Spełnianie wymagań prawnych i zgodności

  • Artykuł

W ramach wytycznych dotyczących wdrażania rozwiązania Zero Trust w tym artykule opisano scenariusz biznesowy spełnienia wymagań prawnych i zgodności, które mogą być stosowane w organizacji.

Niezależnie od złożoności środowiska IT organizacji lub rozmiaru organizacji nowe wymagania prawne, które mogą mieć wpływ na Twoją firmę, stale sumują się. Przepisy te obejmują ogólne rozporządzenie o ochronie danych (RODO) Unii Europejskiej, kalifornijskie ustawy o ochronie prywatności konsumentów (CCPA), niezliczone przepisy dotyczące opieki zdrowotnej i informacji finansowych oraz wymagania dotyczące rezydencji danych.

Proces spełniania wymagań prawnych i zgodności może być długi, złożony i żmudny, gdy nie jest prawidłowo zarządzany. To wyzwanie znacznie zwiększyło obciążenie zespołów ds. zabezpieczeń, zgodności i przepisów, aby osiągnąć i udowodnić zgodność, przygotować się do inspekcji i wprowadzić w życie najlepsze rozwiązania.

Podejście Zero Trust często przekracza niektóre typy wymagań narzuconych przez przepisy dotyczące zgodności, na przykład te kontrolujące dostęp do danych osobowych. Organizacje, które wdrożyły podejście Zero Trust, mogą stwierdzić, że spełniają już pewne nowe warunki lub mogą łatwo opierać się na architekturze Zero Trust, aby były zgodne.

Tradycyjne podejścia do spełniania wymagań prawnych i zgodności Nowoczesne podejście do spełniania wymagań prawnych i wymagań dotyczących zgodności z usługą Zero Trust
Wiele organizacji używa różnych starszych rozwiązań połączonych ze sobą. Te rozwiązania często nie współpracują ze sobą bezproblemowo, ujawniając luki w infrastrukturze i zwiększając koszty operacyjne.

Niektóre niezależne "najlepsze rozwiązania rasowe" mogą nawet zapobiec zgodności z określonymi przepisami, gdy są one używane do spełnienia innego.

Jednym z powszechnych przykładów jest użycie szyfrowania w celu zapewnienia, że autoryzowane osoby bezpiecznie obsługują dane. Jednak większość rozwiązań szyfrowania sprawia, że dane są nieprzezroczyste dla usług, takich jak ochrona przed utratą danych (DLP), zbieranie elektronicznych materiałów dowodowych lub archiwizowanie. Szyfrowanie uniemożliwia organizacji wykonywanie należytej staranności na działaniach wykonywanych przez użytkowników korzystających z zaszyfrowanych danych. Ten wynik zmusza organizacje do podejmowania trudnych i ryzykownych decyzji, takich jak zakaz wszystkich zastosowań szyfrowania na poziomie plików na potrzeby transferów poufnych danych lub zezwalanie zaszyfrowanym danym poza organizację bez szacunku.		 Ujednolicenie strategii zabezpieczeń i zasad dzięki podejściu Zero Trust dzieli silosy między zespołami IT i systemami, umożliwiając lepszą widoczność i ochronę w stosie IT.

Natywnie zintegrowane rozwiązania zgodności, takie jak te w usłudze Microsoft Purview, nie tylko współpracują ze sobą, aby zapewnić obsługę wymagań dotyczących zgodności i podejście zero trust, ale robią to z pełną przejrzystością, umożliwiając każdemu rozwiązaniu korzystanie z zalet innych, takich jak zgodność komunikacji wykorzystująca etykiety poufności w zawartości. Zintegrowane rozwiązania do zapewniania zgodności mogą zapewnić wymagany zakres z minimalnymi kompromisami, takimi jak przezroczyste przetwarzanie zaszyfrowanej zawartości przez rozwiązania zbierania elektronicznych materiałów dowodowych lub DLP.

Widoczność w czasie rzeczywistym umożliwia automatyczne odnajdywanie zasobów, w tym krytycznych zasobów i obciążeń, podczas gdy do tych zasobów można zastosować mandaty zgodności za pomocą etykietowania klasyfikacji i poufności.

Implementacja architektury zero trust pomaga spełnić wymagania prawne i zgodności z kompleksową strategią. Korzystanie z rozwiązań Firmy Microsoft Purview w architekturze zero trust ułatwia odnajdywanie, nadzorowanie, ochronę i zarządzanie całymi zasobami danych organizacji zgodnie z przepisami, które mają wpływ na twoją organizację.

Strategie zerowego zaufania często obejmują wdrażanie mechanizmów kontroli, które spełniają lub przekraczają określone wymagania prawne, co zmniejsza obciążenie wykonywaniem zmian w całym systemie w celu przestrzegania nowych wymagań regulacyjnych.

Wskazówki zawarte w tym artykule przedstawiają sposób rozpoczynania pracy z usługą Zero Trust jako struktury spełniającej wymagania prawne i zgodności z naciskiem na komunikację i pracę z liderami biznesowymi i zespołami w całej organizacji.

W tym artykule są używane te same fazy cyklu życia co przewodnik Cloud Adoption Framework dla platformy Azure — definiowanie strategii, planowania, gotowości, wdrażania i zarządzania oraz zarządzania nimi, ale dostosowane do modelu Zero Trust.

Diagram procesu wdrażania dla celu lub zestawu celów.

