Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья предназначена для электроэнергетических компаний и зарегистрированных объектов, рассматривающих переход на облачные технологии для данных и рабочих нагрузок, соответствующих стандартам Североамериканской корпорации по обеспечению надежности электроэнергетики (NERC) по защите критической инфраструктуры (CIP).
Корпорация Майкрософт предоставляет две разные облачные среды для электрических коммунальных служб и других зарегистрированных организаций: Azure и Azure для государственных организаций. Оба предоставляют платформу облачных сервисов с поддержкой мультиарендности, которую зарегистрированные компании могут использовать для развертывания различных решений. Облачная платформа с несколькими клиентами подразумевает, что несколько клиентских приложений и данных хранятся на одном физическом оборудовании. Azure и Azure для государственных организаций используют логическую изоляцию для разделения приложений и данных, принадлежащих разным клиентам. Этот подход обеспечивает масштаб и экономические преимущества мультитенантных облачных служб, не позволяя клиентам получать доступ к данным или приложениям друг друга. В этой статье рассматриваются распространенные проблемы безопасности и изоляции, относящиеся к энергетической промышленности. В нем также рассматриваются вопросы соблюдения требований для данных и рабочих нагрузок, развернутых в Azure или Azure для государственных организаций, которые подпадают под действие стандартов NERC CIP. Подробное техническое описание подходов к изоляции см. в руководстве Azure по безопасной изоляции.
Azure и Azure для государственных организаций имеют одинаковые комплексные средства контроля безопасности. Они также разделяют обязательства Майкрософт по защите данных клиентов. Azure для государственных организаций предоставляет дополнительный уровень защиты зарегистрированным организациям с помощью договорных обязательств относительно хранения данных клиентов в США и ограничения доступа к системам, обрабатывающим данные клиентов, для проверенных лиц США. Кроме того, Azure для государственных организаций доступна только в США для зарегистрированных в США организаций.
И Azure, и Azure для государственных организаций подходят для зарегистрированных организаций, развертывающих определенные рабочие нагрузки в соответствии со стандартами NERC CIP.
Обзор NERC
Североамериканская Корпорация По Обеспечению Надежности Электроэнергетики (NERC) является некоммерческим нормативным органом, чья миссия заключается в обеспечении надежности энергосистемы Северной Америки. NERC подлежит надзору Федеральной энергетической комиссии США (FERC) и правительственных органов в Канаде. В 2006 году FERC предоставила NERC статус Организации по надежности электроэнергии (ERO) в соответствии с Законом об энергетической политике 2005 года, как указано в публичном законе США № 109-58. NERC имеет юрисдикцию над пользователями, владельцами и операторами массовой системы питания, которая обслуживает почти 400 миллионов человек в Северной Америке. Дополнительные сведения о региональных организациях NERC ERO и NERC см. в разделе " Ключевые игроки NERC".
NERC разрабатывает и применяет стандарты надежности, известные как стандарты NERC CIP. В Соединенных Штатах FERC одобрил первый набор стандартов CIP в 2007 году и продолжал делать это с каждой новой редакцией. В Канаде федеральная, провинциальная и территориальная подгруппа по мониторингу и обеспечению соблюдения (MESG) разрабатывает провинциальные сводки для обеспечения соблюдения стандартов CIP в канадских юрисдикциях.
Azure и Azure для государственных организаций
Azure предоставляет основные технологии инфраструктуры и виртуализации, такие как вычислительные ресурсы, хранилище и сети, разработанные с строгими элементами управления для удовлетворения требований к разделению клиентов. Эти службы также помогают обеспечить безопасное подключение к локальной среде. Большинство служб Azure позволяют указать регион , в котором будут храниться данные клиента . Корпорация Майкрософт может реплицировать данные клиента в другие регионы в том же географическом регионе для обеспечения устойчивости данных. Однако корпорация Майкрософт не будет реплицировать данные клиента за пределами выбранной географической области, например Сша.
