חישוב ניקוד תאימות

  • מאמר
  • 5 דקות לקריאה

במאמר זה: למד כיצד מנהל התאימות מחשב ניקוד תאימות עבור הארגון שלך. מאמר זה מסביר כיצד לפרש את הציון שלך, מה כולל הערכת התוכנית הבסיסית להגנה על נתונים, ניטור רציף וכיצד סוגי פעולות שונים מנוהלים ומציונים.

חשוב

אין לפרש המלצות ממנהל התאימות כערובה לתאימות. עליך להעריך ולאמת את היעילות של בקרות הלקוחות לפי סביבת הרגולטוריות שלך. שירותים אלה כפופים לתנאים ולהתניות בתנאי המוצר. ראה גם הדרכה לרישוי של Microsoft 365 בנושא אבטחה ותאימות.

עצה

אם אינך לקוח E5, השתמש בגירסת הניסיון של פתרונות Microsoft Purview ל- 90 יום כדי לגלות כיצד יכולות Purview נוספות יכולות לעזור לארגון שלך לנהל צרכי אבטחה ותאימות של נתונים. התחל עכשיו במרכז פורטל התאימות של Microsoft Purview הניסיון. למד פרטים אודות הרשמה ותנאי ניסיון.

כיצד לקרוא את ניקוד התאימות

לוח המחוונים של מנהל התאימות מציג את ניקוד התאימות הכולל שלך. ניקוד זה מודד את התקדמותך בהשלמת פעולות השיפורים המומלצות בתוך הפקדים. הציון שלך יכול לעזור לך להבין את תציבת התאימות הנוכחית שלך. הוא יכול גם לעזור לך לתעדף פעולות בהתבסס על הפוטנציאל שלהן להפחית את הסיכון.

ערך ניקוד מוקצה ברמות אלה:

  1. פעולת שיפור: לכל פעולה יש השפעה שונה על הציון שלך, בהתאם לסיכון הפוטנציאלי המעורב. ראה סוגי פעולות ונקודות להלן לקבלת פרטים.

  2. הערכה: ציון זה מחושב באמצעות תוצאות של פעולות שיפור. כל פעולה של Microsoft וכל פעולת שיפור המנוהלת על-ידי הארגון שלך נספרת פעם אחת, ללא קשר לתדירות שבה מתבצעת הפניה אליה בפקד.

ניקוד התאימות הכולל מחושב באמצעות ציונים של פעולות, כאשר כל פעולה של Microsoft נספרת פעם אחת, כל פעולה טכנית שאתה מנהל נספרת פעם אחת, וכל פעולה שאינה טכנית שאתה מנהל נספרת פעם אחת בכל קבוצה. לוגיקה זו נועדה לספק את החשבונאות המדויקת ביותר של אופן ההטמעה והבדיקה של פעולות בארגון שלך. ייתכן שתבחין כי מצב זה עשוי לגרום לתוצאות התאימות הכוללות להיות שונות מהמוצע של תוצאות ההערכה שלך. קרא עוד להלן על האופן שבו פעולות מציונים.

ניקוד ראשוני המבוסס על תוכנית בסיסית להגנה על נתונים של Microsoft 365

מנהל התאימות מספק לך ציון ראשוני בהתבסס על התוכנית הבסיסית להגנה על נתונים של Microsoft 365. תוכנית בסיסית זו היא קבוצה של אמצעי בקרה הכוללת תקנות ותקנים עיקריים להגנה על נתונים ופיקוח כללי על נתונים. תוכנית בסיסית זו ממבססת רכיבים בעיקר מ- NIST CSF (המכון הלאומי לתקנים ולמסגרת אבטחת סייבר של טכנולוגיה) ומ- ISO (ארגון בינלאומי לתקנה), וכן מ- FedRAMP (תוכנית ניהול סיכונים והרשאות פדרליים) ו- GDPR (התקנה הכללית להגנה על נתונים של האיחוד האירופי).

הציון הראשוני שלך מחושב בהתאם להערכת ברירת המחדל הבסיסית להגנה על נתונים המסופקת לכל הארגונים. בביקור הראשון שלך, מנהל התאימות כבר אוסף אותות מפתרונות Microsoft 365 שלך. תראה במבט מהיר כיצד הארגון שלך פועל ביחס לתקנים ולתקנות המרכזיים להגנה על נתונים, ותראה פעולות שיפור מוצעות שיש לבצע.

מאחר שלארגון יש צרכים ספציפיים, מנהל התאימות מסתמך עליך כדי להגדיר ולנהל הערכות כדי לסייע בצמצום והפחתת הסיכון באופן מקיף ככל האפשר.

כיצד מנהל התאימות מעריך פקדים באופן רציף

מנהל התאימות מזהה באופן אוטומטי הגדרות בסביבה של Microsoft 365 שמסייעות לקבוע מתי תצורות מסוימות עומדות בדרישות יישום הפעולה השיפורים. מנהל התאימות מזהה אותות מפתרונות תאימות אחרים שייתכן שפרסת, כולל ניהול מחזור חיי נתונים, הגנה על מידע, תאימות תקשורת וניהול סיכונים פנימיים, ומנצל גם את הניטור של Microsoft Secure Score של פעולות שיפור משלימות.

מצב הפעולה שלך מתעדכן בלוח המחוונים שלך תוך 24 שעות ממתבצע שינוי. לאחר שתעקוב אחר המלצה כדי ליישם פקד, בדרך כלל תראה את מצב הפקד מעודכן ביום הבא.