Poniższa tabela jest dostępną wersją ilustracji.

Definiowanie strategii Planowanie Gotowy Wdrażanie Zarządzanie i zarządzanie
Wyrównanie organizacyjne

Cele strategiczne

Wyniki		 Zespół uczestników projektu

Plany techniczne

Gotowość w zakresie umiejętności		 Oceny

Test

Pilotaż		 Przyrostowe implementowanie w obrębie majątku cyfrowego Śledzenie i mierzenie

Monitorowanie i wykrywanie

Iterowanie dla dojrzałości

Definiowanie fazy strategii

Diagram przedstawiający proces wdrażania dla pojedynczego celu lub zestawu celów z wyróżnioną fazą Definiowanie strategii.

Faza Definiowanie strategii ma kluczowe znaczenie dla definiowania i sformalizowania wysiłków w celu rozwiązania problemu "Dlaczego?" tego scenariusza. W tej fazie rozumiesz scenariusz za pośrednictwem perspektyw regulacyjnych, biznesowych, IT, operacyjnych i strategicznych.

Następnie zdefiniuj wyniki, względem których należy zmierzyć sukces w tym scenariuszu, rozumiejąc, że zgodność jest procesem przyrostowym i iteracyjnym.

Ten artykuł sugeruje motywacje i wyniki, które są istotne dla wielu organizacji. Skorzystaj z tych sugestii, aby doskonalić strategię organizacji na podstawie unikatowych potrzeb.

Zrozumienie motywacji liderów biznesowych

Chociaż zero trust może pomóc usprawnić proces spełniania wymagań regulacyjnych, być może największym wyzwaniem jest uzyskanie wsparcia i wkładu liderów w całej organizacji. Te wskazówki dotyczące wdrażania mają na celu ułatwienie komunikowania się z nimi, dzięki czemu można uzyskać dopasowanie organizacji, zdefiniować cele strategiczne i zidentyfikować wyniki.

Uzyskanie zgodności zaczyna się od zrozumienia, co motywuje liderów i dlaczego powinni dbać o spełnianie wymagań regulacyjnych. W poniższej tabeli przedstawiono przykładowe perspektywy, ale ważne jest, aby spotkać się z każdym z tych liderów i zespołów i zapoznać się ze wspólnym zrozumieniem motywacji.

Rola Dlaczego spełnianie wymagań prawnych jest ważne
Dyrektor generalny (CEO) Odpowiedzialny za zabezpieczanie strategii organizacyjnej, która jest weryfikowana przez zewnętrzne organy inspekcji. Dyrektor generalny zgłasza głównie zarządowi, który może również ocenić poziom zgodności z wymaganiami legislacyjnymi w całej organizacji i roczne ustalenia inspekcji.
Dyrektor ds. marketingu (CMO) Odpowiedzialny za zapewnienie, że poufne informacje firmowe nie są udostępniane zewnętrznie wyłącznie w celach marketingowych.
Dyrektor ds. systemów informatycznych (CIO) Jest zazwyczaj oficerem informacji w organizacji i będzie odpowiedzialny za organy regulacyjne informacji.
Dyrektor ds. technologii (CTO) Odpowiedzialny za utrzymanie zgodności z przepisami w ramach majątku cyfrowego.
Dyrektor ds. zabezpieczeń informacji (CISO) Odpowiedzialny za wdrożenie i zgodność ze standardami branżowymi, które zapewniają mechanizmy kontroli bezpośrednio związane ze zgodnością z zabezpieczeniami informacji.
Dyrektor operacyjny (COO) Zapewnia, że zasady i procedury firmy związane z bezpieczeństwem informacji, prywatnością danych i innymi praktykami prawnymi są utrzymywane na poziomie operacyjnym.
Dyrektor finansowy (CFO) Ocenia wady finansowe i zalety zgodności, takie jak zabezpieczenia cybernetyczne i zgodność z przepisami podatkowymi.
Dyrektor ds. ryzyka (CRO) Jest właścicielem składnika Ryzyko i zgodność (Governance Risk and Compliance) w organizacji. Ogranicza zagrożenia związane z niezgodnością i zgodnością.

Różne części organizacji mogą mieć różne motywacje i zachęty do wykonywania pracy z przepisami i wymaganiami dotyczącymi zgodności. Poniższa tabela zawiera podsumowanie niektórych z tych motywacji. Pamiętaj, aby połączyć się z uczestnikami projektu, aby zrozumieć ich motywacje.

Obszar Przesłanki
Potrzeby biznesowe Aby spełnić wymogi regulacyjne i legislacyjne, które mają zastosowanie.
Potrzeby IT Aby zaimplementować technologie, które automatyzują zgodność z wymaganiami dotyczącymi zgodności z przepisami i zgodnością, zgodnie z wymaganiami organizacji w zakresie tożsamości, danych, urządzeń (punktów końcowych), aplikacji i infrastruktury.
Potrzeby operacyjne Zaimplementuj zasady, procedury i instrukcje pracy, które są przywoływane i dostosowane do odpowiednich standardów branżowych i odpowiednich wymagań dotyczących zgodności.
Potrzeby strategiczne Zmniejszenie ryzyka naruszenia przepisów krajowych, regionalnych i lokalnych oraz potencjalnych szkód finansowych i publicznych, które mogą wynikać z naruszeń.

