Центр информационных систем для финансовой отрасли (FISC)
Общие сведения о FISC
Центр информационных систем для финансовой отрасли (FISC) — это некоммерческая организация, созданная министерством финансов Японии в 1984 г. для поддержки безопасности в банковских компьютерных системах в Японии. Ее участниками являются около 700 корпораций в Японии, включая основные финансовые учреждения, страховые и кредитные компании, фондовые компании, производителей компьютеров и телекоммуникационные организации.
В сотрудничестве с Банком Японии и Агентством финансовых услуг (государственное учреждение, ответственное за контроль банковской, фондовой, биржевой и страховой отрасли в Японии), которые являются учреждениями-участниками, организация FISC создала руководство по безопасности банковской информации. В него входят основные стандарты аудита для компьютерных систем управления, планирование на случай аварии и разработка политик безопасности и стандартов безопасности, отраженных в более чем 300 средствах контроля.
Хотя законодательные нормы не требуют применения этого руководства в облачной среде, большинство финансовых учреждений Японии, применяющих облачные службы, создали информационные системы, соответствующие этим стандартам безопасности, и объяснить отказ от их применения может быть непросто. (В последнем руководстве версии 8 с дополнениями и изменениями, выпущенном в 2015 г., добавлены два изменения в отношении использования облачных служб финансовыми учреждениями и мер противодействия кибератакам.)
Законодательные нормы не требуют соблюдения этой платформы, и она не подвергается аудиту и проверкам FISC.
Майкрософт и FISC
Майкрософт привлекла сторонних оценщиков для подтверждения соответствия служб Microsoft Azure, Dynamics 365 и Microsoft Office 365 требованиям документа FISC "Руководство по безопасности компьютерных систем для финансовых учреждений" версии 9 с изменениями. Корпорация Майкрософт предоставила доказательства соответствия требованиям в каждой из следующих областей:
- Рекомендации для центров обработки данных по мониторингу зданий и компьютерных помещений, питания, кондиционирования воздуха, центров обработки данных и сооружений.
- Практические рекомендации для организаций, обучения, управления доступом, разработки систем и аудита.
- Технические рекомендации для мер повышения надежности оборудования и программного обеспечения, а также для мер устранения угроз безопасности, включая защиту данных, предотвращение несанкционированного использования, обнаружение угроз и аварийное восстановление.
Финансовые учреждения могут полагаться на эту оценку соответствия этих трех областей для область инфраструктуры и платформенных служб Azure, Dynamics 365, Office 365 и Microsoft Defender for Cloud Apps.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure
- Intune
- Microsoft Defender for Cloud Apps
- Office 365
- Облачная служба Power BI (в виде автономной службы или в составе плана либо набора Office 365)
Office 365 и FISC
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
Применимость | Затрагиваемые службы |
---|---|
Коммерческий сектор | Access Online, Microsoft Entra ID, Delve, Exchange Online, Exchange Online Protection, Microsoft Teams, Office 365 профессиональный плюс, Office Online, OneDrive для бизнеса, Power BI для Office 365, Project Online, SharePoint Online, Skype для бизнеса |
Вопросы и ответы
К кому применяются руководства FISC?
Банки и другие финансовые учреждения Японии, которые хотят проверить свой подход к безопасности системы, надежности и аудиту, а также обеспечить соответствие установленным рекомендациям в Японии, соблюдают руководства FISC.
Где можно получить дополнительные сведения о версии 8 требований FISC?
Организация FISC опубликовала два отчета своего экспертного совета:
- Использование облачных вычислений в финансовых учреждениях
- Меры противодействия кибератакам на финансовые учреждения
Где можно получить подробные сведения об ответах Майкрософт для платформы FISC?
Отзывы относительно безопасности от сторонних организаций, оценивших соответствие требованиям FISC облачных служб Майкрософт, вы можете получить у работающего с вами представителя Майкрософт.
Можно ли использовать ответы Майкрософт для этой платформы в процессе оценки моей организации?
Да. Но хотя соответствие ответов Майкрософт для этой платформы подтверждено сторонними организациями, клиенты несут ответственность за проверку решений, реализованных в Azure или Office 365, на соответствие требованиям.
Ресурсы
- Условия использования веб-служб Майкрософт
- Руководство по безопасности и стандарты безопасности FISC
- Отчет FISC об использовании облачных вычислений
- Соответствие требованиям в центре управления безопасностью Майкрософт