לדוגמה, אם תפעיל אימות רב-גורמי (MFA) בפורטל Azure AD, מנהל התאימות יזהה את ההגדרה וישקף אותה בפרטי פתרון הגישה לבקרה. מצד שני, אם לא הפעלת את MFA, מנהל התאימות מסמן זאת כפעולה מומלצת עבורך.

קבל מידע נוסף על Secure Score ועל אופן הפעולה שלו.

סוגי פעולות ונקודות

מנהל התאימות עוקב אחר שני סוגים של פעולות:

  1. פעולות השיפורים שלך: מנוהלות על-ידי הארגון שלך
  2. פעולות Microsoft: מנוהלות על-ידי Microsoft

שני סוגי הפעולות כוללים נקודות שנספרו לקראת הניקוד הכולל בסיום.

פעולות טכניות ולא טכניות

פעולות מקובצות בין אם הן טכניות או לא טכניות בטבען. השפעת ניקוד של כל פעולה משתנה לפי סוג.

  • פעולות טכניות מיושמות על-ידי אינטראקציה עם טכנולוגיית פתרון (לדוגמה, שינוי תצורה). הנקודות עבור פעולות טכניות ניתנות פעם אחת לכל פעולה, ללא קשר למספר הקבוצות אליהן היא שייכת.

  • פעולות שאינן טכניות מנוהלות על-ידי הארגון שלך ומיושמות בדרכים שאינן עבודה עם טכנולוגיה של פתרון. קיימים שני סוגים של פעולות שאינן טכניות: תיעודותפעול. הנקודות עבור פעולות אלה חלות על ציון התאימות שלך ברמת קבוצה. משמעות הדבר היא שאם קיימת פעולה בקבוצות מרובות, תקבל את ערך הנקודות של הפעולה בכל פעם שאתה מיישם אותה בתוך קבוצה.

דוגמה לאופן הציון של פעולות טכניות ולא טכניות:

נניח שיש לך פעולה טכנית ששווה 3 נקודות קיימות ב- 5 קבוצות, ויש לך פעולה לא טכנית שאינה שווה 3 נקודות קיימות באותן 5 קבוצות.

אם תיישם בהצלחה את הפעולה הטכנית, המספר הכולל של הנקודות שתקבל הוא 3. זאת משום שעליך ליישם את הפעולה פעם אחת בלבד עבור הדייר שלך. מצב היישום והבדיקה עבור הפעולה הטכנית יוצג באופן זהה בכל המופעים של פעולה זו, בכל קבוצה שהיא שייכת אליה.

אם תיישם בהצלחה את הפעולה שאינה טכנית בכל אחת מ- 5 הקבוצות, המספר הכולל של הנקודות שתקבל הוא 15. זאת משום שעליך ליישם את הפעולה בכל קבוצה. מצב היישום והבדיקה עבור הפעולה שאינה טכנית יהיה שונה בין קבוצות, מכיוון שהפעולה מיושמת בנפרד בתוך כל אחת מהקבוצות שלה.

לוגיקת ניקוד זו מיועדת לספק את החשבונאות המדויקת ביותר של אופן ההטמעה והבדיקה של פעולות בארגון שלך.

כיצד נקבעים ערכי ניקוד

לפעולות מוקצה ערך ניקוד בהתבסס על ההכרחיות או לפי שיקול דעת, ואם הן מונעות, בלשות או מתקן.

פעולות הכרחיות ומשיקולי דעת

  • לא ניתן להעביר פעולות הכרחיות, במכוון או בטעות. דוגמה לפעולה הכרחית היא מדיניות סיסמה המגדירה דרישות עבור אורך סיסמה, מורכבות ותפוגה. על המשתמשים לפעול בהתאם לדרישות אלה כדי לגשת למערכת.

  • פעולות שיקול דעת מסתבססות על משתמשים כדי להבין ולציית למדיניות. לדוגמה, מדיניות הדורשת מהמשתמשים לנעול את המחשב שלהם כאשר הם עוזבים אותה היא פעולה שיקול דעת מכיוון שהיא מסתמכת על המשתמש.

פעולות מונעות, בלשות ומתקן

  • פעולות מונעות מקיימות סיכונים ספציפיים. לדוגמה, הגנה על מידע במנוחה באמצעות הצפנה היא פעולה מונעת מפני התקפות והפרות. הפרדה בין מטלות היא פעולה מונעת לניהול התנגשות ריבית ושמירה מפני הונאות.

  • פעולות בלשיות מפקחות באופן פעיל על מערכות כדי לזהות תנאים או אופני פעולה לא קבועים המייצגים סיכון, או שניתן להשתמש בהם כדי לזהות חדירה או הפרות. דוגמאות לכך כוללות ביקורת גישה למערכת ופעולות ניהוליות. ביקורות תאימות לתקנות הן סוג של פעולה בלשית המשמשת לאיתור בעיות בתהליך.

  • פעולות מתקן מנסות למזער את ההשפעות ההופכות של מקרה אבטחה, לבצע פעולה מתקן כדי להפחית את ההשפעה המיידית, והפוך את הנזק במידת האפשר. תגובה לתקריות פרטיות היא פעולה מתקן להגבלת נזק ושחזור מערכות למצב תפעולי לאחר הפרה.

לכל פעולה יש ערך מוקצה במנהל התאימות בהתבסס על הסיכון שהוא מייצג:

סוג ניקוד מוקצה
חובה מונעת 27
שיקול דעת מונעת 9
בלש הכרחי 3
בלש משיקול דעת 1
הכרחי מתקן 3
מתקן לפי שיקול דעת 1

ערכי נקודת פעולה של מנהל התאימות.