Korzystanie z piramidy ładu w celu informowania o strategii

Najważniejszą rzeczą, którą należy pamiętać w tym scenariuszu biznesowym, jest to, że platforma Zero Trust służy jako część większego modelu ładu, który ustanawia hierarchię różnych wymogów legislacyjnych, ustawowych, regulacyjnych, politycznych i proceduralnych w organizacji. W obszarze zgodności i przepisów może istnieć wiele sposobów osiągnięcia tego samego wymagania lub kontroli. Ważne jest, aby stwierdzić, że ten artykuł realizuje zgodność z przepisami przy użyciu podejścia Zero Trust.

Model strategii, który jest często używany w ramach zgodności z przepisami, to piramida ładu pokazana tutaj.

Diagram przedstawiający model strategii piramidy ładu.

Ta piramida ilustruje różne poziomy, na których większość organizacji zarządza zarządzaniem technologią informacyjną (IT). Od góry piramidy do dołu te poziomy są przepisami, standardami, zasadami i procedurami oraz instrukcjami pracy.

Górna część piramidy reprezentuje najważniejszy poziom — ustawodawstwo. Na tym poziomie różnica między organizacjami jest mniejsza, ponieważ przepisy mają zastosowanie szeroko do wielu organizacji, chociaż przepisy krajowe i biznesowe mogą mieć zastosowanie tylko do niektórych firm, a nie innych. Podstawa piramidy, instrukcje pracy, reprezentuje obszar z największą zmiennością i obszarem powierzchni implementacji w organizacjach. Jest to poziom, który umożliwia organizacji wykorzystanie technologii w celu spełnienia ważniejszych wymagań dla wyższych poziomów.

Po prawej stronie piramidy przedstawiono przykłady scenariuszy, w których zgodność organizacji może prowadzić do pozytywnych wyników biznesowych i korzyści. Istotność biznesowa tworzy więcej zachęt dla organizacji w celu zapewnienia strategii ładu.

W poniższej tabeli opisano, jak różne poziomy ładu po lewej stronie piramidy mogą zapewnić strategiczne korzyści biznesowe po prawej stronie.

Poziom ładu Strategiczne znaczenie biznesowe i wyniki
Ustawodawstwo i przepisy, uważane zbiorczo Przekazywanie kontroli prawnych może uniknąć kar i kar oraz budować zaufanie konsumentów i lojalność marki.
Standardy zapewniają niezawodną podstawę dla osób, które podzielają te same oczekiwania dotyczące produktu lub usługi Standardy zapewniają kontrolę jakości dzięki różnym mechanizmom kontroli jakości w branży. Niektóre certyfikaty mają również świadczenia z tytułu ubezpieczenia cybernetycznego.
Zasady i procedury dokumentują codzienne funkcje i operacje organizacji Wiele ręcznych procesów związanych z ładem można usprawnić i zautomatyzować.
Instrukcje pracy opisują sposób wykonywania procesu na podstawie zdefiniowanych zasad i procedur w szczegółowych krokach Skomplikowane szczegóły podręczników i dokumentów z instrukcjami mogą być usprawnione przez technologię. Może to znacznie zmniejszyć liczbę błędów ludzkich i zaoszczędzić czas.

Przykładem jest użycie zasad dostępu warunkowego firmy Microsoft Entra w ramach procesu dołączania pracownika.

Model piramidy ładu pomaga skupić się na priorytetach:

  1. Wymogi legislacyjne i prawne

    Organizacje mogą stawić czoła poważnym reperkusjom, jeśli nie są one przestrzegane.

  2. Standardy dotyczące zabezpieczeń i specyficzne dla branży

    Organizacje mogą mieć wymóg branżowy, aby być zgodne lub certyfikowane z co najmniej jednym z tych standardów. Platforma Zero Trust może być mapowana na różne standardy zabezpieczeń, zabezpieczeń informacji i zarządzania infrastrukturą.

  3. Zasady i procedury

    Specyficzne dla organizacji i zarządzają bardziej wewnętrznymi procesami w firmie.

  4. Instrukcje dotyczące pracy

    Szczegółowe mechanizmy kontroli, które są wysoce techniczne i dostosowane dla organizacji w celu spełnienia zasad i procedur.

Istnieje kilka standardów, które dodają największą wartość do obszarów architektury Zero Trust. Skupienie uwagi na następujących standardach, które mają zastosowanie do Ciebie, przyniesie większy wpływ:

  • Testy porównawcze Centrum zabezpieczeń internetowych (CIS) zawierają cenne wskazówki dotyczące zarządzania urządzeniami i zasad zarządzania punktami końcowymi. Testy porównawcze CIS obejmują przewodniki implementacji dla platformy Microsoft 365 i platformy Microsoft Azure. Organizacje we wszystkich branżach i w pionie korzystają z testów porównawczych CIS, aby pomóc im w osiągnięciu celów dotyczących zabezpieczeń i zgodności. szczególnie te, które działają w silnie regulowanych środowiskach.

  • National Institute of Standards and Technology (NIST) udostępnia specjalne wytyczne dotyczące tożsamości cyfrowej NIST (NIST SP 800-63-4 ipd). Te wytyczne zapewniają wymagania techniczne dla agencji federalnych wdrażających usługi tożsamości cyfrowej i nie mają na celu ograniczenia opracowywania lub używania standardów poza tym celem. Należy pamiętać, że te wymagania zostały wprowadzone w celu ulepszenia istniejących protokołów, które stanowią część strategii Zero Trust. Zarówno organizacje rządowe, jak i organizacje sektora publicznego, szczególnie w Stany Zjednoczone subskrybują NIST, jednak publicznie notowane spółki mogą również korzystać z wytycznych w ramach tych zasad. NIST zapewnia również pomoc w implementacji architektury Zero Trust w publikacjach zawartych w NIST SP 1800-35.

