Руководство по оценке рисков для Microsoft Cloud
Цель оценки рисков в облаке — убедиться, что система и данные, которые существуют в или рассматриваются для миграции в облако, не вводят в организацию новые или неопознанные риски. Основное внимание уделяется обеспечению конфиденциальности, целостности, доступности и конфиденциальности обработки информации и поддержанию выявленных рисков ниже принятого порогового значения внутреннего риска.
В модели общей ответственности поставщик облачных служб (CSP) отвечает за управление безопасностью и соответствием облака в качестве поставщика. Клиент несет ответственность за управление безопасностью и соответствие требованиям в облаке и настройку их в соответствии со своими потребностями и устойчивостью к рискам.
В этом руководстве представлены рекомендации по эффективной оценке рисков поставщиков и использованию ресурсов и средств, предоставляемых корпорацией Майкрософт.
Общие сведения о общей ответственности в облаке
Облачные развертывания можно классифицировать как инфраструктура как услуга (IaaS), Платформа как услуга (PaaS) или Программное обеспечение как услуга (SaaS). В зависимости от применимой модели облачной службы уровень ответственности за элементы управления безопасностью для решения смещается между поставщиком облачных служб и клиентом. В традиционной локальной модели клиент отвечает за весь стек. При переходе в облако все обязанности по физической безопасности передаются поставщику служб CSP. В зависимости от модели облачной службы для вашей организации дополнительные обязанности перекладывается на CSP. Однако в большинстве моделей облачных служб ваша организация несет ответственность за устройства, используемые для доступа к облаку, сетевое подключение, учетные записи и удостоверения, а также за ваши данные. Корпорация Майкрософт вкладывает значительные средства в создание служб, которые позволяют клиентам контролировать свои данные на протяжении всего жизненного цикла.
Microsoft Cloud работает в гипермасштабировании, полагаясь на сочетание DevSecOps и автоматизации для стандартизации операционных моделей. Операционная модель Майкрософт изменяет подход к риску по сравнению с традиционными локальными операционными моделями, что приводит к внедрению различных, а иногда и незнакомых элементов управления для управления рисками. При оценке рисков в облаке помните, что цель корпорации Майкрософт — обеспечить устранение всех рисков, но не обязательно реализовать те же средства управления, которые выполняет ваша организация. Корпорация Майкрософт может устранять те же риски с помощью другого набора элементов управления, которые должны быть отражены в оценке рисков в облаке. Кроме того, некоторые риски в традиционной локальной архитектуре имеют более низкую степень серьезности в облачной среде и наоборот. Проектирование и реализация надежных профилактических средств управления может сократить большую часть работы, необходимой детективу и корректирующим элементам управления. Примером этого является реализация корпорации Майкрософт нулевого постоянного доступа (ZSA).
Внедрение платформы
Корпорация Майкрософт рекомендует клиентам сопоставлять свою внутреннюю платформу рисков и средств управления с независимой платформой, которая стандартизированно устраняет облачные риски. Если существующие внутренние модели оценки рисков не решают конкретных проблем, связанных с облачными вычислениями, вы сможете воспользоваться преимуществами этих широко принятых и стандартизированных платформ. Ваша внутренняя платформа управления уже может быть конгломерацией нескольких стандартизированных платформ, и эти элементы управления, сопоставленные с соответствующими платформами, помогут во время оценки.
Дополнительным преимуществом является то, что корпорация Майкрософт предоставляет сопоставления с этими платформами в документации и средствах, которые ускорят оценку рисков. Примерами этих платформ являются стандарт информационной безопасности ISO 27001, CIS Benchmark и NIST SP 800-53. Корпорация Майкрософт предлагает самый полный набор предложений по соответствию любому поставщику служб CSP. Дополнительные сведения см. в разделе Предложения майкрософт по обеспечению соответствия требованиям.
Используйте Microsoft Purview Compliance Manager для создания собственных оценок, которые оценивают соответствие отраслевым и региональным нормативным требованиям, применимым к вашей организации. Оценки основаны на базе шаблонов оценки, которые содержат необходимые элементы управления, действия по улучшению и, если применимо, действия Майкрософт для завершения оценки. Для действий Майкрософт предоставляются подробные планы реализации и последние результаты аудита. Таким образом, можно сэкономить время на поиск фактов, сопоставление и изучение того, как определенные элементы управления реализуются корпорацией Майкрософт. Дополнительные сведения см. в статье Microsoft Purview Compliance Manager.