Корпорация Майкрософт предоставляет две разные облачные среды зарегистрированным организациям для развертывания их приложений и данных: Azure и Azure для государственных организаций. Azure общедоступен в более чем 60 регионах по всему миру; Однако для зарегистрированных сущностей, соответствующих стандартам CIP NERC, наиболее интересны географические области — Соединенные Штаты и Канада.
- Azure доступна зарегистрированным сущностям NERC как в США, так и в Канаде.
- Azure для государственных организаций доступен только в Соединенных Штатах для зарегистрированных организаций NERC.
Регионы Azure, доступные в США и Канаде, а также для регионов Azure для государственных организаций в США, см. в географических регионах Azure. Сведения о доступности служб Azure в определенном регионе см. в разделе "Продукты", доступные по регионам.
Как Azure, так и Azure для государственных организаций имеют одинаковые надежные средства контроля безопасности, чтобы обеспечить надежную гарантию защиты данных и приложений клиентов. Они предлагают различные службы в мультитенантной облачной среде, которая использует технологии виртуализации для обеспечения масштабирования и использования ресурсов. Они также обеспечивают более высокий уровень разделения и изоляции данных в общей среде. Эта конструкция помогает обеспечить эффективное использование Azure и Azure для государственных организаций и обеспечить изоляцию данных и рабочих нагрузок от других клиентов. Обе облачные среды обеспечивают одинаковую избыточность данных для службы хранилища Azure, сохраняя три копии данных клиента в отдельных доменах сбоя в основном регионе. Вы также можете включить геоизбыточное хранилище, которое поддерживает три дополнительных копии данных клиента также в отдельных доменах сбоя в парном регионе. В любое время служба хранилища Azure поддерживает шесть здоровых реплик данных клиента, хранящихся в двух парных регионах, расположенных по крайней мере в 400 милях друг от друга.
Azure для государственных организаций — это облако сообщества для государственных организаций США, которое физически отделяется от облака Azure. Он предоставляет дополнительные гарантии относительно конкретных требований США к проверке биографических данных. Например, Azure для государственных организаций требует проверки граждан США для операционного персонала с потенциальным доступом к данным клиентов. Azure для государственных организаций также может поддерживать клиентов в соответствии с определенными законами и правилами контроля экспорта. Azure и Azure для государственных учреждений подходят для зарегистрированных организаций, развертывающих определенные рабочие нагрузки в соответствии со стандартами NERC CIP.
Azure и Azure для государственных организаций имеют самое широкое покрытие соответствия требованиям в отрасли, включая ключевые независимые сертификации и аттестации. Azure для государственных организаций добавляет дополнительное покрытие соответствия требованиям, характерным для государственных организаций США.
Клиенты предприятий ядерной энергетики также могут должны соответствовать требованиям Министерства энергетики (DoE) / Национальной администрации по ядерной безопасности (NNSA), предусмотренным в 10 CFR Часть 810 для контроля экспорта. Помимо прочего, DoE 10 CFR часть 810 контролирует экспорт неклассифицированной ядерной технологии и помощи. В пункте 810.7 (b) указано, что для предоставления или передачи чувствительной ядерной технологии любому иностранному лицу требуется специальное разрешение Министерства энергетики США.
- Экспорт — это передача защищенной технологии или информации в иностранное место назначения или иностранного лица независимо от места назначения.
- Считается, что экспорт представляет собой передачу защищенной технологии и информации иностранному лицу в Соединенных Штатах.
Azure для государственных организаций предназначен для соблюдения конкретных механизмов контроля, ограничивающих доступ к информации и системам только для граждан США. Это обязательство не применяется в Azure. Таким образом, клиенты, развертывающие в Azure, должны проводить соответствующую оценку риска, чтобы определить, следует ли развертывать дополнительные технические меры для защиты данных, которые не должны быть раскрыты иностранным лицам. Дополнительные сведения см. в статье о предложении Azure по соответствию требованиям DoE 10 CFR, часть 810.
Клиенты ядерной программы несут ответственность за обеспечение собственного соответствия всем применимым законам и нормативным актам. Предыдущее не является юридическим советом, и вам следует обратиться к своим юридическим консультантам по любым вопросам о соблюдении норм.