  • Nowo poprawiony standard ISO 27002:2022 jest zalecany w celu zapewnienia ogólnego ładu i bezpieczeństwa informacji. Jednak mechanizmy kontroli załączników A stanowią dobrą podstawę do utworzenia listy kontrolnej mechanizmów kontroli zabezpieczeń, które później można przekształcić w cele umożliwiające pracę.

    ISO 27001:2022 zawiera również kompleksowe wytyczne dotyczące sposobu wdrażania zarządzania ryzykiem w kontekście bezpieczeństwa informacji. Może to być szczególnie korzystne w przypadku liczby metryk dostępnych dla użytkowników w większości portali i pulpitów nawigacyjnych.

Standardy takie jak te można określić priorytetowo, aby zapewnić organizacji punkt odniesienia zasad i mechanizmów kontroli w celu spełnienia typowych wymagań.

Firma Microsoft udostępnia Menedżera zgodności usługi Microsoft Purview, aby ułatwić planowanie i śledzenie postępów w zakresie standardów spotkań, które mają zastosowanie do organizacji. Menedżer zgodności może pomóc w całej podróży po zgodność, od tworzenia spisu zagrożeń związanych z ochroną danych po zarządzanie złożonością wdrażania mechanizmów kontroli, pozostawanie na bieżąco z przepisami i certyfikatami oraz raportowanie do audytorów.

Definiowanie strategii

Z punktu widzenia zgodności organizacja powinna zdefiniować swoją strategię zgodnie z wewnętrzną metodologią GRC. Jeśli organizacja nie subskrybuje określonego standardu, zasad lub struktury, należy uzyskać szablon oceny z Menedżera zgodności. Każda aktywna subskrypcja platformy Microsoft 365 jest przypisana punkt odniesienia ochrony danych, który może być mapowany na wytyczne wdrażania zero trust. Ten punkt odniesienia zapewnia implementatorom doskonały punkt wyjścia do praktycznej implementacji modelu Zero Trust z perspektywy zgodności. Udokumentowane mechanizmy kontroli można później przekonwertować na mierzalne cele. Te cele powinny być określone, mierzalne, osiągalne, realistyczne i związane z czasem (SMART).

Szablon Punkt odniesienia ochrony danych w menedżerze zgodności integruje 36 akcji dla relacji Zero Trust, dopasowanych do następujących rodzin kontroli:

  • Aplikacja Zero Trust
  • Wskazówki dotyczące tworzenia aplikacji Zero Trust
  • Punkt końcowy zerowego zaufania
  • Dane zerowego zaufania
  • Tożsamość zerowa zaufania
  • Infrastruktura zerowego zaufania
  • Sieć zerowego zaufania
  • Widoczność, automatyzacja i aranżacja zerowego zaufania

Są one silnie dopasowane do architektury referencyjnej Zero Trust, pokazanej tutaj.

Diagram ogólnej architektury dla modelu Zero Trust.

Faza planowania

Diagram przedstawiający proces wdrażania dla pojedynczego celu lub zestawu celów z wyróżnioną fazą Planu.

Wiele organizacji może podjąć czteroetapowe podejście do tych działań technicznych, podsumowane w poniższej tabeli.

Etap 1 Etap 2 Etap 3 Etap 4
Zidentyfikuj wymagania prawne dotyczące organizacji.

Użyj Menedżera zgodności, aby zidentyfikować przepisy, które mogą mieć wpływ na Twoją firmę, ocenić zgodność z wymaganiami wysokiego poziomu narzuconymi przez te przepisy i zaplanować korygowanie zidentyfikowanych luk.

Zapoznaj się z bieżącymi wskazówkami dotyczącymi przepisów mających zastosowanie do organizacji.		 Użyj Eksploratora zawartości w usłudze Microsoft Purview, aby zidentyfikować dane, które podlegają wymaganiom dotyczącym regulacji, oraz ocenić ryzyko i ekspozycję. Zdefiniuj niestandardowe klasyfikatory, aby dostosować tę funkcję do potrzeb biznesowych.

Ocenianie wymagań dotyczących ochrony informacji, takich jak przechowywanie danych i zasady zarządzania rekordami, a następnie implementowanie podstawowych zasad ochrony informacji i ładu danych przy użyciu etykiet przechowywania i poufności.

Implementowanie podstawowych zasad DLP w celu kontrolowania przepływu informacji regulowanych.

W razie potrzeby zaimplementuj zasady zgodności komunikacji zgodnie z przepisami.		 Rozszerzanie zasad zarządzania cyklem życia danych przy użyciu automatyzacji.

Konfigurowanie kontrolek partycjonowania i izolacji przy użyciu etykiet poufności, DLP lub barier informacyjnych, jeśli są wymagane przez przepisy.

Rozwiń zasady ochrony informacji, implementując etykietowanie kontenerów, automatyczne i obowiązkowe etykietowanie oraz bardziej rygorystyczne zasady DLP. Następnie rozwiń te zasady do danych lokalnych, urządzeń (punktów końcowych) i usług w chmurze innych firm przy użyciu innych funkcji w usłudze Microsoft Purview.

