ellenőrzések jelentős
részben hasonlóak az egyéb adatvédelmi szabványokban – például a felhőben tárolt, személyes
adatok védelméről szóló ISO 27018 szabványban – várt ellenőrzésekhez.
Bevált gyakorlat az egyes szabványok vagy jogszabályok által előírt ellenőrzések egyenkénti
követése helyett az ellenőrzések és képességek olyan általános együttesének meghatározása,
amely megfelel mindezeknek a követelményeknek. Hasonló módon ahelyett, hogy az egyes
technológiákat és megoldásokat mérnénk fel egy olyan átfogó szabályozással szemben, mint
a GDPR, a platformalapú megközelítéssel – például a Windows, a Microsoft SQL Server, a
SharePoint, az Exchange, az Office 365, az Azure és a Dynamics 365 együttes kezelésével –
világosabb folyamatot alakíthatunk ki, amely biztosítja, hogy ne csupán a GDPR előírásainak
tudjunk megfelelni, hanem a számunkra fontos egyéb követelményeknek is.
A GDPR-megfelelőséghez vezető úton történő elinduláshoz azt ajánljuk, koncentráljanak négy
fő lépésre:
• Felfedezés – azonosítani kell, hogy milyen személyes adatokkal rendelkeznek,
és hogy azok hol találhatóak.
• Kezelés – a személyes adatok használatának és elérésének szabályozása.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
9. oldal | 36
• Védelem – a kitettségek és adatvédelmi incidensek megelőzésére, észlelésére
és kezelésére vonatkozóan előírt biztonsági ellenőrzések kialakítása.
• Jelentés – az adatkérések végrehajtása, az adatvédelmi incidensek jelentése,
a szükséges nyilvántartások vezetése.
Felfedezés
Védelem
Kezelés
Jelentés
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
10. oldal | 36
Mindegyik lépésnél felvázoljuk a különböző Microsoft-megoldásokból azokat az eszközöket,
erőforrásokat és funkciókat, amelyek használata megkönnyíti az adott lépéshez tartozó
követelmények kezelését. Bár a jelen dokumentum nem átfogó gyakorlati útmutató,
megadtunk olyan hivatkozásokat is, amelyek segítségével bővebb tájékoztatás érhető
el, valamint a Microsoft.com/GDPR webhely is részletesebb tudnivalókkal szolgál.
Mivel ilyen sok terület érintett, az előkészületekkel célszerű nem megvárni a GDPR érvénybe
lépését, hanem most elvégezni az adatvédelmi és adatkezelési gyakorlatok ellenőrzését.
A következő szakaszok felvázolják a GDPR összetevőinek konkrét elemeit, és olyan módszereket
ismertetnek, amelyeken keresztül a Microsofttól már most is elérhető termékek és szolgáltatások
használatával megtehetők az első lépések.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
11. oldal | 36
Intézkedés még ma
Felfedezés: azonosítani kell, hogy milyen személyes adatokkal rendelkeznek,
és hogy azok hol találhatóak.
A GDPR-megfelelőség felé vezető út első lépése annak felmérése, hogy a GDPR vonatkozik-e az
Önök szervezetére, és ha igen, milyen mértékben. Ennek az elemzésnek a kiindulópontja annak
megértése, hogy milyen adatokkal rendelkeznek, és azok hol találhatók.
Vonatkozik a GDPR az adatainkra?
A GDPR a „személyes adatok” gyűjtését, tárolását, használatát és megosztását szabályozza.
A személyes adat meghatározása a GDPR szerint nagyon általános, azonosított vagy
azonosítható természetes személyre vonatkozó bármely adatot jelent.
Ha az Önök szervezete rendelkezik ilyen adatokkal – ügyféladatbázisokban, az ügyfelek
által kitöltött visszajelzési űrlapokban, levelezési tartalmakban, fényképeken, zárt láncú
videofelvételeken, hűségprogram-nyilvántartásokban, HR-adatbázisokban vagy bárhol
máshol –, vagy ilyen adatokat szeretne gyűjteni, és ha az adatok az EU lakosaié vagy hozzájuk
kapcsolódnak, akkor be kell tartaniuk a GDPR rendelkezéseit. Fontos tudni, hogy a személyes
adatok tárolásának nem feltétlenül az EU-ban kell történnie ahhoz, hogy a GDPR vonatkozzon
rájuk – a GDPR az EU-n kívül gyűjtött, feldolgozott vagy tárolt adatokra is vonatkozik,
amennyiben az adatok EU-lakosokhoz köthetők.
Leltár készítése
Annak megértéséhez, hogy a GDPR valóban vonatkozik-e az Önök szervezetére, és ha igen,
milyen kötelezettségeket ír elő, fontos a szervezet adatairól leltárt készíteni. Ez megkönnyíti
annak megértését, hogy mely adatok személyesek, illetve azoknak a rendszereknek az
azonosítását, ahol az adatok gyűjtése és tárolása történik, hogy miért történt az adatgyűjtés,
hogyan történik az adatok feldolgozása és megosztása, illetve mennyi ideig őrzik meg őket.
Íme néhány példa olyan konkrét módszerekre, amelyekkel felhőalapú és helyszíni kínálatunk
segítséget nyújthat a GDPR első lépéséhez.
Azure
Mivel az Azure nyitott és rugalmas felhőplatform, tartalmaz egy olyan szolgáltatást,
amely megkönnyíti az adatforrások egyszerű felfedezhetőségét és azonosíthatóságát.
A Microsoft Azure Data Catalog teljes mértékben felügyelt felhőszolgáltatás, amely regisztrációs
és felderítőrendszert biztosít a szervezet adatforrásaihoz. Másképpen fogalmazva az Azure Data
Catalog lényege, hogy megkönnyítse az adatforrások felfedezését, értelmezését és használatát,
így jobban kihasználhatók a meglévő adatok. Attól kezdve, hogy egy adatforrás regisztrálva
van az Azure Data Catalog adatbázisában, a szolgáltatás elkezdi indexelni a metaadatait, így
egyszerű kereséssel felfedezhetők a szükséges adatok.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
12. oldal | 36
Dynamics 365
A Dynamics 365 többféle láthatósági és auditálási funkciót biztosít, amelyek a Dynamics 365
jelentéskészítési és elemzési irányítópultjain keresztül használhatók fel a személyes adatok
azonosítására:
• A Dynamics 365-ben szerepel egy Jelentés varázsló, amelynek használatával
egyszerűen, XML- vagy SQL-alapú lekérdezések nélkül készíthetők jelentések.
• A Dynamics 365 irányítópultjai áttekintést adnak az üzleti adatokról – olyan, további
lépések alapjául felhasználható információkat nyújtanak, amelyek az egész szervezetre
vonatkozóan megtekinthetőek.
• A Microsoft Power BI egy olyan önkiszolgáló üzletiintelligencia-platform, amely
felhasználható az adatok felfedezésére, elemzésére és vizualizálására, illetve az így
létrejövő információk munkatársakkal való megosztására és a közös munkavégzésre.
Enterprise Mobility + Security (EMS) csomag
Az Enterprise Mobility + Security olyan személyazonosságra épülő biztonsági technológiákat
nyújt, amelyek segítségével felfedezhetik, kézben tarthatják és védhetik a szervezet birtokában
lévő személyes adatokat, illetve feltárhatják az esetleges holt tereket, és észlelhetik az előforduló
adatvédelmi incidenseket.
A Microsoft Cloud App Security átfogó szolgáltatás, amely a felhőalkalmazások adataihoz
részletesebb láthatóságot, széles körű ellenőrzési lehetőségeket és továbbfejlesztett védelmet
nyújt. Látható vele, hogy a hálózatban milyen felhőalkalmazások vannak használatban – több
mint 13 000 alkalmazást képes azonosítani az összes készülékről –, valamint kockázatértékelést
és folyamatos elemzési információkat biztosít.
A Microsoft Azure Information Protection segítséget nyújt az érzékeny adatok azonosításában
és helyének meghatározásában. Egyrészt lehetőséget ad az adott érzékenységűként megjelölt
adatok keresésére, másrészt a fájlok vagy e-mailek létrehozásakor intelligens módon azonosítja
az érzékeny adatokat. Az azonosítást követően az adatokat automatikusan besorolhatjuk és
felcímkézhetjük – mindez a vállalat megfelelő házirendje alapján történhet.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
13. oldal | 36
Office 365
Az Office 365 több olyan konkrét megoldást is kínál, amelyek segítséget jelentenek a személyes
adatok azonosításában, illetve elérésük kezelésében:
• Az Office és az Office 365 adatveszteség-megelőzési funkciója több mint 80 gyakori
érzékeny adattípust képes azonosítani, például pénzügyi, orvosi és személyazonosításra
alkalmas információkat.
• Az Office 365 Biztonsági és megfelelőségi központ Tartalomkeresés funkciója a
postaládákban, a nyilvános mappákban, az Office 365-csoportokban, a Microsoft
Teams-munkaterületeken, a SharePoint Online-webhelyeken, a OneDrive Vállalati
verzió helyein, illetve a Skype Vállalati verzió beszélgetéseiben egyszerre tud keresni.