Классификация данных и рабочих нагрузок CIP NERC
Замечание
Клиенты, работающие с массовой электрической системой (BES), полностью отвечают за обеспечение соответствия стандартам NERC CIP. Ни Azure, ни Azure для государственных организаций не являются частью объединенной электрической сети (BES) или BES Cyber Asset.
Как говорится в NERC, стандарты CIP применяются к массовой электрической системе (BES):
- Как правило, 100 kV и выше, но с некоторыми исключениями, в основном для радиальных линий.
- 20MVA и выше генераторных установок, 75MVA и выше электростанций, за исключением некоторых случаев для полностью за счётчиком генерации.
- Включает центры управления, которые отслеживают и управляют BES.
Как говорится в NERC, стандарты CIP не применяются к распределению, т. е. не BES, причем есть несколько исключений, в первую очередь, отключение нагрузки по частоте (UFLS), отключение нагрузки по напряжению (UVLS), ресурсы Blackstart (генерация) и пути запуска.
Чтобы оценить пригодность данных и рабочих нагрузок стандартов NERC для развёртывания в облаке, зарегистрированные организации должны обратиться к своим специалистам по соблюдению нормативных требований и аудиторам NERC. Ниже приведены некоторые ключевые определения, связанные с BES, предоставляемые NERC в текущем наборе стандартов CIP и глоссарий терминов NERC:
- Кибер-ресурс: Программируемые электронные устройства, включая оборудование, программное обеспечение и данные на этих устройствах.
- BES Cyber Asset (BCA): Кибер-актив, который, если он недоступен, подвержен деградации или неправильно используется, в течение 15 минут после начала требуемой работы, неисправной работы или неработоспособности, отрицательно влияет на один или несколько объектов, систем или оборудования, которые, если они разрушены, деградированы или иначе недоступны, когда это необходимо, влияют на надежную работу объединенной электроэнергетической системы. Избыточность затронутых объектов, систем и оборудования не учитывается при определении негативного воздействия. Каждый кибер-ресурс BES включается в одну или несколько киберсистем BES.
-
BES Cyber System (BCS): Одна или несколько кибер-активов BES логически сгруппированы ответственным субъектом для выполнения одной или нескольких задач надежности функциональной единицы.
- Компоненты BCS также включают связующие элементы инфраструктуры (например, сетевую инфраструктуру), необходимые для выполнения системой задач надежности, таких как сетевые коммутаторы.
- Огромная гибкость встроена в определение: BCS может быть всей системой управления или подмножеством на основе функции (HMI, сервера, базы данных, FEP и т. д.).
- Электронный периметр безопасности (ESP): Логическая граница, связанная с сетью, к которой подключены киберсистемы BES, с помощью протокола routable.
- Защищенный кибер-ресурс (PCA): Один или несколько кибер-активов, подключенных с использованием маршрутизируемых протоколов внутри или на периметре электронной безопасности, которые не являются частью кибер-системы BES самого высокого воздействия в том же периметре электронной безопасности. Рейтинг влияния защищенных кибер-активов равен самой высокой оценке киберсистемы BES в том же ESP.
- Электронная точка доступа (EAP): Интерфейс кибер-активов на периметре электронной безопасности, который позволяет маршрутизируемому обмену данными между кибер-ресурсами за пределами периметра электронной безопасности и кибер-активов внутри периметра электронной безопасности.
- Электронные системы контроля доступа или мониторинга (EACMS): Киберактивы, которые выполняют электронный контроль доступа или мониторинг электронного доступа периметров электронной безопасности или КИБЕР-систем BES, включая промежуточные системы.
-
Центр управления: Один или несколько объектов, в которых размещаются операционные сотрудники, которые отслеживают и контролируют массовую электрическую систему (BES) в режиме реального времени для выполнения задач надежности, в том числе связанных центров обработки данных: 1) координатора надежности, 2) центра балансировки, 3) оператора передачи для объектов передачи в двух или более местах, или 4) оператора генератора для создания объектов в двух или более местах.
