Руководство по оценке рисков для Microsoft Cloud
Цель оценки рисков в облаке — убедиться, что система и данные, рассматриваемые для миграции в облако, не представляют в организации никаких новых или неопознанных рисков. Основное внимание уделяется обеспечению конфиденциальности, целостности, доступности и конфиденциальности обработки информации и поддержанию выявленных рисков ниже принятого порогового значения внутреннего риска.
В модели общей ответственности поставщик облачных служб (CSP) отвечает за управление безопасностью и соответствием облака в качестве поставщика. Клиент несет ответственность за управление безопасностью и соответствие требованиям в облаке и настройку их в соответствии со своими потребностями и устойчивостью к рискам.
В этом руководстве представлены рекомендации по эффективной оценке рисков поставщиков и использованию ресурсов и средств, предоставляемых корпорацией Майкрософт.
Общие сведения о общей ответственности в облаке
Облачные развертывания можно классифицировать как инфраструктура как услуга (IaaS), Платформа как услуга (PaaS) или Программное обеспечение как услуга (SaaS). В зависимости от применимой модели облачной службы уровень ответственности за управление безопасностью решений перемещается между поставщиком облачных служб и клиентом. В традиционной локальной модели клиент отвечает за весь стек. При переходе в облако все обязанности по физической безопасности передаются поставщику служб CSP. В зависимости от модели облачной службы для вашей организации дополнительные обязанности перекладывается на CSP. Однако в большинстве моделей служб ваша организация несет ответственность за устройства, используемые для доступа к облаку, сетевое подключение, учетные записи и удостоверения, а также за ваши данные. Корпорация Майкрософт вкладывает значительные средства в создание служб, которые позволяют клиентам контролировать свои данные на протяжении всего жизненного цикла.
Microsoft Cloud работает в гипермасштабировании, полагаясь на сочетание DevSecOps и автоматизации для стандартизации операционных моделей. Операционная модель Майкрософт изменяет подход к риску по сравнению с традиционными локальными операционными моделями, что приводит к внедрению различных, а иногда и незнакомых элементов управления для управления рисками. При оценке облачных рисков помните, что цель корпорации Майкрософт — обеспечить устранение всех рисков, но не обязательно реализовать те же средства управления, которые выполняет ваша организация. Корпорация Майкрософт может устранять те же риски с помощью другого набора элементов управления, которые должны быть отражены в оценке рисков в облаке. Проектирование и реализация надежных профилактических средств управления может сократить большую часть работы, необходимой детективу и корректирующим элементам управления. Примером этого является реализация корпорации Майкрософт нулевого постоянного доступа (ZSA).
Внедрение платформы
Корпорация Майкрософт рекомендует клиентам сопоставлять свою внутреннюю платформу рисков и средств управления с независимой платформой, которая стандартизированно устраняет облачные риски. Если существующие внутренние модели оценки рисков не решают конкретных проблем, связанных с облачными вычислениями, вы сможете воспользоваться преимуществами этих широко принятых и стандартизированных платформ. Дополнительным преимуществом является то, что корпорация Майкрософт предоставляет сопоставления с этими платформами в документации и средствах, которые ускорят оценку рисков. Примерами этих платформ являются стандарт информационной безопасности ISO 27001, CIS Benchmark и NIST SP 800-53. Корпорация Майкрософт предлагает самый полный набор предложений по соответствию любому поставщику служб CSP. Дополнительные сведения см. в разделе Предложения майкрософт по обеспечению соответствия требованиям.
Используйте Microsoft Purview Compliance Manager для создания собственных оценок, которые оценивают соответствие отраслевым и региональным нормативным требованиям, применимым к вашей организации. Оценки основаны на платформе шаблонов оценки, которые содержат необходимые элементы управления, действия по улучшению и, если применимо, действия Майкрософт по завершении оценки. Для действий Майкрософт предоставляются подробные планы реализации и последние результаты аудита. Таким образом, можно сэкономить время на поиск фактов, сопоставление и изучение того, как определенные элементы управления реализуются корпорацией Майкрософт. Дополнительные сведения см. в статье Microsoft Purview Compliance Manager.
Узнайте, как корпорация Майкрософт работает для защиты ваших данных
В то время как клиент отвечает за управление безопасностью и соответствием требованиям в облаке и их настройку, CSP отвечает за управление безопасностью и соответствием требованиям облака. Один из способов убедиться, что CSP эффективно выполняет свои обязанности и выполняет свои обещания, заключается в проверке своих внешних отчетов об аудите, таких как ISO и SOC. Корпорация Майкрософт предоставляет отчеты о внешнем аудите для аудиторий, прошедших проверку подлинности, на портале service Trust Portal (STP).