• Az Office 365 feltárási kereső funkciójával az összes Office 365-állományban – a SharePoint
Online-ban, a OneDrive Vállalati verzióban, a Skype Vállalati online verzióban és az
Exchange Online-ban végezhető keresés.
• Az Office 365 speciális feltárási, funkciója – amely gépi tanulási technológiákra támaszkodik –
az adott témához (például megfelelőségi vizsgálathoz) tartozó dokumentumok gyors
azonosításához nyújthat segítséget, ráadásul nagyobb pontossággal, mint a hagyományos,
kulcsszavakon vagy nagy mennyiségű dokumentum manuális átnézésén alapuló keresések.
A speciális feltárási funkcióval jelentős mértékben csökkenthető a releváns dokumentumok
és adatkapcsolatok azonosításához szükséges anyagi és munkaerő-ráfordítás, mivel
a rendszer a gépi tanulás útján megtanulja intelligens módon megvizsgálni a nagy méretű
adathalmazokat, és gyorsan a lényegre tud összpontosítani – így előzetesen csökkenti
az áttekintendő adatok mennyiségét.
• A speciális adatgazdálkodás intelligens adatokon és géppel segített elemzési
információkon keresztül nyújt segítséget a szervezet számára legfontosabb adatok
megkereséséhez, besorolásához, a vonatkozó házirendek beállításához, illetve az
életciklusuk kezeléséhez szükséges intézkedésekhez.
SharePoint
A SharePoint keresési szolgáltatására és az alkalmazáson belüli keresési funkcióra támaszkodva
is lehetőség van személyes adatok követésére. Az érzékeny tartalmak azonosításához és
kereséséhez a SharePoint Server 2016 ugyanolyan adatveszteség-megelőzési funkciókat
nyújt, mint az Office 365.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
14. oldal | 36
SQL Server és Azure SQL Database
Az SQL nyelv használható adatbázisok lekérdezésére, illetve olyan eszközök vagy szolgáltatások
testreszabására, amelyek segítséget jelenthetnek ennél a követelménynél. A keresés a
lekérdezéseken keresztül teljes mértékben támogatott, bár a nyomon követési adatok teljes
naplózását az alkalmazás szintjén kell megvalósítani. A Parancsfájl feladat egyéni függvények –
például a beépített feladatokban nem használható összetett adatlekérdezések és az SQL Server
Integration Services által biztosított átalakítások – végrehajtására használható kódot
biztosítanak. A Parancsfájl feladat emellett a függvényeket több feladat és átalakítás
helyett egyetlen parancsfájlban tudja egyesíteni. Ez a programcsomag ezenkívül hatékony
üzletiintelligencia-funkciókat is biztosít, amelyek segítségével végfelhasználói szinten
elérhetők az adatelemzések.
Windows és Windows Server
Az adatok Windows rendszeren belüli megkeresése céljából a Windows Search funkcióval
nyomon követhetők és megtalálhatók a személyes adatok a helyi gépen és bármely eszközön,
amelynek elérésére megvan a szükséges jogosultság. A Windows Search adatkeresési
képességeinek fokozása érdekében a Vezérlőpulton az indexelési beállításokkal
testreszabhatók a Windows Search képességei (például a fájlok tartalmának indexelése).
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
15. oldal | 36
Kezelés: a személyes adatok használatának és elérésének szabályozása
A GDPR az érintetteknek – azoknak a személyeknek, akikhez az adatok kapcsolódnak – nagyobb
fokú rendelkezést ad azzal kapcsolatban, hogyan történik személyes adataik rögzítése és
használata. Az érintettek kérhetik például, hogy az Önök szervezete ossza meg a hozzájuk
kapcsolódó adatokat velük, továbbítsa az adataikat más szolgáltatásba, javítsa ki az adataikban
a hibákat, illetve bizonyos esetekben korlátozza bizonyos adatok további feldolgozását. Egyes
esetekben ezeket a kéréseket adott időn belül kell kezelni.
Adatgazdálkodás
Az érintettekkel szembeni kötelezettségek teljesítéséhez világosan látni kell, hogy a szervezet
milyen típusú személyes adatokat kezel, hogyan, illetve milyen célra. Az előzőekben tárgyalt
adatleltár az első lépés ahhoz, hogy ez láthatóvá váljon. A leltár elkészülte után fontos egy
adatgazdálkodási tervet kidolgozni és végrehajtani. Az adatgazdálkodási terv megkönnyítheti
a szabályok, szerep- és feladatkörök meghatározását, valamint annak biztosítását, hogy
az adatkezelési gyakorlat a GDPR-nek megfelelő legyen. Az adatgazdálkodási terv például
megnyugtatóan igazolhatja a szervezet számára, hogy eredményesen tiszteletben tartja az
érintettek adatok törlésére vagy továbbítására vonatkozó igényeit.
Microsoft-felhőszolgáltatások
Az adatgazdálkodási stratégiák támogatása érdekében a Microsoft felhőszolgáltatásainak
fejlesztése a Microsoft beépített adatvédelmi és alapértelmezett adatvédelmi módszertanával
készül. Aki az Azure, az Office 365 vagy a Dynamics 365 szolgáltatásaira bízza az adatait, azok
kizárólagos tulajdonosa marad, és a szolgáltatásokban tárolt adatokra vonatkozóan Önöknél
maradnak a jogok, jogcímek és érdekeltségek.
A Microsoft felhőszolgáltatásai komoly intézkedésekkel segítik az ügyféladatok védelmét az
illetéktelen hozzáféréssel vagy használattal szemben, ahogyan ezt a Microsoft adatvédelmi
központja részletesen is ismerteti. Az ilyen intézkedések közé tartozik a Microsoft munkatársai
és alvállalkozói általi hozzáférés korlátozása, valamint az ügyféladatokkal kapcsolatos
kormányzati kérésekre történő reagálásra vonatkozó követelmények gondos meghatározása.
Ugyanakkor saját ügyféladataikhoz bármikor és bármilyen okból hozzáférhetnek.
Emellett az adataikra vonatkozó kormányzati megkereséseket közvetlenül Önökhöz irányítjuk
át, kivéve, ha ennek jogi akadálya van, és már bírósági eljárások keretében is szembeszálltunk
az ilyen kérések közlésének tiltására irányuló kormányzati kísérletekkel.
A Microsoft felhőszolgáltatásainak megfelelő felügyelete és ügyfeleinkkel szembeni
biztosítékként a felhőszolgáltatásokat legalább évenként többféle nemzetközi
adatvédelmi szabvány – például a HIPAA és a HITECH, a CSA Star Registry, valamint
több ISO-szabvány – alapján auditáljuk. Az erről szóló jelentések elérhetők a
https://servicetrust.microsoft.com/Documents/ComplianceReports webhelyen.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
16. oldal | 36
A fenti vállalások mellett biztosítjuk azokat a lehetőségeket is, amelyekkel ellenőrizhető az
adatok kezelési módja, illetve hogy a szervezeten belül kinek milyen adatokhoz van hozzáférése.
Azure
Az Azure Active Directory a felhőben működő identitás- és hozzáférés-kezelési megoldás.
Kezeli az identitásokat és az Azure hozzáférését, a helyszíni és egyéb, a felhőben működő
erőforrásokat, adatokat és alkalmazásokat. Az Azure Active Directory Privileged Identity
Management segítségével átmeneti, igény szerinti rendszergazdai jogok adhatók meg
a feltételeknek megfelelő felhasználóknak az Azure-erőforrások kezelése céljából.
Az Azure szerepköralapú hozzáférés-vezérlés (RBAC) segítségével kezelhető az Azure-
erőforrások hozzáférése. Így a hozzáférés a felhasználóhoz hozzárendelt szerepkör alapján
adható meg, tehát könnyebb csak a felhasználó számára a munkavégzéshez szükséges
engedélyeket megadni. Az RBAC a szervezet üzleti modelljének és kockázattűrésének
megfelelően szabható testre.
Office 365
Az Office 365-megoldások több olyan funkciót is tartalmaznak, amelyek segítséget jelentenek
a személyes adatok kezelésében:
• Az Office 365 Biztonsági és megfelelőségi központ adatgazdálkodási funkciói
megkönnyítik az Exchange Online-postaládák, a SharePoint Online-webhelyek és
a OneDrive Vállalati verzió-helyek tartalmának archiválását és megőrzését, valamint
az adatok importálását az Office 365-szervezetbe.
• Az Office 365 Adatmegőrzés funkciója megkönnyíti az e-mailek és dokumentumok
kezelését – a szükséges tartalmakat megtartja, illetve eltávolítja a tartalmakat, ha
azokra már nincs szükség.
• A speciális adatgazdálkodás intelligens adatokon és géppel segített elemzési
információkon keresztül nyújt segítséget a szervezet számára legfontosabb adatok
megkereséséhez, besorolásához, a vonatkozó házirendek beállításához, illetve az
életciklusuk kezeléséhez szükséges intézkedésekhez.