Узнайте, как корпорация Майкрософт работает для защиты ваших данных
В то время как клиент отвечает за управление безопасностью и соответствием требованиям в облаке и их настройку, CSP отвечает за управление безопасностью и соответствием требованиям облака. Один из способов проверить, что CSP эффективно выполняет свои обязанности и выполняет свои обещания, заключается в проверке своих внешних отчетов аудита, таких как ISO и SOC. Корпорация Майкрософт предоставляет отчеты о внешнем аудите для аудиторий, прошедших проверку подлинности, на портале service Trust Portal (STP).
В дополнение к отчетам о внешнем аудите корпорация Майкрософт настоятельно рекомендует клиентам воспользоваться следующими ресурсами, чтобы понять, как работает корпорация Майкрософт:
Схема обучения по запросу. Microsoft Learn предлагает сотни схем обучения и модулей по различным темам. Среди них: узнайте, как корпорация Майкрософт защищает данные клиентов , чтобы понять основные принципы безопасности и конфиденциальности Корпорации Майкрософт.
Service Assurance on Microsoft Compliance. Статьи о практиках Майкрософт классифицируются по 14 доменам для упрощения проверки. Каждый домен содержит обзор, в котором рассматриваются распространенные сценарии риска для каждой области. Таблицы аудита содержат ссылки на последние отчеты, хранящиеся в STP, связанные разделы и дату проведения отчета об аудите для Microsoft веб-службы. При наличии предоставляются ссылки на артефакты, демонстрирующие реализацию элементов управления, например сторонние оценки уязвимостей и отчеты о проверке плана непрерывности бизнес-процессов. Как и отчеты об аудите, эти артефакты размещаются в STP и требуют проверки подлинности для доступа.
| Домен | Описание |
|---|---|
| Архитектура | Разработка Microsoft веб-службы и принципы безопасности, которые служат ее основой. |
| Ведение журнала и мониторинг аудита | Как корпорация Майкрософт собирает, обрабатывает, сохраняет, защищает и анализирует журналы для обнаружения несанкционированных действий и мониторинга производительности. сделать возможным мониторинг безопасности и производительности. |
| Безопасность центра обработки данных | Как корпорация Майкрософт безопасно работает с центрами обработки данных, которые предоставляют средства для работы с Microsoft веб-службы по всему миру. |
| Шифрование и управление ключами | Криптографическая защита сообщений клиентов и данных, хранящихся и обрабатываемых в облаке. |
| Управление, риски и соблюдение требований | Как корпорация Майкрософт применяет политики безопасности, которые она создает, и управляет рисками в соответствии с обещаниями клиентов и требованиями к соответствию требованиям. |
| Управление удостоверениями и доступом | Защита microsoft веб-службы и данных клиентов от несанкционированного или вредоносного доступа. |
| Управление инцидентами, связанными с безопасностью | Процессы, которые корпорация Майкрософт использует для подготовки, обнаружения, реагирования и информирования обо всех инцидентах безопасности. |
| Сетевая безопасность | Как корпорация Майкрософт защищает свои сетевые границы от внешних атак и управляет внутренней сетью, чтобы ограничить их распространение. |
| Управление персоналом | Процессы проверки, обучение и безопасное управление персоналом на протяжении всего времени работы в Корпорации Майкрософт. |
| Конфиденциальность и управление данными | Как корпорация Майкрософт обрабатывает и защищает данные клиентов для сохранения их прав на данные. |
| Устойчивость и непрерывность | Процесс и технологии, используемые для обеспечения доступности служб и обеспечения непрерывности бизнес-процессов и восстановления. |
| Разработка и использование безопасного ПО | Как корпорация Майкрософт гарантирует, что ее службы проектируются, запускаются и управляются безопасно на протяжении всего жизненного цикла. |
| Управление поставщиками | Как корпорация Майкрософт экранирует и управляет сторонними компаниями, которые помогают с Microsoft веб-службы. |
| Управление угрозами и уязвимостями | Процессы, которые корпорация Майкрософт использует для поиска, обнаружения и устранения уязвимостей и вредоносных программ. |
Комплаенс-программа для Microsoft Cloud (CPMC)
Корпорация Майкрософт прилагает согласованные усилия для публикации информации, например статей на этом сайте, чтобы помочь клиентам понять, как мы сохраняем их данные в безопасности и соблюдаем их требования к соответствию. Тем не менее, может быть трудно оставаться в курсе глобальных нормативных требований, ориентироваться в сложных сценариях соответствия требованиям и рискам и достичь приемлемого уровня гарантии. Чтобы преодолеть эти трудности, корпорация Майкрософт запустила Комплаенс-программа для Microsoft Cloud (CPMC). CPMC — это платная программа premium, предлагающая персонализированную поддержку соответствия нормативным и отраслевым требованиям, а также образовательные и сетевые возможности. Дополнительные сведения о конкретных предложениях CPMC проверка на веб-сайте CPMC.