- Включает в себя помещения и оборудование, где операторы системы питания сидят и помещения и оборудование, содержащие серверы заднего офиса, базы данных, телекоммуникационное оборудование и т. д.
- Они могут находиться в одной комнате или находиться в разных зданиях или в разных городах.
Как говорится в NERC, BES Cyber Assets выполняют функции мониторинга или управления BES в режиме реального времени. В текущем определении физических активов в периметре электронной безопасности особое внимание уделяется, например, конкретному термину "на этих устройствах" , который называется BES Cyber Assets. Отсутствуют меры или механизмы для работы с ключевыми облачными концепциями, такими как виртуализация и многотенантность. Для правильного размещения кибер-активов BES и защищенных кибер-активов в облачной среде необходимо будет пересмотреть существующие определения в стандартах NERC CIP. Однако существует множество рабочих нагрузок, которые обрабатывают конфиденциальные данные CIP и не подпадают под правило 15 минут.
В зависимости от реализации зарегистрированной сущности некоторые из следующих рабочих нагрузок могут не считаться киберсистемой BES (BCS) или помещены в периметр электронной безопасности (ESP):
- Состояние ресурса передачи, управление, планирование, прогнозное обслуживание
- Планирование сети передачи, прогнозирование спроса, анализ непредвиденных обстоятельств
- Моделирование общей информационной модели (CIM) и геопространственная информация о местонахождении активов
- Информационная система оперативного оборудования и контроля надзора и получения данных (SCADA)
- Искусственный интеллект и расширенная аналитика для прогнозирования, обслуживания, управления сбоями
- Сценарии Интернета вещей (IoT) для мониторинга и обслуживания линий передачи
- Доказательства аудита CIP NERC, отчеты, записи
Эти рабочие нагрузки требуют тщательной оценки, которая учитывает факты и обстоятельства отдельных зарегистрированных сущностей.
Другим классом данных, не подлежащим 15-минутному правилу, является служба BES Cyber System Information (BCSI), если существуют надлежащие средства управления безопасностью для защиты BCSI. Следующее определение предоставляется NERC:
Сведения о киберсистеме BES (BCSI) — это информация о киберсистеме BES, которую можно использовать для получения несанкционированного доступа или создания угрозы безопасности для киберсистемы BES. Сведения о киберсистеме BES не включают отдельные фрагменты информации, которые сами по себе не представляют угрозы или не могут использоваться для разрешения несанкционированного доступа к киберсистемам BES, таким как, но не ограничивается именами устройств, отдельными IP-адресами без контекста, имен ESP или инструкций политики. Примеры информации о киберсистеме BES могут включать в себя, но не ограничиваются:
- Процедуры безопасности или сведения о безопасности о киберсистемах BES, системах физического контроля доступа и электронных системах контроля доступа или мониторинга, которые не являются общедоступными и могут использоваться для разрешения несанкционированного доступа или несанкционированного распространения
- Коллекции сетевых адресов
- Топология сети киберсистемы BES
NeRC Electric Reliability Organization (ERO) Enterprise выпустила практическое руководство по программе мониторинга соответствия и соблюдения требований (CMEP), чтобы предоставить указания сотрудникам CMEP ERO Enterprise при оценке процесса авторизации доступа зарегистрированного субъекта к определённым местам хранения BCSI и контроля доступа, который этот субъект реализовал.