• A SharePoint Online adatkezelési házirendjeivel szabályozható, hogy meddig legyenek
megőrizve a tartalmak, auditálható, hogy mit tesznek az emberek a tartalmakkal,
valamint vonalkóddal vagy címkével láthatók el a dokumentumok.
• Az Exchange Online naplózása a bejövő és kimenő levelezési kommunikáció rögzítésével
megkönnyítheti a reagálást a jogi, szabályozói és megfelelőségi igényekre.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
17. oldal | 36
Adatbesorolás
Az adatok osztályozása minden adatgazdálkodási tervnek fontos részét képezi. A szervezet
egészére érvényes osztályozási rendszer elfogadása különösen hasznos lehet az érintettek
kéréseivel kapcsolatos reagálás során, mivel lehetővé teszi a személyes adatokra vonatkozó
kérések gyorsabb azonosítását és feldolgozását.
Már jelenleg is tudunk olyan útmutatással és eszközökkel szolgálni, amelyek segítségével
megoldhatók az adatok osztályozásához kapcsolódó összetett kérdések.
Azure
A Data Classification (Adatbesorolás) című tanulmány konkrét útmutatást ad az Azure
adatbesorolásához, és végigvezeti az olvasót az adatbesorolási technikák mögöttes elvein,
a folyamaton, a terminológián és a végrehajtáson. Az anyag bőséges további tájékoztatást
és hivatkozásokat tartalmaz.
Dynamics 365
A Dynamics 365 (online) biztonsági és megfelelőségi tervezési útmutatója átfogó tájékoztatást
nyújt a Dynamics 365 (online) olyan környezetekben történő telepítésének főbb megfelelőségi
és biztonsági szempontjainak megértéséhez, amelyekben nagyvállalati címtárintegrálási
szolgáltatások működnek, például címtár-szinkronizálás és egyszeri bejelentkezés.
Az adatvédelmi és titokmegőrzési házirendekről, az adatbesorolásról és ezek hatásáról
tartalmaz tudnivalókat.
Enterprise Mobility + Security (EMS)
Az Azure Information Protection létrehozáskor vagy módosításkor tudja megkönnyíteni az
adatok besorolását és felcímkézését. A bizalmas adatokhoz védelem (titkosítás, hitelesítés és
használati jogok) vagy vizuális megjelölés állítható be. A besorolási megjelölés és a védelem
tartós jellegű, kíséri az adatokat, hogy azok mindig azonosíthatóak és védettek legyenek – attól
függetlenül, hogy azokat hol tárolják, vagy hogy kivel osztják meg őket.
Office és Office 365
• Az Office és az Office 365 Adatveszteség-megelőzés (DLP) funkciója a bizalmas
adatok több mint 80 gyakori típusát tudja azonosítani, például pénzügyi, orvosi és
személyazonosításra alkalmas információkat. A DLP emellett lehetővé teszi a szervezetek
számára, hogy az azonosítás esetén végrehajtandó műveleteket állítsanak-e be a
bizalmas adatok védelme és véletlen közlésének megelőzése céljából.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
18. oldal | 36
• A Speciális adatgazdálkodás intelligens adatokon és géppel segített elemzési
információkon keresztül nyújt segítséget a szervezet számára legfontosabb adatok
megkereséséhez, besorolásához, a vonatkozó házirendek beállításához, illetve az
életciklusuk kezeléséhez szükséges intézkedésekhez. Az adatok automatikus elemzés és
házirendjavaslatok alapján besorolhatók, majd elvégezhetők az adatok helyben történő
megőrzésére vagy a szükséges elemek törlésére irányuló műveletek. A helyi adatok és
a harmadik felekhez tartozó adatforrások egyaránt feldolgozhatók az Office 365-ben,
és üzenettípus szerint besorolhatók. Az üzenettípus szerinti besorolás lehetővé teszi
a különböző adatforrások keresését, rendezését és exportálását, ami megkönnyíti
a feltárási ellenőrzések végrehajtásának folyamatát.
Windows és Windows Server
A Windows Server 2012 R2-ben található Microsoft Data Classification Toolkit (Microsoft
Adatbesorolási Eszközkészlet) keresési mintakifejezéseket és szabályokat biztosít, amelyek
használatával segíthetők a szervezet informatikai szakemberei, auditorai, számviteli szakemberei,
jogászai és más megfelelőségi szakemberei által végzett megfelelőségi tevékenységek.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
19. oldal | 36
Védelem: a kitettségek és adatvédelmi incidensek megelőzésére, észlelésére
és kezelésére vonatkozóan előírt biztonsági ellenőrzések kialakítása
A szervezetek számára egyre világosabbá válik az információbiztonság fontossága – de a GDPR
szintet lép. Előírja a szervezetek számára a megfelelő műszaki és szervezési lépések megtételét
a személyes adatok elvesztéssel, jogosulatlan hozzáféréssel vagy közléssel szembeni védelme
érdekében.
Az adatok védelme
Az adatbiztonság összetett terület. Sokféle típusú azonosítandó és figyelembe veendő
kockázat van – a fizikai behatolástól vagy a rosszindulatú alkalmazottaktól kezdve a véletlen
adatvesztésen át a hackerekig. A kockázatkezelési tervek kidolgozásával és kockázatenyhítési
lépésekkel – például jelszavas védelem, auditnaplók és titkosítás – biztosítható a megfelelőség.
A Microsoft felhője konkrétan úgy van kialakítva, hogy megkönnyítse a kockázatok megértését
és az ellenük történő védekezést. Számos szempontból biztonságosabb, mint a helyszíni
számítástechnikai környezetek. Például adatközpontjaink nemzetközileg elismert biztonsági
szabványok alapján rendelkeznek tanúsítással, 24 órás fizikai megfigyelés védi őket, és
hozzáférésük szigorúan szabályozott.
Felhőinfrastruktúránk védelme mindössze része egy átfogó biztonsági megoldásnak, és minden
termékünk – akár a felhőben, akár a helyszínen működik – olyan biztonsági funkciókkal vannak
ellátva, amelyek megkönnyítik Önöknek a saját adataik védelmét.
Azure
A személyes adatok védelmét a felhőalapú környezetben a következő Azure-szolgáltatások
és -eszközök segítik:
• Az Azure Biztonsági központ az Azure-erőforrások biztonságának láthatóságát és kézben
tarthatóságát biztosítja. Folyamatosan figyeli az erőforrásokat, és hasznos biztonsági
ajánlásokat ad. Lehetővé teszi házirendek meghatározását az Azure-előfizetésekhez és
az erőforráscsoportokhoz a vállalat biztonsági követelményei, a használt alkalmazások
típusai és az adatok érzékenységi szintjének megfelelően. Emellett házirenden alapuló
biztonsági ajánlásokat ad, amelyek a szolgáltatások felelőseit végigvezetik a szükséges
ellenőrzési lehetőségek megvalósításának folyamatán – például az erőforrásoknál a
kártevőirtó vagy a lemeztitkosítás bekapcsolásán. A Biztonsági központ megkönnyíti
továbbá a Microsoft és partnerei biztonsági szolgáltatásainak és eszközeinek gyors
rendszerbe állítását, amelyekkel megerősíthető a felhőalapú környezet védelme.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
20. oldal | 36
• Az Azure adattitkosítása a tárolt és az úton lévő adatokat óvja. Az adatok például a
társzolgáltatási titkosítás használatával automatikusan titkosíthatóak az adatoknak
az Azure Storage-ba való írásakor. Emellett az Azure Disk Encryption szolgáltatással
titkosíthatóak az operációs rendszerek, illetve a Windows és Linux rendszerű virtuális
gépek által használt adatlemezek. Az alkalmazások és az Azure közötti haladó adatok
védettek, így a magas szintű biztonság folyamatosan megvan.
• Az Azure Key Vault a kriptográfiai kulcsok, a tanúsítványok, illetve az adatokat védő
jelszavak biztonságos tárolását teszi lehetővé. A Key Vault szolgáltatás hardveres
biztonsági modulokat használ, és úgy van kialakítva, hogy a kulcsok – következésképpen
az adatok – feletti ellenőrzés megmaradjon Önöknél, tehát garantált, hogy a Microsoft
nem láthatja és nem tudja elérni a kulcsaikat. Önök az Azure naplózási funkciójával
figyelemmel kísérhetik és naplózhatják a tárolt kulcsok használatát, a naplókat pedig
az Azure HDInsight szolgáltatásba vagy egyéb biztonságiinformáció- és eseménykezelő
(SIEM) rendszerbe importálva további elemzést és fenyegetésészlelést végezhetnek.
