Расчет рейтинга соответствия требованиям

В этой статье: Узнайте, как диспетчер соответствия требованиям вычисляет оценку соответствия требованиям для вашей организации. В этой статье объясняется, как интерпретировать оценку, что включает оценка базовых показателей защиты данных, непрерывный мониторинг и способы управления и оценки различных типов действий.

Важно!

Рекомендации диспетчера соответствия требованиям не должны рассматриваться в качестве гарантии соответствия требованиям. Вы должны оценить и проверить эффективность клиентских элементов управления в соответствии с вашей нормативными средами. На эти службы распространяются условия, указанные в Условиях продукта. См. также руководство по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

Совет

Если вы не являетесь клиентом E5, вы можете бесплатно опробовать все функции уровня "Премиум" в Microsoft Purview. Используйте 90-дневную пробную версию решений Purview, чтобы узнать, как надежные возможности Purview могут помочь вашей организации управлять требованиями к безопасности данных и соответствию требованиям. Начните с центра Портал соответствия требованиям Microsoft Purview пробных версий. Сведения о регистрации и условиях пробной версии.

Чтение оценки соответствия требованиям

На панели мониторинга диспетчера соответствия требованиям отображается общая оценка соответствия требованиям. Эта оценка измеряет ход выполнения рекомендуемых действий по улучшению в элементах управления. Оценка поможет вам понять текущее состояние соответствия требованиям. Это также может помочь определить приоритет действий на основе их потенциального снижения риска.

Значение оценки назначается на следующих уровнях:

  1. Действие по улучшению. Каждое действие влияет на оценку по-разному в зависимости от потенциального риска. Дополнительные сведения см. в разделах о типах действий и пунктах ниже.

  2. Оценка. Эта оценка вычисляется с помощью оценок действий по улучшению. Каждое действие Майкрософт и каждое действие по улучшению, управляемое вашей организацией, учитывается один раз, независимо от частоты ссылки на него в элементе управления.

Общая оценка соответствия вычисляется с помощью оценок действий, где каждое действие Майкрософт учитывается один раз, каждое управляемое вами техническое действие считается один раз, а каждое не техническое действие, которое вы управляете, учитывается один раз для каждой группы. Эта логика предназначена для предоставления наиболее точного учета реализации и тестирования действий в организации. Вы можете заметить, что это может привести к тому, что общая оценка соответствия будет отличаться от средней оценки оценки. Дополнительные сведения о том , как оцениваются действия, см. ниже.

Начальная оценка на основе базовых показателей защиты данных Microsoft 365

Диспетчер соответствия требованиям предоставляет начальную оценку на основе базовых показателей защиты данных Microsoft 365. Этот базовый план представляет собой набор элементов управления, включающее ключевые нормативы и стандарты для защиты данных и общего управления данными. Эти базовые показатели в основном состоят из NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) и ISO (International Organization for Standardization), а также из FedRAMP (Federal Risk and Authorization Management Program) и GDPR (General Data Protection Regulation of the European Union).

Начальная оценка вычисляется в соответствии с базовой оценкой защиты данных по умолчанию, предоставляемой всем организациям. После первого посещения диспетчер соответствия требованиям уже собирает сигналы из решений Microsoft 365. Вы увидите, как ваша организация работает относительно ключевых стандартов и нормативных требований защиты данных, и ознакомьтесь с предлагаемыми действиями по улучшению.

Так как каждая организация имеет определенные потребности, диспетчер соответствия требованиям полагается на настройку оценок и управление ими, чтобы максимально минимизировать и снизить риски.

Как диспетчер соответствия требованиям постоянно оценивает элементы управления

Диспетчер соответствия требованиям автоматически определяет параметры в среде Microsoft 365, которые помогают определить, когда определенные конфигурации соответствуют требованиям к реализации действий по улучшению. Диспетчер соответствия требованиям обнаруживает сигналы от других развернутых решений по обеспечению соответствия требованиям, включая управление жизненным циклом данных, защиту информации, соответствие требованиям к обмену данными и управление внутренними рисками, а также использует мониторинг Microsoft Secure Score для дополнительных действий по улучшению.

Состояние действия обновляется на панели мониторинга в течение 24 часов после внесения изменений. Следуя рекомендации по реализации элемента управления, вы, как правило, увидите, что состояние элемента управления обновляется на следующий день.