Рекомендации по соответствию стандартам NERC CIP
Национальный институт стандартов и технологий (NIST ) Специальная публикация (SP) 800-145 определяет следующие модели облачной службы:
- Инфраструктура как услуга (IaaS)
- Платформа как услуга (PaaS)
- Программное обеспечение как услуга (SaaS)
Модель общей ответственности в облаке распределяет ответственность по-разному на основе модели облачной службы. При локальном развертывании в собственном центре обработки данных вы несете ответственность за все слои в стеке. По мере миграции рабочих нагрузок в облако корпорация Майкрософт берет на себя постепенно большую ответственность в зависимости от модели облачной службы. Например, с моделью IaaS ответственность Майкрософт заканчивается на уровне виртуализации (гипервизора). Вы несете ответственность за все слои выше уровня виртуализации, включая обслуживание базовой операционной системы на гостевых виртуальных машинах. После завершения облачных служб в модели SaaS, такой как Microsoft Office 365 или Dynamics 365, корпорация Майкрософт несет ответственность за дополнительные слои в стеке. Однако вы по-прежнему несете ответственность за администрирование службы, включая предоставление надлежащих прав доступа конечным пользователям. Независимо от модели облачной службы вы всегда отвечаете за ваши данные клиента.
Концепция общей ответственности распространяется также на зависимости сертификации и обязательства по соответствию требованиям. Если вы являетесь зарегистрированным юридическим лицом, развертывающим приложения в Azure или Azure для государственных организаций, вы зависите от сертификаций, предоставляемых Майкрософт. Вы в конечном итоге несете ответственность за выполнение обязательств по соответствию CIP NERC. Однако вы наследуете элементы управления безопасностью от базовой облачной платформы и можете рассчитывать на корпорацию Майкрософт для обеспечения соответствия требованиям, применимых к поставщикам облачных служб (CSPS).
Azure и Azure Правительство тщательно проверяются независимыми сторонними аудиторами. Некоторые из этих проверок можно использовать при оценке обязательств по соответствию CIP NERC. В обсуждениях с регулирующими органами NERC независимые сторонние аудиты, перечисленные ниже, были признаны соответствующими и потенциально полезными для зарегистрированных объектов.
- Сертификация и аттестация Security, Trust, Assurance и Risk (STAR) от Cloud Security Alliance (CSA)
- Американский институт сертифицированных государственных бухгалтеров (AICPA) системы и управления организацией (SOC) 2 типа 2 аттестации
- Авторизация Федеральной программы управления рисками и авторизацией США (FedRAMP)
Корпорация Майкрософт поддерживает все три аудита соответствия как для Azure, так и для Azure Правительственного и предоставляет соответствующие документы аудита зарегистрированным организациям.
Требования к соответствию CIP NERC можно устранить во время аудита NERC и в соответствии с моделью общей ответственности за облачные вычисления. Мы считаем, что облачные службы Azure и Azure для государственных организаций можно использовать в соответствии со стандартами NERC CIP. Корпорация Майкрософт готова помочь вам с аудитами NERC, предоставляя документацию по аудиту Azure или Azure для государственного сектора, а также подробности реализации контроля в поддержку требований аудита NERC. Кроме того, корпорация Майкрософт разработала руководство по внедрению облака для аудита NERC, которое является техническим руководством по устранению требований к соответствию neRC CIP для ваших ресурсов Azure. В документе содержатся предварительно заполненные таблицы аудита уровня надежности (RSAWs), которые помогают объяснить, как элементы управления Azure решают требования NERC CIP. Он также содержит рекомендации по использованию служб Azure для реализации элементов управления, принадлежащих вам. Руководство доступно для скачивания существующим клиентам Azure или Azure для государственных организаций в рамках соглашения о неразглашении (NDA) на портале Service Trust (STP). Чтобы получить доступ к этому документу, необходимо войти в STP. Дополнительные сведения см. в статье "Начало работы с порталом доверия служб Майкрософт".
Замечание
Дополнительные сведения о поддержке Azure для стандартов CIP NERC см. в предложении о соответствии Azure NERC.
CSA STAR
Альянс Cloud Security (CSA) является некоммерческой организацией, возглавляемой широкой коалицией отраслевых практиков, корпораций и других важных заинтересованных лиц. Она посвящена определению рекомендаций по обеспечению более безопасной облачной вычислительной среды. CSA помогает потенциальным облачным клиентам принимать обоснованные решения при переходе своих ИТ-операций в облако. CSA поддерживает реестр безопасности, доверия, гарантии и риска (STAR), бесплатный общедоступный реестр, в котором поставщики облачных служб (CSPS) могут публиковать свои оценки, связанные с CSA.