• A Microsoft Antimalware Azure-os felhőszolgáltatásokra és virtuális gépekre
tervezett kiadása ingyenes, valós időben működő védelmi funkció, amely a vírusok,
kémprogramok és egyéb kártevő szoftverek azonosítását és eltávolítását olyan
konfigurálható riasztásokkal könnyíti meg, amelyek jelzést adnak, amikor rosszindulatú
vagy nemkívánatos szoftverek próbálják meg telepíteni magukat, illetve futnak az Önök
Azure-rendszerein.
Dynamics 365
A Dynamics 365 biztonsági koncepcióinak alkalmazásával védhető az adatok sértetlensége és
biztonsága a Dynamics 365-szervezetekben. Az üzleti egységek, a szerepköralapú biztonság, a
nyilvántartás-alapú biztonság és a mezőalapú biztonság egyesített alkalmazásával általánosan
definiálható a felhasználók által a Dynamics 365-szervezetben tárolt adatok hozzáférhetősége.
• A Dynamics 365 szerepköralapú biztonsága lehetővé teszi az adott felhasználó által
végrehajtható feladatokat korlátozó jogosultságok csoportba rendezését. Ez egy fontos
képesség, különösen akkor, amikor a szervezeten belül megváltozik az emberek
szerepköre.
• A Dynamics 365 nyilvántartás-alapú biztonsága konkrét rekordok hozzáférésének
korlátozását teszi lehetővé.
• A Dynamics 365 mezőalapú biztonsága konkrét, nagy hatású mezők – például
személyazonosításra alkalmas információk – hozzáférésének korlátozását teszi lehetővé.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
21. oldal | 36
Enterprise Mobility + Security (EMS)
Az adatvédelmi incidensek nagy részénél a támadók gyenge, alapértelmezett vagy
eltulajdonított felhasználói hitelesítő adatok révén szereznek hozzáférést a vállalati
hálózathoz. Biztonsági megközelítésünk kiindulópontja a rendszer bejáratánál
megvalósított identitásvédelem és a kockázatalapú feltételes hozzáférés.
• Az Enterprise Mobility + Security megoldásban az Azure Active Directory (Azure AD)
a szervezet védelmét a hozzáférés szintjén könnyíti meg az identitások kezelésével
és védelmével – beleértve a különleges engedélyekkel rendelkező és nem rendelkező
identitásokat is. Az Azure AD egyetlen védett közös identitást biztosít alkalmazások
ezreinek az eléréséhez. Az Azure AD Premium szolgáltatás tartalmazza a többtényezős
hitelesítést is, amely az eszköz állapota, a felhasználó tartózkodási helye, identitása és
a bejelentkezési kockázat, illetve holisztikus biztonsági jelentések, átvilágítások és
riasztások alapján szabályozza a hozzáférést. Az Azure AD Privileged Identity
Management (PIM) szolgáltatás egy biztonsági varázslón, ellenőrzéseken és riasztásokon
keresztül könnyíti meg a különleges engedélyekkel rendelkező identitások és az
erőforrásokhoz való hozzáférésük felfedezését, korlátozását és figyelését. Ez lehetővé
teszi az olyan forgatókönyvek alkalmazását, mint például az időben korlátozott „igény
szerinti” működés és a „Just Enough Administration” típusú hozzáférés.
Az Enterprise Mobility + Security csomag részletesebb láthatóságot biztosít a felhasználóhoz,
az eszközhöz és az adatokhoz kapcsolódó tevékenységekhez a helyszíni és a felhőben működő
szolgáltatások esetében egyaránt, továbbá szigorú szabályozási lehetőségekkel és végrehajtással
segíti elő az adatok védelmét.
• Az Azure Information Protection szolgáltatás megkönnyíti az adatok feletti kontroll
kiterjesztését az adatok teljes életciklusára – a létrehozástól kezdve a helyszíni és
felhőbeli tároláson, valamint a belső vagy külső megosztáson és a fájlok terjesztésének
figyelésén keresztül egészen a váratlan tevékenységekre történő reagálásig.
• A Cloud App Security szolgáltatás az alkalmazottak által használt szoftverszolgáltatások
(Saas) és felhőalkalmazások részletes láthatóságát és szigorú adatkezelési szabályozását
biztosítja, így a teljes környezet láthatóvá válik, és megkezdhető az adatok elemszintű
házirendeken keresztüli szabályozása.
• A Microsoft Intune a felhőből nyújt mobileszköz-felügyeleti, mobilalkalmazás-felügyeleti
és számítógép-felügyeleti funkciókat. Az Intune használatával az alkalmazottak számára
a vállalati alkalmazásokhoz, adatokhoz és erőforrásokhoz gyakorlatilag bárhonnan, szinte
bármilyen eszközön nyújtható hozzáférés a vállalati információk nagyfokú biztonságának
megőrzése mellett.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
22. oldal | 36
Office és Office 365
Az Office 365 platform az alkalmazásfejlesztéstől kezdve a fizikai adatközpontokon át a
végfelhasználói hozzáférésig minden szinten integrálja a biztonságot. Az Office 365 alkalmazásai
egyrészt az adatok védelmének folyamatát egyszerűbbé tevő, beépített biztonsági funkciókat
tartalmaznak, másrészt rugalmasan lehetővé teszik a biztonság egyéni üzleti igényeknek megfelelő
konfigurálását, felügyeletét és integrálását. Az Office 365 megfelelőségi keretrendszere több mint
1000 ellenőrzési pontot tartalmaz; ez teszi lehetővé, hogy az Office 365-öt naprakészen tartsuk a
folyamatosan változó iparági szabványokhoz képest – ez több mint 50 tanúsítást és igazolást jelent.
Számos biztonsági ellenőrzés alapértelmezett módon elérhető. Például a SharePoint és a
OneDrive Vállalati verzió titkosítást használ a tárolt és az úton lévő adatokhoz egyaránt.
Emellett digitális tanúsítványok konfigurálásával és telepítésével gátolható a személyes
adatok láthatósága, és az Office hozzáférés-vezérlési beállításaival adható meg vagy
korlátozható a hozzáférés a személyes adatokhoz.
Az Office 365 további funkciókkal is elősegíti az adatok védelmét és az adatvédelmi
incidensek azonosítását előfordulásuk esetén:
• A biztonsági pontszám betekintést ad a biztonság aktuális helyzetébe, illetve hogy
milyen funkciók állnak rendelkezésre a kockázat csökkentésére olyan módon, hogy
megmarad a hatékonyság és a biztonság egyensúlya.
• Az Exchange Online Komplex veszélyforrások elleni védelem szolgáltatása valós időben
segít az e-maileket az új, kifinomult kártevők támadásaival szemben megvédeni. Emellett
olyan házirendek létrehozását is lehetővé teszi, amelyekkel megakadályozható, hogy a
felhasználók az e-mailekben rosszindulatú mellékletekhez vagy rosszindulatú webhelyek
hivatkozásaihoz férjenek hozzá. Az Exchange Online Komplex veszélyforrások elleni
védelem szolgáltatása ismeretlen kártevőkkel és vírusokkal szembeni védelmet, a
rosszindulatú URL-címekkel szemben kattintáskori védelmet is nyújt, emellett
széleskörű jelentéskészítési és URL-címkövetési képességeket is biztosít.
• A Tartalomvédelmi szolgáltatás segít Önöknek és felhasználóiknak megakadályozni a
bizalmas információk illetéktelen nyomtatását, továbbítását, mentését, módosítását
vagy másolását. Az Exchange Online tartalomvédelmi szolgáltatásával könnyebben
megakadályozható az e-mailekben és a mellékletekben szereplő bizalmas információk
e-mailen keresztül, online vagy offline történő kiszivárgása.
• Az Office 365 mobileszköz-felügyeleti funkciója olyan házirendek és szabályok beállítását
teszi lehetővé, amelyekkel könnyebben megoldható a felhasználók beléptetett iPhone,
iPad készülékeinek, illetve Android- és Windows-alapú telefonjainak védelme és
felügyelete. Lehetőség van például az eszközök távoli törlésére és az eszközökről
részletes jelentések megtekintésére. Az Office 365 többtényezős hitelesítés
használatával is elősegíti a további biztonságot.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
23. oldal | 36
SQL Server és Azure SQL Database
Az SQL Server és az Azure SQL Database több szinten szabályozza az adatbázisok
hozzáférésének és jogosultságainak kezelését:
• Az Azure SQL Database tűzfala a hozzáférést kizárólag az engedélyezett kapcsolatokra
szűkítve korlátozza az egyes adatbázisok elérhetőségét az Azure SQL Database-
kiszolgálón. Tűzfalszabályokat lehet létrehozni a kiszolgáló és az adatbázisok szintjén
egyaránt, és megadhatók a kapcsolódódásra engedélyezett IP-címek tartományai.
• Az SQL Server-hitelesítés segít biztosítani azt, hogy csak jogosult, érvényes hitelesítési
adatokkal rendelkező felhasználók tudják elérni az adatbázis-kiszolgálót. Az SQL Server
a Windows-hitelesítést és az SQL Server rendszer bejelentkezését egyaránt támogatja.