Ponownie oceni zgodność przy użyciu Menedżera zgodności i zidentyfikuj i koryguj pozostałe luki.		 Usługa Microsoft Sentinel umożliwia tworzenie raportów opartych na ujednoliconym dzienniku inspekcji w celu ciągłej oceny i tworzenia spisu stanu zgodności informacji.

Kontynuuj korzystanie z Menedżera zgodności na bieżąco, aby zidentyfikować i skorygować pozostałe luki oraz spełnić wymagania nowych lub zaktualizowanych przepisów.

Jeśli to podejście etapowe działa w twojej organizacji, możesz użyć następujących funkcji:

  • Ten dostępny do pobrania pokaz slajdów programu PowerPoint umożliwia przedstawienie i śledzenie postępów w tych etapach i zamierzeniach dla liderów biznesowych i innych uczestników projektu. Oto slajd dla tego scenariusza biznesowego.

    Slajd programu PowerPoint przedstawiający etapy wdrożenia wymagań prawnych i zgodności.

  • Ten skoroszyt programu Excel umożliwia przypisanie właścicieli i śledzenie postępu tych etapów, celów i ich zadań. Oto arkusz dla tego scenariusza biznesowego.

    Arkusz śledzenia postępu dla scenariusza biznesowego Spełnianie wymagań prawnych i zgodności.

Zespół uczestników projektu

Zespół uczestników projektu dla tego scenariusza biznesowego obejmuje liderów w całej organizacji, którzy są zainwestowani w stan zabezpieczeń i mogą zawierać następujące role:

Liderzy programów i właściciele techniczni Odpowiedzialności
Sponsor Strategia, kierowanie, eskalacja, podejście, dopasowanie biznesowe i zarządzanie koordynacją.
Lider projektu Ogólne zarządzanie zakontraktowaniem, zasobami, osią czasu i harmonogramem, komunikacją i innymi.
CISO Ochrona i nadzór nad zasobami i systemami danych, takimi jak ryzyko i określanie zasad oraz śledzenie i raportowanie.
Menedżer zgodności IT Określenie wymaganych mechanizmów kontroli w celu spełnienia wymagań dotyczących zgodności i ochrony.
Główny lider zabezpieczeń i użyteczności użytkownika końcowego (EUC) Reprezentacja pracowników.
Role badania i inspekcji Badanie i raportowanie we współpracy z potencjalnymi klientami ds. zgodności i ochrony.
Menedżer ochrony informacji Klasyfikacja danych i identyfikacja poufnych danych, kontrolki i korygowanie.
Główny lider architektury Wymagania techniczne, architektura, przeglądy, decyzje i priorytetyzacja.
Administratorzy platformy Microsoft 365 Dzierżawa i środowisko, przygotowanie, konfiguracja, testowanie.

Pokaz slajdów programu PowerPoint dla tej zawartości wdrożenia zawiera poniższy slajd z widokiem uczestników projektu, który można dostosować dla własnej organizacji.

Slajd programu PowerPoint umożliwiający zidentyfikowanie najważniejszych uczestników projektu dla wdrożenia wymagań prawnych i zgodności.

Plany techniczne i gotowość do umiejętności

Firma Microsoft udostępnia zasoby ułatwiające spełnienie wymagań prawnych i zgodności. W poniższych sekcjach przedstawiono zasoby dla określonych celów we wcześniej zdefiniowanych czterech etapach.

Etap 1

W etapie 1 należy zidentyfikować przepisy dotyczące organizacji i rozpocząć korzystanie z Menedżera zgodności. Zapoznasz się również z przepisami dotyczącymi organizacji.

Cele dla etapu 1 Zasoby
Identyfikowanie wymagań dotyczących zgodności przy użyciu piramidy ładu. Oceny menedżera zgodności
Użyj Menedżera zgodności, aby ocenić zgodność i zaplanować korygowanie pod kątem zidentyfikowanych luk. Odwiedź portal zgodności Microsoft Purview i przejrzyj wszystkie akcje poprawy zarządzane przez klienta związane z twoją organizacją.
Zapoznaj się z bieżącymi wskazówkami dotyczącymi przepisów mających zastosowanie do organizacji. Zobacz poniższą tabelę.

W tej tabeli wymieniono typowe przepisy lub standardy.

Regulacje lub normy Zasoby
Narodowy Instytut Standardów i Technologii (NIST) Konfigurowanie identyfikatora entra firmy Microsoft w celu spełnienia poziomów NIST authenticator assurance
Program zarządzania ryzykom federalnym i autoryzacją (FedRAMP) Konfigurowanie identyfikatora Entra firmy Microsoft w celu spełnienia poziomu wysokiego wpływu fedRAMP
Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC) Konfigurowanie identyfikatora Entra firmy Microsoft pod kątem zgodności cmMC
Zarządzenie wykonawcze w sprawie poprawy cyberbezpieczeństwa narodu (EO 14028) Spełnianie wymagań dotyczących tożsamości protokołu memorandum 22-09 przy użyciu identyfikatora Entra Firmy Microsoft
Ustawa Health Insurance Portability and Accountability Act (HIPAA) z 1996 r. Konfigurowanie identyfikatora Entra firmy Microsoft pod kątem zgodności hipaa
Payment Card Industry Security Standards Council (PCI SSC) Microsoft Entra PCI-DSS guidance (Wskazówki dotyczące rozwiązania Microsoft Entra PCI-DSS)
Przepisy dotyczące usług finansowych Kluczowe zagadnienia dotyczące zgodności i bezpieczeństwa dla amerykańskich banków i rynków kapitałowych
  • Amerykańska Komisja Papierów Wartościowych i Giełd (SEC)
  • Financial Industry Regulatory Authority (FINRA)
  • Federalna Rada Egzaminacyjna Instytucji Finansowych (FFIEC)
  • Commodity Futures Trading Commission (CFTC)
Ameryka Północna Electric Reliability Corporation (NERC) Kluczowe zagadnienia dotyczące zgodności i zabezpieczeń dla branży energetycznej

