Национальный институт стандартов и технологий (NIST) Кибербезопасность Framework (CSF)

Обзор NIST CSF

Национальный институт стандартов и технологий (NIST) продвигает и поддерживает стандарты измерений и рекомендации, помогающие организациям оценивать риски. В ответ на указ 13636 об укреплении кибербезопасности федеральных сетей и критической инфраструктуры NIST выпустила в феврале 2014 года Платформу для улучшения кибербезопасности критической инфраструктуры (FICIC).

Main приоритетами FICIC было установить набор стандартов и методик, которые помогут организациям управлять рисками кибербезопасности, обеспечивая при этом эффективность бизнеса. NIST Framework решает риски кибербезопасности, не устанавливая дополнительных нормативных требований как для государственных, так и для частных организаций.

FICIC ссылается на всемирно признанные стандарты, включая NIST SP 800-53, которые приведены в приложении А к платформе NIST по улучшению кибербезопасности критической инфраструктуры. Каждый элемент управления в платформе FICIC сопоставляется с соответствующими элементами управления NIST 800-53 в fedRAMP Moderate Baseline.

Майкрософт и NIST CSF

NIST Cybersecurity Framework (CSF) — это добровольная платформа, которая состоит из стандартов, руководящих принципов и рекомендаций по управлению рисками, связанными с кибербезопасностью. Облачные службы Майкрософт прошли независимые сторонние аудиты FedRAMP Moderate и High Baseline и сертифицированы в соответствии со стандартами FedRAMP. Кроме того, благодаря проверенной оценке, проведенной HITRUST, ведущей организацией по разработке и аккредитации стандартов безопасности и конфиденциальности, Office 365 сертифицирован для целей, указанных в NIST CSF.

Узнайте, как ускорить развертывание NIST Cybersecurity Framework с помощью диспетчера соответствия требованиям и схемы безопасности и соответствия требованиям Azure.

• Обзор примера схемы NIST SP 800-53 R4
• Дополнительные сведения об оценке NIST CSF для Office 365 см. в диспетчере соответствия требованиям.

Затрагиваемые облачные платформы и службы Майкрософт

• Azure для государственных организаций
• Dynamics 365 для государственных организаций
• Office 365

Azure, Dynamics 365 и NIST CSF

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствия см. в разделе Предложение Azure NIST CSF.

Office 365 и NIST CSF

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

• Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
• Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
• Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
• Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
• Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость	Затрагиваемые службы
Коммерческий сектор	Служба веб-канала действий, службы Bing, Delve, Exchange Online, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди карточка, SharePoint Online, Skype для бизнеса, Windows Ink

цикл аудита и сертификация Office 365

Сертификация NIST CSF Office 365 действительна в течение двух лет.

• Письмо о сертификации NIST CSF Office 365

Вопросы и ответы

Проверил ли независимый оценатель, что Office 365 поддерживает требования NIST CSF?

Да, в июле 2019 года Office 365 получила письмо о сертификации NIST CSF от HITRUST.

Как Microsoft Облачные службы продемонстрировать соответствие платформе?

Используя официальные отчеты об аудите, подготовленные третьими лицами для аккредитации FedRAMP, корпорация Майкрософт может показать, как соответствующие средства контроля, отмеченные в этих отчетах, демонстрируют соответствие NIST Framework для улучшения кибербезопасности критической инфраструктуры. Проверенные элементы управления, реализованные корпорацией Майкрософт, служат для обеспечения конфиденциальности, целостности и доступности данных, хранимых, обработанных и передаваемых Azure, Office 365 и Dynamics 365, ответственность за которые несет корпорация Майкрософт.

Каковы обязанности корпорации Майкрософт за обеспечение соответствия этой инициативе?

Участие в FICIC является добровольным. Тем не менее корпорация Майкрософт гарантирует, что Office 365 соответствует условиям, определенным в соответствующих условиях использования веб-служб и применимых соглашениях об уровне обслуживания.

Можно ли использовать соответствие требованиям Майкрософт для моей организации?

Да. Независимые сторонние отчеты о соответствии стандартам FedRAMP свидетельствуют об эффективности элементов управления, реализованных корпорацией Майкрософт для обеспечения безопасности и конфиденциальности Облачные службы Майкрософт. Клиенты Майкрософт могут использовать проверенные элементы управления, описанные в этих связанных отчетах, в рамках собственных усилий по анализу рисков и квалификации FedRAMP и NIST FICIC.

Какие организации считаются правительством США критически важной инфраструктурой?

По данным Министерства национальной безопасности, к ним относятся организации в следующих секторах: химические, коммерческие объекты, связь, критическое производство, плотины, оборонно-промышленная база, экстренные службы, энергетика, финансовые услуги, продовольственные и сельскохозяйственные услуги, государственные учреждения, здравоохранение и общественное здравоохранение, информационные технологии, ядерные (реакторные материалы и отходы), транспортные системы и вода (и сточные воды).

Почему некоторые Office 365 службы не входят в область этой сертификации?

Корпорация Майкрософт предоставляет наиболее полные предложения по сравнению с другими поставщиками облачных служб. Чтобы не отставать от наших широких предложений по соответствию требованиям в разных регионах и отраслях, мы включаем услуги в область наших усилий по обеспечению на основе рыночного спроса, отзывов клиентов и жизненного цикла продукта. Если служба не включена в текущую область конкретного предложения по обеспечению соответствия требованиям, ваша организация несет ответственность за оценку рисков на основе ваших обязательств по соответствию и определение способа обработки данных в этой службе. Мы постоянно собираем отзывы клиентов и работаем с регуляторами и аудиторами, чтобы расширить охват соответствия требованиям для удовлетворения ваших потребностей в области безопасности и соответствия требованиям.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы

• Сопоставление кибер-предложений Майкрософт с: NIST Cybersecurity Framework (CSF), элементы управления CIS, ISO27001:2013 и HITRUST CSF
• Платформа для повышения кибербезопасности критической инфраструктуры
• Указ Президента Об укреплении кибербезопасности федеральных сетей и критической инфраструктуры
• Облако Майкрософт для государственных организаций
• Условия использования веб-служб
• Соответствие требованиям в центре управления безопасностью Майкрософт