A Windows-hitelesítést integrált biztonságot nyújt, használata biztonságosabb
lehetőségként ajánlott, mivel a hitelesítési folyamat teljes egészében titkosított.
Az Azure SQL Database támogatja az Azure Active Directory-hitelesítés, használatát,
amely lehetőséget ad az egyszeri bejelentkezésre, valamint a felügyelt és integrált
tartományokban egyaránt támogatott.
• Az SQL Server-hitelesítés az engedélyek kezelését a minimális jogosultság elve szerint
teszi lehetővé. Az SQL Server és az SQL Database szerepköralapú biztonságot használ,
amely szerepkörtagságok és objektumszintű engedélyek kezelésén keresztül támogatja
az adatengedélyek elemszintű szabályozását.
• A dinamikus adatmaszkolás beépített funkció, amelynek használatával a bizalmas adatok
láthatósága az adatok kitakarásával korlátozható, amikor jogosultsággal nem rendelkező
felhasználók vagy alkalmazások érik el őket. A lekérdezések eredményeiben a kijelölt
adatmezők a folyamat során kitakarva láthatóak, ugyanakkor az adatbázisban az adatok
változatlanok maradnak. A dinamikus adatmaszkolás könnyen konfigurálható, és
az alkalmazásban nem igényel változtatásokat. Az Azure SQL Database, dinamikus
adatmaszkolási funkciója automatikusan képes felfedezni a potenciálisan bizalmas
információkat, és javaslatot tesz a megfelelő maszkok alkalmazására.
• A sorszintű biztonság további beépített funkció, amelynek használatával az SQL Server
és az SQL Database felhasználói számára az adatsorok hozzáféréséhez állíthatók be
korlátozások. A sorszintű biztonság segítségével finomhangolt hozzáférés-vezérlés
alkalmazható az adatbázistábla soraira, így jobban szabályozható, hogy melyik
felhasználó milyen adatokat érhet el. Mivel a hozzáférést korlátozó logika az adatbázis
szintjén található, ez a képesség nagyban egyszerűsíti az alkalmazásbiztonság
megtervezését és megvalósítását.
Az SQL Server és az SQL Database egy sor beépített funkciót tartalmaz, amelyek védik
az adatokat, és azonosítják az előforduló adatvédelmi incidenseket:
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
24. oldal | 36
• A transzparens adattitkosítás a tárolt adatokat védi az adatbázis titkosításával,
a kapcsolódó biztonsági másolatkészítéssel és a tranzakciós naplófájlokkal a fizikai
tárolási rétegben. Ez a titkosítás az alkalmazás szempontjából transzparens, és a jobb
teljesítmény érdekében hardveres gyorsítást használ.
• A Transport Layer Security (TLS) az SQL Database-kapcsolatoknál továbbítás közben
védi az adatokat.
• Az Always Encrypted (folyamatos titkosítás) az iparágban elsőként bevezetett funkció,
amely a rendkívül bizalmas adatok védelmét célozza az SQL Server és SQL Database
rendszerekben. Az Always Encrypted funkció lehetővé teszi, hogy az ügyfelek a bizalmas
adatokat az ügyfélalkalmazásokon belül titkosítsák, és egyáltalán ne közöljék a titkosítási
kulcsokat az adatbázismotorral. A mechanizmus az alkalmazások szempontjából
transzparens, mivel az adatok titkosítása és visszafejtése transzparens módon az
Always Encrypted funkció használatára felkészített ügyfél-illesztőprogram végzi.
• Az SQL Database naplózása és az SQL Server Audit funkciója követi az adatbázis-
eseményeket, és azokat auditnaplóba írja. A naplózás a potenciális fenyegetések, a
gyanított visszaélések és a biztonsági szabálysértések azonosítása céljából lehetővé
teszi a folyamatban lévő adatbázis-tevékenységek áttekintését, illetve a korábbi
tevékenységek elemzését és vizsgálatát.
• Az SQL Database fenyegetésészlelési funkciója az adatbázis szempontjából potenciális
biztonsági fenyegetést jelentő tevékenységanomáliákat észleli az adatbázisban.
A fenyegetésészlelés egy sor fejlett algoritmus alkalmazásával folyamatosan tanulja az
alkalmazások viselkedését, azokról profilt készít, a szokatlan vagy gyanús tevékenységek
észlelése esetén pedig azonnali értesítést küld. A fenyegetésészlelés megkönnyíti a
GDPR adatvédelmi incidensekkel kapcsolatos értesítési kötelezettségének teljesítését.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
25. oldal | 36
Windows és Windows Server
A Windows 10 és a Windows Server 2016 rendszer az iparágban vezető titkosítást, kártevőirtó
technológiákat, illetve identitás- és hozzáférés-kezelő megoldásokat tartalmaz, amelyek
segítségével a jelszavak helyett a hitelesítést biztonságosabb formáira lehet átállni:
• A Windows Hello a jelszavak helyett kényelmes, nagyvállalati szintű alternatívát jelent,
amely egy természetes (biometrikus) vagy egy ismereten alapuló (PIN-kód) módszer
alkalmazásával ellenőrzi a személyazonosságot, így az intelligens kártyák biztonsági
előnyeit további perifériák szükségessége nélkül nyújtja.
• A Windows Defender víruskereső robusztus kártevőirtó megoldás, amely azonnal
használatra kész voltával segíti elő a folyamatos védelmet. A Windows Defender
víruskereső gyorsan észleli a kártevőket, és védekezik ellenük, amikor a környezet
bármelyik részében megjelenik egy fenyegetés, azonnal képes segítséget nyújtani
az eszközök védelmében.
• A Device Guard az eszközök és kiszolgálók zárolását teszi lehetővé az új és ismeretlen
kártevő-változatokkal és a fejlett fenyegetésekkel szembeni védekezés érdekében.
Az észlelésre épülő megoldásoktól – például a víruskeresőktől – eltérő módon, amelyek
a legújabb fenyegetések észleléséhez folyamatos frissítést igényelnek, a Device Guard
zárolja az eszközöket, hogy azokon csak a kiválasztott, engedélyezett alkalmazások
futhassanak, így biztosít hatékony ellenszert a kártevők ellen.
• A Credential Guard funkció a teljes Windows operációs rendszer biztonságának sérülése
esetén is képes elszigetelni az eszközön a titkos információkat, például az egyszeri
bejelentkezés tokenjeit. Ez a megoldás alapjában véve az olyan nehezen kivédhető
támadások alkalmazását akadályozza meg, mint a „Pass the Hash”.
• A Windows 10 és a Windows Server 2016 rendszerben a BitLocker meghajtótitkosítás
nagyvállalati szintű titkosítással segíti elő az adatok védelmét az eszközök elveszítése
vagy eltulajdonítása esetén. A BitLocker a számítógép merevlemezes és flash
meghajtóinak teljes titkosításával akadályozza meg, hogy illetéktelen felhasználók
hozzáférjenek az adatokhoz.
• A Windows Információvédelem ott folytatja, ahol a BitLocker befejezte. Míg a BitLocker
egy eszköz egész lemezét védi, a Windows Információvédelem az adatokat védi az
illetéktelen felhasználókkal szemben, illetve a gépen futó alkalmazásokat. Emellett
segít megelőzni az adatok szivárgását az üzleti dokumentumokból nem üzleti
dokumentumokba vagy a weben található helyekre.
• A védett virtuális gépek lehetővé teszik a BitLocker használatát a Hyper-V használatával
működő lemezek és virtuális gépek titkosítására, így megakadályozható, hogy a sérült
biztonságú vagy rosszindulatú rendszergazdák a védett virtuális gépek tartalmát támadják.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
26. oldal | 36
• A Just Enough Administration és az igény szerinti felügyelet funkciók segítségével
a rendszergazdák elvégezhetik a szokásos feladataikat és műveleteiket, ugyanakkor
korlátozható a képességek köre és a végrehajtási időkeret. Ha rendszergazdai szintű
hitelesítő adatok biztonsága sérül, a károkozási lehetőség jelentősen korlátozott lesz
Ez a technika lehetővé teszi, hogy a rendszergazdák számára csak a szükséges szintű
hozzáférés legyen elérhető, a projekten történő munkavégzésük idejére.
A biztonsági incidensek felismerése és reagálás rájuk
A GDPR bizonyos esetekben előírja, hogy adatvédelmi incidens esetén a szervezeteknek rövid
határidővel értesíteniük kell a szabályozó szerveket. Egyes esetekben az érintett értesítése is
előírás. E kötelezettség teljesítése szempontjából előnyös, ha a szervezetek figyelni és észlelni
tudják a rendszerbe történő behatolásokat.
Az olyan incidensek esetén, ahol részben vagy egészében a mi feladatunk a reagálás, részletes
biztonságiincidens-válaszkezelési folyamatokat alakítottunk ki, például az Azure és az Office 365
számára.
Ezenkívül a Shared Responsibilities in Cloud Computing (Közös felelősségi területek a felhőalapú
számítástechnikában) című tanulmányban ismertetjük, hogyan működünk együtt ügyfeleinkkel
a közös felelősségi modell keretében.
