CyberGRX

  • Статья

Методология оценки CyberGRX определяет как присущий, так и остаточный риск и использует анализ угроз практически в реальном времени и независимую проверку доказательств, чтобы предоставить клиентам целостное представление о своих сторонних кибер-рисках.

CyberGRX является первым и крупнейшим в мире совместным обменом рисками. Аналитическая методология CyberGRX создает аналитику угроз и сложные модели риска на основе только одной проверенной оценки. Благодаря аналитическим сведениям о рисках, связанных с безопасностью и конфиденциальностью данных, оценка CyberGRX предоставляет не только подробные аналитические сведения об остаточных рисках, но и объединяет моделирование сценариев атак и цепочку ATT MITRE&CK для мониторинга развивающихся тактик и методов в ландшафте угроз.

Microsoft и CyberGRX

CyberGRX, используя своих стратегических партнеров Deloitte, Touche и KPMG, проверил и сообщил об оценке Microsoft Cloud, которая состоит из более чем 1000 контрольных вопросов и соответствующих ответов Майкрософт. CyberGRX решает присущие ей риски, отраслевые аналитики угроз и сценарии реальных атак. Это дает клиентам возможность проверить состояние безопасности Майкрософт с помощью внешних доказательств, чтобы получить результаты, ориентированные на риски, а не простое соответствие требованиям.

Корпорация Майкрософт понимает необходимость использования нашим клиентами эффективных средств, которые помогут их организации быстро оценивать риски, включая оценку потенциальных рисков, которые они могут предполагать из-за использования сторонних поставщиков для ключевых служб, таких как мы. Корпорация Майкрософт, являющаяся одним из крупнейших поставщиков облачных услуг в мире, понимает, что наша клиентская база обширна и разнообразна, и что эти клиенты имеют различные приоритеты и приходят из различных отраслей. Масштабирование в соответствии с этими разнообразными потребностями требует, чтобы корпорация Майкрософт искала эффективные методы для расширения и расширения нашей способности делиться ключевыми знаниями, которые помогут всем клиентам с их приоритетами в области безопасности и независимо от того, какие облачные службы Майкрософт они используют. Сотрудничество со сторонними оценочными фирмами, такими как CyberGRX, является одним из способов помочь нашим клиентам быть проворными в их стремлении к оценке рисков.

Модель CyberGRX предоставляет организациям, заинтересованным в реализации управления безопасностью Microsoft Cloud, возможность выбирать элементы управления, которые они больше всего интересуют, и предоставляет проверенные ответы для их проверки. Корпорация Майкрософт использует эту модель, так как мы также можем быть ловкими в нашей способности предоставлять обновления, а наши ответы доступны любому участнику обмена CyberGRX, предоставляя клиентам больше доступа к этой ключевой информации. Короче говоря, CyberGRX помогает корпорации Майкрософт охватить больше клиентов с потребностями оценки рисков и подчеркивает нашу приверженность прозрачности и безопасности.

Кроме того, клиенты могут использовать функцию Mapper Платформы CyberGRX для сопоставления наших средств оценки и ответов с известными отраслевыми стандартами и платформами, такими как NIST 800-53, NIST Cybersecurity Framework (CSF),ISO 27001, PCI DSS, HIPAA, которые могут значительно снизить нагрузку на тщательную осмотрительность.

Область облачные платформы Майкрософт & службы в область

  • Azure
  • Dynamics 365
  • Microsoft 365
  • Power Platform

Полный список веб-службы Майкрософт в область аудита CyberGRX см. в следующих разделах:

Office 365 и CyberGRX

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Кортана, защищенное хранилище клиентов, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Kaizala Pro, Microsoft Bookings Microsoft Forms, Microsoft MyAnalytics, Планировщик (Майкрософт), Microsoft StaffHub, Microsoft Stream, Microsoft Teams (включая Bookings, Списки и Shifts), Microsoft To-Do, Microsoft Defender для Office 365, видео Office 365, Office для Интернета, OneDrive для бизнеса, Project, SharePoint Online, Skype для бизнеса Online, Sway, доска, Viva Engage

Аудит, отчеты и сертификаты

Чтобы получить доступ к бесплатному отчету об оценке CyberGRX в Microsoft Cloud, заполните эту форму.

Методика реализации

Вопросы и ответы

Дополнительные сведения о методологии проверки CyberGRX, модели оценки зрелости и других связанных областях см. в разделе Часто задаваемые вопросы об оценке безопасности.

Ресурсы