Etap 2

W etapie 2 rozpoczynasz implementowanie kontrolek dla danych, które nie zostały jeszcze wprowadzone. Więcej wskazówek dotyczących planowania i wdrażania mechanizmów kontroli ochrony informacji znajduje się w przewodniku Identyfikowanie i ochrona poufnych danych biznesowych Zero Trust.

Cele etapu 2 Zasoby
Użyj Eksploratora zawartości, aby zidentyfikować dane regulowane. Wprowadzenie do Eksploratora zawartości

Eksplorator zawartości może pomóc w przejrzeniu bieżącego ujawnienia regulowanych danych i ocenienia zgodności z przepisami dyktując, gdzie muszą być przechowywane i jak muszą być chronione.

Tworzenie niestandardowych typów informacji poufnych
Zaimplementuj podstawowe zasady zapewniania ładu danych i ochrony informacji przy użyciu etykiet przechowywania i poufności. Dowiedz się więcej o zasadach przechowywania i etykietach w celu zachowania lub usunięcia

Dowiedz się więcej o etykietach poufności
Sprawdź zasady DLP i szyfrowania. Zapobieganie utracie danych usługi Purview

Szyfrowanie z etykietami poufności

Szyfrowanie dla usługi Office 365
Zaimplementuj zasady komunikacji (jeśli dotyczy). Tworzenie zasad zgodności komunikacji i zarządzanie nimi

Etap 3

W etapie 3 zaczniesz automatyzować zasady ładu danych na potrzeby przechowywania i usuwania, w tym korzystania z zakresów adaptacyjnych.

Ten etap obejmuje implementowanie kontrolek na potrzeby segregacji i izolacji. NIST, na przykład, określa hosting projektów w izolowanym środowisku, jeśli te projekty odnoszą się do określonych typów niejawnej pracy dla i z Stany Zjednoczone rządem. W niektórych scenariuszach przepisy dotyczące usług finansowych wymagają partycjonowania środowisk, aby uniemożliwić pracownikom różnych części firmy komunikowanie się ze sobą.

Cele etapu 3 Zasoby
Rozszerzanie zasad zarządzania cyklem życia danych przy użyciu automatyzacji. Zarządzanie cyklem życia danych
Skonfiguruj kontrolki partycjonowania i izolacji (jeśli ma to zastosowanie). Bariery informacyjne

Zapobieganie utracie danych

Dostęp między dzierżawami
Rozwiń zasady ochrony informacji do innych obciążeń. Dowiedz się więcej o skanerze ochrony informacji

Korzystanie z zasad ochrony przed utratą danych dla aplikacji w chmurze innych niż microsoft

Ochrona przed utratą danych i usługa Microsoft Teams

Korzystanie z ochrony przed utratą danych punktu końcowego

Używanie etykiet poufności do ochrony zawartości w usłudze Microsoft Teams, grupach platformy Microsoft 365 i witrynach programu SharePoint
Ponowne oceny zgodności przy użyciu Menedżera zgodności. Menedżer zgodności

Etap 4

Cele w etapie 4 dotyczą operacjonalizacji tego scenariusza przez przejście do ciągłego ruchu oceny zgodności zasobów z odpowiednimi przepisami i standardami.

Cele dla etapu 4 Zasoby
Ciągła ocena i spis stanu zgodności zasobów. W tym artykule zidentyfikowano każde wymagane narzędzie i w tym celu utworzysz powtarzalny, iteracyjny proces, który umożliwia ciągłe monitorowanie zasobów i zasobów w ramach majątku cyfrowego.

Przeszukiwanie dziennika inspekcji w portalu zgodności
Tworzenie raportów w celu mierzenia zgodności za pomocą usługi Microsoft Sentinel. Usługa Microsoft Sentinel umożliwia tworzenie raportów opartych na ujednoliconym dzienniku inspekcji w celu oceny i mierzenia zgodności oraz wykazania skuteczności mechanizmów kontroli.

Analiza dzienników na platformie Azure
Skorzystaj z Menedżera zgodności, aby zidentyfikować i skorygować nowe luki. Menedżer zgodności

Faza gotowości

Diagram przedstawiający proces wdrażania dla pojedynczego celu lub zestawu celów z wyróżnioną fazą Gotowe.

Większość działań związanych z zgodnością odbywa się za pomocą wymuszania zasad. Należy określić, jakie warunki muszą zostać spełnione, aby osiągnąć zgodność, a następnie utworzyć zasady lub zestaw zasad w celu zautomatyzowania zestawu kontrolek. Wymuszanie zasad z zerowym zaufaniem tworzy powtarzalną weryfikację dla implementowanych określonych mechanizmów kontroli zgodności. Dzięki tworzeniu mechanizmów kontroli w technologii operacyjnej, z którą organizacja korzysta codziennie, łatwiej jest osiągnąć gotowość inspekcji.