Ha Önök potenciális incidenst észleltek, mi saját incidenskezelési programunkat ajánljuk
és alkalmazzuk. Ez egy négy lépésből álló folyamat:
• Az esemény kiterjedtségének és súlyosságának felmérése. A megállapítások alapján
a felmérés eredménye információbiztonsági/adatvédelmi csoporthoz kerülhet.
• Műszaki vizsgálat vagy nyomozás, a terjedés megállítására, az enyhítésre és a kerülő
megoldásokra irányuló stratégiák azonosítása. Ha az információbiztonsági/adatvédelmi
csoport úgy véli, hogy személyes adatok válhattak ismertté jogellenes tevékenységet
folytató vagy illetéktelen személy számára, párhuzamosan megkezdődik a GDPR által
előírt értesítési folyamat is.
• Helyreállítási terv készítése a probléma enyhítésére. A krízis továbbterjedését célzó
lépéseknek – például az érintett rendszerek karanténba zárásának – haladéktalanul,
a diagnózissal párhuzamosan meg kell történniük. Megtervezhető a hatások hosszabb
távú enyhítése is, amire a közvetlen kockázat elmúlta után kerülhet sor.
• Utólagos elemzés, amely felvázolja az incidens részleteit, hogy a házirendek, eljárások és
folyamatok felülvizsgálatával elkerülhető legyen az esemény megismétlődése. Ez a fázis
a GDPR 33. cikkével összhangban rögzíti az incidenshez kapcsolódó tényeket, annak
hatásait és az orvoslására tett intézkedéseket.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
27. oldal | 36
Azure
A rendszerekben található személyes adatok védelme, a megfelelőséggel kapcsolatos
jelentéskészítés és felülvizsgálatok a GDPR fő követelményei közé tartoznak. A GDPR ezen
előírásainak teljesítését az Azure következő szolgáltatásai és eszközei könnyítik meg:
• Az Azure-ral integrált szolgáltatások gyorsabban és könnyebben áttekinthetővé
teszik az általános biztonsági helyzetet, illetve a felhőalapú környezettel szembeni
fenyegetések észlelését és kivizsgálását. Az Azure Security Center fejlett biztonsági
elemzési folyamatokat alkalmaz. A big data és a gépi tanulási technológiák területén
áttörést jelentő algoritmusok használatával értékeli ki az eseményeket a felhő teljes
szerkezetében – olyan fenyegetéseket is észlelve, amelyek manuális megközelítés
alkalmazásával nem lennének azonosíthatóak, és előre jelezve a támadások fejlődését.
Ilyen biztonsági elemzési folyamatok a következők:
• Integrált fenyegetésfelderítés, amely a Microsoft termékeiből és
szolgáltatásaiból, a Microsoft digitális bűnüldözési csoportjától, a Microsoft
Security Response Centertől (MSRC) és külső forrásokból származó általános
fenyegetésfelderítési információk alapján keresi az ismert rosszindulatú
tényezőket.
• Viselkedéselemzés, amely ismert minták felhasználásával fedezi fel
a rosszindulatú magatartást.
• Anomáliadetektálás, amely statisztikai alapú profilkészítéssel alakít ki egy
előzmény-alaphelyzetet. Az így kialakított alaphelyzetektől való olyan
eltérések esetén, amelyek megfelelnek a potenciális támadások vektorainak,
figyelmeztetést ad ki.
A Security Center emellett prioritási szint szerint besorolt biztonsági riasztásokat
nyújt, amelyek betekintést adnak a támadási kampányba, többek között a kapcsolódó
eseményekbe és az érintett erőforrások adataiba.
• Az Azure Log Analytics konfigurálható biztonsági audit- és naplózási funkciókat
biztosít, amelyek segítségével a felhőben vagy a helyszíni környezetben található
erőforrások által generált adatok gyűjthetők és elemezhetők. Az integrált keresés
és egyéni irányítópultok használatával valós időben nyújt adatokat a fizikai
helyszíntől függetlenül a munkaterhelésekben és a kiszolgálókon elérhető
rekordok millióinak azonnali elemzéséhez. Bármilyen biztonsági esemény
esetén megkönnyíti a gyors reagálást és az alapos kivizsgálást.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
28. oldal | 36
Dynamics 365
A Dynamics 365 (online) rendszeres karbantartásával és frissítésével gondoskodunk a
szolgáltatás biztonságáról, teljesítményéről és rendelkezésre állásáról, illetve új funkciókat
teszünk elérhetővé benne. Emellett a szolgáltatási incidensekre is rendszeresen reagálunk,
Az Önök szervezetében a Dynamics 365-rendszergazda minden ilyen tevékenység esetén e-
mailben kap értesítést. Szolgáltatási incidens esetén a Dynamics 365 (online) ügyfélszolgálatának
képviselője is jelentkezhet telefonon, majd e-mailben. A Dynamics 365-re vonatkozó szabályaink
és kommunikációnk részletes leírása a TechNeten található.
Enterprise Mobility + Security (EMS)
Átfogó fenyegetésfelderítésünk modern viselkedéselemzési és anomáliaészlelési technológiák
alkalmazásával leplezi le a gyanús tevékenységeket, illetve mutat rá a fenyegetésekre – a helyszíni
rendszerekben és a felhőben egyaránt. Ez ugyanúgy érvényes az ismert rosszindulatú támadásokra
(például „Pass the Hash”, „Pass the Ticket”) és a rendszerünk biztonsági réseire. A hatékony
támogatásnak köszönhetően lehetséges az azonnali fellépés az észlelt támadásokkal szemben, illetve
a helyreállítás racionalizálása. Fenyegetésfelderítésünket a Microsoft Intelligent Security Graph funkció
is segíti, amely hatalmas számú adathalmazra és a felhőben megvalósított gépi tanulásra támaszkodik:
• A Microsoft Advanced Threat Analytics (ATA) helyszíni rendszerekben működő termékként
segíti az információbiztonsági munkatársaknak az entitások (felhasználók, eszközök és
erőforrások) normális és abnormális viselkedésének automatikus elemzésével, tanulásával
és azonosításával a fejlett, célzott támadásokkal szemben megvédeniük a szervezetüket.
Az ATA a felhasználók és entitások (eszközök és erőforrások) gyanús magatartásának
észlelésével, gépi tanulás és a helyszíni Active Directoryban, SIEM rendszerekben és a
Windows eseménynaplóiban található információk használatával észleli a fejlett tartós
fenyegetéseket. Emellett az ismert rosszindulatú támadásokat (például „Pass the Hash”) is
észleli. Végezetül a támadás egyszerű kronológiáját is megadja a támadásokra vonatkozó
világos és releváns információkkal, hogy a figyelmet a valóban fontos tényezőkre
összpontosítsa.
• A Cloud App Security a felhőalkalmazások számára a fenyegetésekkel szemben nyújtott
védelme mögött a Microsoft által a fenyegetésekkel kapcsolatban felhalmozott hatalmas
mennyiségű ismeretanyaga és kutatásai állnak. Azonosíthatók a nagy kockázatot magukban
rejtő használatok, a biztonsági incidensek, illetve az abnormális felhasználói viselkedés
észlelésével előzhetők meg a fenyegetések. A Cloud App Security fejlett gépi tanulási
heurisztikája megtanulja, hogyan használják az egyes felhasználók az egyes SaaS-
alkalmazásokat, és a viselkedés elemzésével méri fel az egyes tranzakciókhoz kapcsolódó
kockázatokat. Ilyen például az egyidejű bejelentkezés két országból, a több terabájtnyi adat
hirtelen letöltése vagy több sikertelen bejelentkezési kísérlet, amely találgatásos támadás
jele lehet.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
29. oldal | 36
• Az Azure Active Directory (Azure AD) Premium szolgáltatás a felhőben nyújt
identitásszintű fenyegetésészlelést. Az Azure AD az alkalmazások használatát figyeli, és
biztonsági jelentéskészítéssel és figyeléssel védi a vállalkozást a fejlett fenyegetésekkel
szemben. A hozzáférési és használati jelentésekből látható a szervezet címtárának
sértetlensége és biztonsága. Az Azure AD emellett értesítésekkel, elemzésekkel és
korrekciós intézkedések ajánlásával nyújt identitásvédelmet.
Office és Office 365
Az Office 365 többféle funkcióval segíti az előforduló az adatvédelmi incidensek azonosítását
és a rájuk való reagálást:
• A fenyegetések felderítése az Office 365-ben komplex veszélyforrások proaktív
felfedezését és a velük szembeni védekezést könnyíti meg. A részletes betekintés
a veszélyforrásokba – amely részben a Microsoft globális jelenlétének, az Intelligent
Security Graph funkciónak, illetve az informatikai fenyegetésekre vadászó partnerek
információinak köszönhetően érhető el –, megkönnyíti a riasztások gyors és hatékony
bekapcsolását, a dinamikus házirendek, illetve a biztonsági megoldások használatát.