Например, если включить многофакторную проверку подлинности (MFA) на портале Azure AD, диспетчер соответствия требованиям обнаружит этот параметр и отобразит его в сведениях о решении для доступа к элементам управления. И наоборот, если вы не включили многофакторную проверку подлинности, диспетчер соответствия требованиям помечет это действие как рекомендуемое действие.

Узнайте больше об оценке безопасности и о том, как она работает.

Типы действий и точки

Диспетчер соответствия требованиям отслеживает два типа действий:

  1. Действия по улучшению: управление организацией
  2. Действия Майкрософт: управляется корпорацией Майкрософт

Оба типа действий имеют точки, которые учитываются в общей оценке по завершении.

Технические и не технические действия

Действия группируются по техническим или не техническим по своей природе. Влияние оценки каждого действия зависит от типа.

  • Технические действия реализуются путем взаимодействия с технологией решения (например, изменение конфигурации). Точки технических действий предоставляются по одному действию независимо от количества групп, к которым оно относится.

  • Не технические действия управляются вашей организацией и реализуются другими способами, кроме работы с технологией решения. Существует два типа не технических действий: документация иэксплуатация. Точки для этих действий применяются к оценке соответствия требованиям на уровне группы. Это означает, что если действие существует в нескольких группах, вы будете получать значение точки действия каждый раз при его реализации в группе.

Пример оценки технических и не технических действий:

Предположим, что у вас есть техническое действие на 3 точки, которое существует в 5 группах, и не техническое действие на 3 точки, которое существует в тех же 5 группах.

Если вы успешно реализуете техническое действие, общее количество получаемого балла равно 3. Это связано с тем, что действие необходимо реализовать только один раз для клиента. Состояние реализации и тестирования для технического действия будет отображаться одинаково во всех экземплярах этого действия в каждой группе, к которой оно относится.

Если вы успешно реализуете не техническое действие в каждой из 5 групп, общее количество получаемых баллов равно 15. Это связано с тем, что необходимо реализовать действие в каждой группе. Состояние реализации и тестирования для не технического действия будет отличаться для разных групп, так как действие реализуется отдельно в каждой из групп.

Эта логика оценки предназначена для предоставления наиболее точного учета реализации и тестирования действий в организации.

Способ оценки значений

Действия присваиваются значению оценки в зависимости от того, являются ли они обязательными или дискреционными, а также являются ли они профилактическими, профилактическими или корректными.

Обязательные и дискреционные действия

  • Обязательные действия нельзя обойти намеренно или случайно. Примером обязательного действия является централизованно управляемая политика паролей, которая задает требования к длине, сложности и истечении срока действия пароля. Пользователи обязаны соблюдать эти требования для получения доступа к системе.

  • Дискреционные действия зависят от того, что пользователи понимают политику и придерживаются ее. Например, политика, которая требует от пользователя блокировать компьютер, остающийся без присмотра, является дискреционной, так как зависит от действий пользователя.

Профилактические, профилактические и коррективные действия

  • Профилактические действия направлены на устранение конкретных рисков. Например, защита хранящейся информации с помощью шифрования — это профилактическое действие для защиты от атак и несанкционированного доступа. Разделение обязанностей — это профилактическое действие, позволяющее управлять конфликтами интересов и обеспечивать защиту от мошенничества.

  • Действия злоумышленников активно отслеживают системы для выявления нестандартных условий или поведения, представляющих риск, или которые могут использоваться для обнаружения вторжений или нарушений. Примеры включают аудит доступа к системе и привилегированные административные действия. Аудит соответствия нормативным требованиям — это тип действия по устранению проблем с процессами.

  • Действия по исправлению пытаются сведите к минимуму негативные последствия инцидента безопасности, принять меры по исправлению, чтобы уменьшить немедленное воздействие, и по возможности отменить ущерб. К этому типу действий относятся ответные действия на несанкционированный доступ, которые ограничивают последствия и восстанавливают рабочее состояние систем.

Каждое действие имеет назначенное значение в диспетчере соответствия требованиям в зависимости от риска, который оно представляет:

Тип Назначенная оценка
Профилактический обязательный 27
Профилактическое дискреционное 9
Обязательный к отсеву 3
Дискреционный выбор 1
Корректирующее обязательное 3
Исправление дискреционных функций 1

Значения точек действия диспетчера соответствия требованиям.