W fazie Gotowość oceniasz, testujesz i pilotujesz docelowe zasady, aby upewnić się, że te działania osiągną zamierzone wyniki. Upewnij się, że nie wprowadzają one nowych zagrożeń. W tym scenariuszu biznesowym zero trust ważne jest, aby współpracować z uczestnikami projektu, którzy wdrażają mechanizmy kontroli dostępu, ochronę danych i inne zabezpieczenia infrastruktury. Na przykład zalecenia dotyczące oceniania, testowania i pilotowania zasad umożliwiających zdalną i hybrydową pracę są inne niż zalecenia dotyczące identyfikowania i ochrony poufnych danych w całym majątku cyfrowym.

Przykładowe kontrolki

Każdy filar zero trustu może być mapowany na określone mechanizmy kontroli w ramach przepisów lub standardów.

Przykład 1

Zero Trust for Identity jest mapowany na zarządzanie kontrolą dostępu w ramach testu porównawczego CIS (Center for Internet Security) oraz do załącznikure A.9.2.2 User Access Provisioning in ISO 27001:2022 (Aprowizacja dostępu użytkowników w standardzie ISO 27001:2022).

Diagram zerowego zaufania dla tożsamości zamapowany na zarządzanie kontrolą dostępu.

Na tym diagramie zarządzanie kontrolą dostępu jest zdefiniowane w załączniku 9.2.2 wymagań ISO 27001 standard, Aprowizacja dostępu użytkowników. Wymagania tej sekcji są spełnione przez wymaganie uwierzytelniania wieloskładnikowego.

Wykonywanie każdej kontrolki, takiej jak wymuszanie zasad dostępu warunkowego, jest unikatowe dla każdej organizacji. Profil ryzyka organizacji wraz ze spisem zasobów powinien utworzyć dokładny obszar powierzchni i zakres implementacji.

Przykład 2

Jedną z bardziej oczywistych korelacji między architekturą Zero Trust i standardami branżowymi obejmuje klasyfikację informacji. Załącznikure 8.2.1 z ISO 27001, nakazuje:

  • Informacje muszą być klasyfikowane pod względem wymagań prawnych, wartości, krytycznych i poufności wobec wszelkiego nieautoryzowanego ujawnienia lub modyfikacji, najlepiej sklasyfikowane tak, aby odzwierciedlały działalność biznesową, a nie hamują lub komplikują je.

Diagram zerowego zaufania dla danych mapowanych na zarządzanie kontrolą dostępu.

Na tym diagramie usługa klasyfikacji danych usługi Microsoft Purview służy do definiowania i stosowania etykiet poufności do wiadomości e-mail, dokumentów i danych ustrukturyzowanych.

Przykład 3

Załącznik 8.1.1 W normie ISO 27001:2022 (Spis zasobów) wymaga, aby "wszelkie zasoby związane z obiektami przetwarzania informacji i informacji musiały być identyfikowane i zarządzane w całym cyklu życia i są zawsze aktualne".

Spełnienie tego wymagania dotyczącego kontroli można osiągnąć za pomocą implementacji zarządzania urządzeniami w usłudze Intune. To wymaganie zapewnia jasne konto spisu i raportuje stan zgodności dla każdego urządzenia zgodnie ze zdefiniowanymi zasadami firmy lub branży.

Diagram zerowego zaufania dla urządzeń zamapowanych na zarządzanie kontrolą dostępu.

W przypadku tego wymagania dotyczącego kontroli używasz usługi Microsoft Intune do zarządzania urządzeniami, w tym konfigurowania zasad zgodności w celu raportowania zgodności urządzeń z ustawionymi zasadami. Możesz również użyć zasad dostępu warunkowego, aby wymagać zgodności urządzeń podczas procesu uwierzytelniania i autoryzacji.

Przykład 4

Najbardziej kompleksowym przykładem filaru zero trustu, który został zamapowany na standardy branżowe, będzie analiza zagrożeń i reagowanie na zdarzenia. Cała szerokość produktów usługi Microsoft Defender i Microsoft Sentinel ma zastosowanie w tym scenariuszu w celu zapewnienia szczegółowej analizy i wykonywania analizy zagrożeń i reagowania na zdarzenia w czasie rzeczywistym.

Diagram zerowego zaufania dla analizy zagrożeń mapowany na zarządzanie kontrolą dostępu.

Na tym diagramie usługa Microsoft Sentinel wraz z narzędziami usługi Microsoft Defender zapewnia analizę zagrożeń.

Faza wdrażania

Diagram przedstawiający proces wdrażania dla pojedynczego celu lub zestawu celów z wyróżnioną fazą wdrażania.

W fazie wdrażania stopniowo wdrażasz plany techniczne w ramach majątku cyfrowego. Należy kategoryzować plany techniczne według obszaru i pracować z odpowiednimi zespołami, aby osiągnąć tę fazę.

Aby uzyskać dostęp do tożsamości i urządzeń, wykonaj etapowe podejście, w którym zaczynasz od niewielkiej liczby użytkowników i urządzeń, a następnie stopniowo zwiększasz wdrożenie, aby uwzględnić pełne środowisko. Opisano to w scenariuszu bezpiecznego wdrażania pracy zdalnej i hybrydowej. Oto przykład.