• A Speciális biztonságkezelés lehetővé teszi a nagy kockázatot jelentő és a normálistól
eltérő használatok azonosítását, figyelmeztetve a potenciális incidensekre. Emellett
lehetővé teszi a nagy kockázatot jelentő és gyanús tevékenységeket követő és azokra
reagáló tevékenységszabályzatok beállítását. A Productivity App Discovery funkció is
rendelkezésre áll, amelynek segítségével a szervezet naplófájljaiban található információk
segítségével értelmezhető a felhasználók alkalmazáshasználata az Office 365-ben és más
felhőalkalmazásokban, és ennek alapján megtehetők a szükséges lépések.
• Az Exchange online Komplex veszélyforrások elleni védelem szolgáltatása valós időben
segít az e-maileket az új, kifinomult kártevők támadásaival szemben megvédeni. Emellett
olyan házirendek létrehozását is lehetővé teszi, amelyekkel megakadályozható, hogy a
felhasználók az e-mailekben rosszindulatú mellékletekhez vagy rosszindulatú webhelyek
hivatkozásaihoz férjenek hozzá.
SQL Server és Azure SQL Database
Az SQL Server és az SQL Database egy sor beépített funkciót tartalmaz, amelyek azonosítják
az előforduló adatvédelmi incidenseket:
• Az SQL Database naplózása és az SQL Server Audit funkciója követi az adatbázis-
eseményeket, és azokat auditnaplóba írja. A naplózás a potenciális fenyegetések, a
gyanított visszaélések és a biztonsági szabálysértések azonosítása céljából lehetővé
teszi a folyamatban lévő adatbázis-tevékenységek áttekintését, illetve a korábbi
tevékenységek elemzését és vizsgálatát.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
30. oldal | 36
• Az SQL Database fenyegetésészlelési funkciója az adatbázis szempontjából potenciális
biztonsági fenyegetést jelentő tevékenységanomáliákat észleli az adatbázisban.
A fenyegetésészlelés egy sor fejlett algoritmus alkalmazásával folyamatosan tanulja az
alkalmazások viselkedését, azokról profilt készít, a szokatlan vagy gyanús tevékenységek
észlelése esetén pedig azonnali értesítést küld. A fenyegetésészlelés megkönnyíti a
GDPR adatvédelmi incidensekkel kapcsolatos értesítési kötelezettségének teljesítését.
Windows és Windows Server
A Windows Defender Komplex veszélyforrások elleni védelme (ATP) a biztonsági üzemeltetési
csoportok számára lehetővé teszi a hálózatban előforduló adatvédelmi incidensek észlelését,
kivizsgálását, terjedésük megakadályozását és kezelését. A Windows Defender ATP segítségével
megoldható a komplex veszélyforrások észlelése, kivizsgálása és kezelése az összes végponton,
akár 6 hónapra visszanyúló előzményadatokkal – akár olyan helyzetekben is, amikor a
végpontok offline állapotúak, a hálózati tartományon kívül vannak, a rendszert lemezkép alapján
újratelepítették, vagy már nem is léteznek a végpontok. A Windows Defender ATP a GDPR egyik
fontos követelményének teljesítését segíti elő, miszerint világos eljárásokkal kell rendelkezni
az adatvédelmi incidensek észleléséhez, kivizsgálásához és jelentéséhez.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
31. oldal | 36
Jelentés: az adatkérések végrehajtása, az adatvédelmi incidensek jelentése,
a szükséges nyilvántartások vezetése
A GDPR új normákat határoz meg az átláthatóság, az elszámoltathatóság és a nyilvántartási
követelmények terén. Transzparensebbnek kell lenni nem csupán azzal kapcsolatban, hogyan
kezeljük a személyes adatokat, hanem azzal kapcsolatban is, hogyan tartjuk aktívan karban
a folyamatainkat és a személyes adatok használatát meghatározó dokumentumokat.
Nyilvántartás
A személyes adatok kezelését végző szervezeteknek nyilvántartást kell vezetniük az adatkezelés
céljairól; a kezelt személyes adatok kategóriáiról; azoknak a harmadik feleknek a személyazonosságáról,
akikkel megosztják az adatokat; arról, hogy harmadik országok kapnak-e (és milyen harmadik országok
kapnak) személyes adatokat, illetve az ilyen adattovábbítások jogalapjáról; a szervezési és technikai
biztonsági intézkedésekről; valamint a különböző adatkategóriák tekintetében alkalmazandó
adatmegőrzési időkről. Ez például auditeszközök használatával valósítható meg, amelyek segíthetnek
biztosítani, hogy az adatok mindennemű kezelése – attól függetlenül, hogy az adatok gyűjtéséről,
használatáról, megosztásáról vagy egyéb kezeléséről van-e szó – követve és nyilvántartva legyen.
A Microsoft felhőszolgáltatásai beépített auditszolgáltatásokat kínálnak, amelyek segítséget
jelenthetnek ennek a normának a teljesítésében.
Az Azure, az Office 365 és a Dynamics 365
A Service Trust Portal széles körű tájékoztatást tartalmaz az Azure, az Office 365 és a Dynamics
365 különböző megfelelőségi, biztonsági, adatvédelmi és megbízhatósági lehetőségeiről, például
a jelentésekről és tanúsítványokról. A külső, független auditálási és GRC- (governance, risk
management, compliance – kormányzat, kockázatkezelés, megfelelőség) jelentések segítségével
naprakész tájékoztatás érhető el arról, hogy a Microsoft felhőszolgáltatásai hogyan teljesítik az
adott szervezet számára fontos globális normákat. A megbízhatósági jelentés pedig világos képet
adnak arról, hogyan védik a Microsoft felhőszolgáltatásai az Önök adatait, illetve Önök hogyan
kezelhetik az adatok biztonságát és a megfelelőséget saját felhőszolgáltatásaikban.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
32. oldal | 36
Azure
A biztonsághoz kapcsolódó események auditálása és naplózása, illetve a kapcsolódó riasztások
fontos összetevőket jelentenek a hatékony adatvédelmi stratégiák szempontjából.
Az Azure naplózási és auditfunkciói a következőket teszik lehetővé:
• Auditnapló létrehozása az Azure-ben telepített alkalmazásokhoz és az Azure
virtuálisgép-gyűjteményéből létrehozott virtuális gépekhez.
• Nagy méretű adathalmazokon központosított elemzés végrehajtása az Azure
infrastruktúra-szolgáltatási (IaaS) és platformszolgáltatási (PaaS) biztonsági eseményein
végzett adatgyűjtéssel. A következő lépésben az Azure HDInsight használatával
összesíthetők és elemezhetők ezek az események, majd folyamatos figyelés céljából
a helyszíni SIEM rendszerekbe exportálhatók.
• A hozzáférés figyelhető, a használatról pedig jelentések készíthetők az Azure
felügyeleti műveleteket – többek között a rendszer hozzáférését is – naplózó funkciójára
támaszkodva, így auditnapló hozható létre az illetéktelen vagy véletlen változtatások
esetére. Az auditnaplók lekérhetők az Azure Active Directory-bérlőhöz, így meg lehet
nézni a hozzáférésről és a használatról szóló jelentéseket.
• A Windows biztonsági eseménynaplóiból és más, biztonsághoz kapcsolódó naplókból
adatgyűjtésre beállítható Azure Diagnostics szolgáltatás segítségével a biztonsági
riasztások helyszíni SIEM rendszerekbe exportálhatók.
• Az Azure Marketplace külső biztonsági megfigyelő, jelentéskészítő és riasztási
eszközöket is kínál.
A Microsoft Azure Monitor szolgáltatás lehetővé teszi a szervezetek számára, hogy egyetlen
központi irányítópultról, egyszerűen tudják megnézni és kezelni az összes adatfigyelési
feladatot. Részletes, naprakész teljesítmény- és kihasználtsági adatokat, minden API-hívást
követő tevékenységnaplót, valamint olyan diagnosztikai naplókat tesz elérhetővé, amelyek
segítségével követhetők az Azure-erőforrásokban jelentkező problémák. Emellett riasztások is
beállíthatók, és automatikus intézkedések hajthatók végre. Az Azure Monitor a meglévő eszközökkel
integrálható, így részletes, végponttól végpontig terjedő figyelési és elemzési funkciók valósíthatók
meg az Azure Monitor és a már megszokott elemzőeszközök együttes használatával.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
33. oldal | 36
Office és Office 365
• Az Office 365 Biztonsági és megfelelőségi központjának Szolgáltatásminőség-biztosítás
szakasza részletes információkat szolgáltat a kockázatértékeléshez, a Microsoft
megfelelőségi jelentéseinek adataival és az auditált ellenőrzési lehetőségek transzparens
állapotával együtt. Például:
• A Microsoft biztonsági gyakorlata az Office 365-ben tárolt ügyféladatokkal kapcsolatban.
• Az Office 365-ről szóló független, harmadik felek által készített auditjelentések.