В дополнение к отчетам о внешнем аудите корпорация Майкрософт настоятельно рекомендует клиентам воспользоваться следующими ресурсами, чтобы понять, как работает корпорация Майкрософт:
Схема обучения по запросу. Microsoft Learn предлагает сотни схем обучения и модулей по различным темам. Среди них: узнайте, как корпорация Майкрософт защищает данные клиентов , чтобы понять основные принципы безопасности и конфиденциальности Корпорации Майкрософт.
Service Assurance on Microsoft Compliance. Статьи о практиках Майкрософт классифицируются по 16 доменам для упрощения проверки. Каждый домен содержит общие сведения о том, как корпорация Майкрософт управляет рисками, связанными с каждой областью. Таблицы аудита содержат ссылки на последние отчеты, хранящиеся в STP, связанные разделы и дату создания отчета об аудите для Microsoft веб-службы. При наличии предоставляются ссылки на артефакты, демонстрирующие реализацию элементов управления, например сторонние оценки уязвимостей и отчеты о проверке плана непрерывности бизнес-процессов. Как и отчеты об аудите, эти артефакты размещаются в STP и требуют проверки подлинности для доступа.
| Домен | Описание |
|---|---|
| Архитектура | Разработка Microsoft веб-службы и принципы безопасности, которые служат ее основой. |
| Ведение журнала и мониторинг аудита | Как корпорация Майкрософт собирает, обрабатывает, сохраняет, защищает и анализирует журналы для обнаружения несанкционированных действий и мониторинга производительности. сделать возможным мониторинг безопасности и производительности. |
| Безопасность центра обработки данных | Как корпорация Майкрософт безопасно работает с центрами обработки данных, которые предоставляют средства для работы с Microsoft веб-службы по всему миру. |
| Шифрование и управление ключами | Криптографическая защита сообщений клиентов и данных, хранящихся и обрабатываемых в облаке. |
| Управление, риски и соответствие требованиям | Как корпорация Майкрософт применяет политики безопасности, которые она создает, и управляет рисками в соответствии с обещаниями клиентов и требованиями к соответствию требованиям. |
| Управление удостоверениями и доступом | Защита microsoft веб-службы и данных клиентов от несанкционированного или вредоносного доступа. |
| Управление инцидентами, связанными с безопасностью | Процессы, которые корпорация Майкрософт использует для подготовки, обнаружения, реагирования и информирования обо всех инцидентах безопасности. |
| Безопасность сети | Как корпорация Майкрософт защищает свои сетевые границы от внешних атак и управляет внутренней сетью, чтобы ограничить их распространение. |
| Управление персоналом | Процессы проверки, обучение и безопасное управление персоналом на протяжении всего времени работы в Корпорации Майкрософт. |
| Конфиденциальность и управление данными | Как корпорация Майкрософт обрабатывает и защищает данные клиентов для сохранения их прав на данные. |
| Устойчивость и непрерывность | Процессы и технологии, используемые для поддержания доступности служб и обеспечения непрерывности бизнес-процессов и восстановления. |
| Разработка и использование безопасного ПО | Как корпорация Майкрософт гарантирует, что ее службы проектируются, запускаются и управляются безопасно на протяжении всего жизненного цикла. |
| Управление поставщиками | Как корпорация Майкрософт экранирует и управляет сторонними компаниями, которые помогают с Microsoft веб-службы. |
| Управление угрозами и уязвимостями | Процессы, которые корпорация Майкрософт использует для поиска, обнаружения и устранения уязвимостей и вредоносных программ. |
Комплаенс-программа для Microsoft Cloud (CPMC)
Организации разделяют ответственность со своим поставщиком CSP за защиту данных и систем, которые существуют в облаке. Клиентам необходимо оценивать риски и эффективно и повторять требования соответствия нормативным требованиям. Тем не менее, может быть трудно ориентироваться в глобальной нормативной среде и получить достаточное представление о практике CSP, чтобы достичь приемлемого уровня гарантии. Чтобы преодолеть эти трудности, корпорация Майкрософт запустила Комплаенс-программа для Microsoft Cloud (CPMC). CPMC — это платная премиум-программа, предлагающая персонализированную поддержку соответствия нормативным и отраслевым требованиям, образовательные и сетевые возможности. Дополнительные сведения о конкретных предложениях CPMC см. на веб-сайте CPMC.
Ресурсы
- Видео: узнайте, как корпорация Майкрософт защищает данные клиентов
- Управление облаком с использованием решений Microsoft Hyper Scale Cloud Computing (HSCC)
- Руководство по оценке рисков и соответствию требованиям для финансовых учреждений в Microsoft Cloud
- Риск концентрации: перспективы майкрософт
- Service Trust Portal
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по