Diagram faz wdrażania pilotażowego, oceny i pełnego wdrożenia.

Wdrożenie ochrony danych obejmuje kaskadową pracę i iterację w miarę przechodzenia, aby upewnić się, że utworzone zasady są odpowiednio szlifowane dla danego środowiska. Opisano to w scenariuszu identyfikowania i ochrony poufnych danych biznesowych. Oto przykład.

Diagram przedstawiający proces wdrażania technicznego ochrony informacji.

Zarządzanie i zarządzanie

Diagram przedstawiający proces wdrażania dla pojedynczego celu lub zestawu celów z wyróżnioną fazą Rządzenia i zarządzania.

Spełnianie wymagań prawnych i wymagań dotyczących zgodności jest ciągłym procesem. Podczas przechodzenia do tej fazy przejdź do śledzenia i monitorowania. Firma Microsoft udostępnia kilka narzędzi do pomocy.

Eksplorator zawartości umożliwia monitorowanie stanu zgodności organizacji. W przypadku klasyfikacji danych eksplorator zawartości udostępnia widok krajobrazu i rozpowszechnianie poufnych informacji w organizacji. Od klasyfikatorów do trenowania po różne typy poufnych danych — za pośrednictwem zakresów adaptacyjnych lub ręcznie utworzonych etykiet poufności — administratorzy mogą sprawdzić, czy zalecany schemat poufności jest prawidłowo stosowany w całej organizacji. Jest to również okazja do zidentyfikowania określonych obszarów ryzyka, w których poufne informacje są stale udostępniane w programach Exchange, SharePoint i OneDrive. Oto przykład.

Przykładowy zrzut ekranu przedstawiający pulpit nawigacyjny eksploratora zawartości.

Korzystając z większej funkcjonalności raportowania w ramach portal zgodności Microsoft Purview, można tworzyć i kwantyfikować widok makr zgodności. Oto przykład.

Przykładowy zrzut ekranu przedstawiający pulpit nawigacyjny widoku makr dla zgodności usługi Microsoft Purview.

To samo myślenie i proces można zastosować do platformy Azure. Użyj Defender dla Chmury zgodności z przepisami, aby określić wynik zgodności podobny do tego samego wyniku podanego w Menedżerze zgodności usługi Purview. Ocena jest zgodna z wieloma standardami regulacyjnymi i ramami w różnych branżach pionowych. Twoja organizacja musi zrozumieć, które z tych standardów i ram regulacyjnych mają zastosowanie do oceny. Stan udostępniony przez ten pulpit nawigacyjny przedstawia stałą ocenę w czasie rzeczywistym z przekazywaniem i niepowodzeniem ocen z każdym standardem. Oto przykład.

Przykładowy zrzut ekranu przedstawiający ocenę zgodności w portalu Microsoft Defender dla Chmury.

Pulpity nawigacyjne usługi Purview zapewniają szeroką ocenę, która może pomóc poinformować liderów biznesowych i użyć ich w raportowaniu dla działów, takich jak kwartalny przegląd. W bardziej operacyjnej notatce możesz wykorzystać usługę Microsoft Sentinel, tworząc obszar roboczy usługi Log Analytics na potrzeby ujednoliconych danych dziennika inspekcji. Ten obszar roboczy można połączyć z danymi platformy Microsoft 365 i zapewnić szczegółowe informacje na temat aktywności użytkownika. Oto przykład.

Przykładowy zrzut ekranu przedstawiający dane zebrane w usłudze Microsoft Sentinel dla usługi Office 365.

Te dane można dostosowywać i można ich używać w połączeniu z innymi pulpitami nawigacyjnymi w celu określania kontekstu wymagań regulacyjnych dostosowanych do strategii organizacji, profilu ryzyka, celów i celów.

Następne kroki

Zasoby śledzenia postępu

W przypadku dowolnego scenariusza biznesowego Zero Trust można użyć następujących zasobów śledzenia postępu.

Zasób śledzenia postępu To pomaga... Zaprojektowany pod kątem...
Plik PDF lub plik PDF z możliwością pobrania siatki planu wdrożenia

Przykładowa siatka planu i fazy przedstawiająca etapy i cele. 		Łatwo zrozumieć ulepszenia zabezpieczeń dla każdego scenariusza biznesowego i poziom nakładu pracy dla etapów i celów fazy planu. Potencjalni klienci, liderzy biznesowi i inni uczestnicy projektu scenariusza biznesowego.
Monitor wdrażania Zero Trust do pobrania z możliwością pobierania pokazu slajdów programu PowerPoint

Przykładowy slajd programu PowerPoint przedstawiający etapy i cele. 		Śledź postęp na etapach i zamierzeniach fazy Planu. Potencjalni klienci, liderzy biznesowi i inni uczestnicy projektu scenariusza biznesowego.
Cele scenariusza biznesowego i zadania do pobrania skoroszyt programu Excel

Przykład arkusza programu Excel przedstawiający etapy, cele i zadania. 		Przypisz własność i śledź postęp na etapach, zamierzeniach i zadaniach fazy Planu. Potencjalni klienci, potencjalni klienci it i implementatorzy IT w scenariuszach biznesowych.

Aby uzyskać dodatkowe zasoby, zobacz Ocena Zero Trust i zasoby śledzenia postępu.