• Megvalósítási és tesztadatok az olyan biztonsági, adatvédelmi és megfelelőségi
ellenőrzési lehetőségekhez, amelyek az ügyfelek számára megkönnyítik a megfelelést a
szabványoknak, a jogszabályoknak és az ágazatokra egységesen vonatkozó előírásoknak –
ilyen például az ISO 27001 és az ISO 27018 szabvány, illetve a Health Insurance Portability
and Accountability Act (HIPAA, az egészségügyi biztosítás hordozhatóságáról és
felelősségre vonhatóságáról szóló határozat).
• Az Office 365 auditnaplói lehetővé teszik a felhasználói és felügyeleti tevékenységek
figyelését és nyomon követését az Office 365-ben, ami megkönnyíti a biztonsági és
megfelelőségi problémák korai észlelését és kivizsgálását. Az Office 365 auditnapló-
keresési oldalának használatával elkezdhetik rögzíteni a szervezeten belüli felhasználói és
felügyeleti tevékenységeket. Miután az Office 365 elkészítette az auditnaplót, a
tevékenységek széles skálájára lehet rákeresni benne, például a OneDrive vagy a
SharePoint Online felé irányuló feltöltésekre vagy a felhasználói jelszavak módosítására.
Az Exchange Online pedig beállítható olyan módon, hogy kövesse a rendszergazdák által
végrehajtott változtatásokat, illetve minden olyan esetet, amikor a postaládához valaki
más fér hozzá, mint a tulajdonosa.
• Az Ügyfélszéf funkcióval ellenőrizhető, a segítségnyújtás során hogyan férhet hozzá
a Microsoft támogatási szakértője az adatokhoz. Ha a szakértőnek egy probléma
meghatározásához és kijavításához hozzáférésre van szüksége az adatokhoz, az
Ügyfélszéf funkcióval jóváhagyható vagy elutasítható a hozzáférési kérés. A mérnök csak
jóváhagyás esetén tudja elérni az adatokat. Minden kéréshez érvényességi idő tartozik,
és a probléma megoldása után a kérés lezárul, és a rendszer visszavonja a hozzáférést.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
34. oldal | 36
Enterprise Mobility + Security (EMS)
Az Azure Information Protection szolgáltatás széles körű naplózási és jelentéskészítési
funkciókkal elemzi a bizalmas adatok terjesztését. A dokumentumkövetés lehetővé teszi, hogy a
felhasználók és a rendszergazdák figyeljék a megosztott adatokkal kapcsolatos tevékenységeket,
és ha váratlan esemény történik, visszavonják a hozzáférést. Az Azure Information Protection a
fájlmegosztásokban, a SharePoint-webhelyeken és -tárakban, az online adattárakban, valamint
az asztali vagy laptop számítógépek meghajtóin található strukturálatlan adatokat elemezze.
Ha hozzáférhetők a fájlok, lehetőség van minden fájl tartalmának átvizsgálására és annak
megállapítására, hogy az adott fájlban szerepelnek-e bizonyos kategóriákba tartozó személyes
adatok. Ezt követően a jelen lévő adatok típustól függően mindegyik fájl besorolható és
címkével látható el. Erről a folyamatról jelentések is generálhatók, amelyekben szerepel, hogy
milyen fájlokon történt vizsgálat, a fájl milyen besorolási házirendeknek felelt meg, és milyen
címke lett beállítva hozzá.
Windows és Windows Server
A Windows Eseménynapló széles körű naplózási funkciókkal rendelkezik, amelyek lehetővé
teszik a rendszergazdák számára, hogy megtekintsék az operációs rendszerrel, az alkalmazás- és
a felhasználói tevékenységekkel kapcsolatban naplózott adatokat. Ez a naplórendszer beállítható
úgy, hogy a felhasználói és alkalmazásműveletekről részletes auditnaplót készítsen, beleértve a
fájlokhoz való hozzáférést, az alkalmazáshasználatot és a házirendváltozásokat – és ezek csupán
példaként szolgálnak. A Windows Eseménynapló a rendszergazdák számára lehetővé teszi azt is,
hogy az ügyfelek és kiszolgálók eseményeit jelentéskészítési és auditálási célból egyetlen
központi helyre továbbítsák.
A felhőszolgáltatások jelentéskészítési eszközei és dokumentációja
Ahogyan a személyes adatokat kezelő bármely más adatbázis vagy rendszer esetében, a
felhőszolgáltatások használatát is megfelelő módon nyilván kell tartania és át kell látnia az
adott szervezetnek. Elképzelhető például, hogy a szervezetnek látnia kell a nevében más
szolgáltatók által tárolt személyes adatokat; az ezekre a szolgáltatókra vonatkozó szerződéses
jogviszonyokat; illetve hogy mi történik, amikor megszűnik a szolgáltatói jogviszony.
Az ilyen információk kezelésében úgy tudunk segítséget nyújtani, hogy egyszerű és világos
jelentéskészítési eszközöket biztosítunk az Önök Microsoft felhőben elérhető fiókjához, és
részletesen dokumentáljuk felhőszolgáltatásainkat, azok működését, illetve szerződéses
kapcsolatunkat Önökkel.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
35. oldal | 36
Az érintettek értesítése
A GDPR megváltoztatja az adatvédelmi követelményeket, és szigorúbb kötelezettségeket
határoz meg az adatfeldolgozók és adatkezelők számára a személyek jogai és szabadságai
szempontjából kockázatot eredményező adatvédelmi incidensekre vonatkozó értesítésekhez.
Az új rendelet értelmében – a 17., 31. és 32. cikkben meghatározottak szerint – az
adatfeldolgozónak az adatvédelmi incidensről az adatkezelőt indokolatlan késedelem
nélkül értesítenie kell, miután az a tudomására jutott.
Az adatkezelőnek, miután tudomására jutott az incidens, 72 órán belül értesítenie kell a
megfelelő adatvédelmi hatóságot. Ha az incidens jelentős kockázatot jelent a természetes
személyek jogai és szabadságai szempontjából, az adatkezelőnek az érintett személyeket
is indokolatlan késedelem nélkül értesítenie kell. Ez azt jelenti, hogy ha Önök adatkezelői
szerepükben adatfeldolgozót vesznek igénybe, akkor feltétlenül világos elvárásokat kell
meghatározniuk a szerződésekben a potenciális incidensekkel kapcsolatos értesítésekre
vonatkozóan.
Az olyan incidensek esetén, ahol részben vagy egészében a Microsoft feladata a reagálás,
részletes biztonságiincidens-válaszkezelési folyamatokat alakítottunk ki, például az Azure, az
Office 365 és a Dynamics 365 számára. A GDPR-rel kapcsolatos vállalásainkat szerződéseink
szövege is tükrözi.
A Microsoft termékei és szolgáltatásai – például az Azure, a Dynamics 365, az Enterprise Mobility
+ Security, az Office 365 és a Windows 10 – már most is olyan megoldásokat kínálnak, amelyek
segítségével észlelhetők és felmérhetők a biztonsági fenyegetések és incidensek, és teljesíthetők
a GDPR incidensekkel kapcsolatos értesítési követelményei.
Az érintettek kéréseinek kezelése
A GDPR legfontosabb elemei közé tartoznak az „érintettek” jogai, amelyeket a tájékoztatásról
és az adatokhoz való hozzáférésről szóló 2. szakasz, a 3. szakasz („Helyesbítés és törlés”), illetve
a 4. szakasz („A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben”) cikkei
szabályoznak.
Ezek a kötelezettségek Önöknél mint adatkezelőnél hatással lehetnek az informatikai
környezetre és a működésre, illetve az adatfeldolgozóként bevont szolgáltatók informatikai
környezetére és működésére.
A helyes adatgazdálkodás az adatvédelmi törvények egyik legfontosabb összetevője, és kiemelten
szerepel az általános adatok és a személyes adatok védelmével foglalkozó legtöbb törvényben és
szabályozásban. A GDPR értelmében az egyik fontos adatgazdálkodási elem a 35., 36. és 37. cikkben
vázolt konkrét körülmények esetén az adatvédelmi tisztviselő kijelölése. Az adatvédelmi tisztviselőt a
személyes adatok védelméhez kapcsolódó összes témába be kell vonni.
Az első lépések megtétele az általános adatvédelmi rendelet (GDPR) alkalmazásában
36. oldal | 36
A GDPR irányítási szempontból második legfontosabb eleme az adatvédelmi tisztviselő
irányítása alatt elvégzett adatvédelmi megfelelőségi ellenőrzés, amelynek végterméke
az adatvédelmi hatásvizsgálat. A 35. cikk (11) bekezdése konkrétan meghatározza a
követelményeket, miszerint az adatkezelő szükség szerint, de legalább az adatkezelési
műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése
céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően
történik-e.
A Microsoft adatvédelmi központja tartalmaz tájékoztatást arról, hogyan tudjuk Önöket segíteni
ebben a folyamatban, és egy külön szakasz ismerteti a Microsoft álláspontját és vállalásait a
GDPR kapcsán.