CsA Cloud Controls Matrix (CCM) — это платформа управления, состоящая из 197 целей управления, охватывающих основные принципы безопасности в 17 доменах, которые помогут клиентам облака оценить общий риск безопасности CSP. CCM сопоставляется с отраслевыми стандартами безопасности, нормативными требованиями и платформами управления, такими как ISO 27001, ISO 27017, ISO 27018, NIST SP 800-53, PCI DSS, критерии служб доверия AICPA и другие.
CSA STAR предоставляет два уровня гарантии на основе CCM. CSA STAR Self-Assessment — это вводное предложение на уровне 1, которое бесплатно и открыто для всех поставщиков услуг. Далее в стеке гарантий уровень 2 программы STAR включает сторонние сертификации на основе оценки (например, сертификация CSA STAR и аттестация CSA STAR). Azure и Azure для государственных организаций поддерживают сертификацию CSA STAR, аттестацию CSA STAR и ее представления в реестре STAR, а также проводят самооценку CSA STAR. Дополнительные сведения можно найти здесь
Чтобы скачать материалы по реестру CSA STAR, выполненные для Azure и Azure для государственных организаций, ознакомьтесь с реестром CSA STAR для Microsoft.
SOC 2 Тип 2
Системный и организационный контроль (SOC) для обслуживающих организаций— это отчеты о внутреннем контроле, созданные Американским институтом дипломированных общественных бухгалтеров (AICPA). Они предназначены для проверки служб, предоставляемых служебной организацией, чтобы конечные пользователи могли оценить и устранить риск, связанный с аутсорсинговой службой.
Аттестация SOC 2, тип 2 выполняется при следующих условиях:
- SSAE No. 18, Стандарты аттестации: уточнение и перекодификация, которая включает в себя раздел 105 AT-C, общие понятия для всех обязательств аттестации и AT-C раздел 205, участие в экзаменах (AICPA, профессиональные стандарты).
- Отчет SOC 2 по проверке элементов управления в обслуживающей организации, относящихся к безопасности, доступности, целостности обработки или конфиденциальности (Руководство AICPA).
- Раздел TSP 100, 2017 Критерии служб доверия для безопасности, доступности, целостности обработки и конфиденциальности (AICPA, критерии служб доверия 2017).
По завершении аудита SOC 2 Типа 2 аудитор выносит заключение в отчете SOC 2 Типа 2. В отчете аттестации описывается система поставщика облачных служб (CSP) и оценивается справедливость описания CSP его элементов управления. Он также оценивает, правильно ли разработаны элементы управления CSP, работали ли они на указанной дате и работали эффективно в течение указанного периода времени.
Azure и Azure для государственных организаций проходят тщательные независимые аудиты SOC 2 типа 2, проведенные надежной сертифицированной бухгалтерской фирмой. Полученные отчеты SOC 2 типа 2 относятся к системной безопасности, доступности, целостности обработки, конфиденциальности и приватности. Кроме того, эти отчеты соответствуют требованиям матрицы облачных контролей Cloud Security Alliance (CSA) и Каталога критериев соответствия облачных вычислений (C5:2020) Федерального ведомства по информационной безопасности Германии (BSI). Дополнительные сведения см. в предложении по соответствию требованиям AZURE SOC 2 типа 2.
FedRAMP
Федеральная программа управления рисками и авторизацией США (FedRAMP) была создана в декабре 2011 года, чтобы обеспечить стандартный подход для оценки, мониторинга и авторизации продуктов и служб облачных вычислений. Поставщики облачных сервисов, желающие продавать услуги федеральному агентству США, могут воспользоваться тремя способами, чтобы продемонстрировать соответствие требованиям FedRAMP.
- Получить временную авторизацию на работу (P-ATO) от Объединённого совета по авторизации FedRAMP (JAB).
- Получение авторизации для работы (ATO) от федерального агентства.
- Независимо разрабатывайте предоставленный пакет CSP, соответствующий требованиям программы.
Для каждого из этих путей требуется оценка независимой сторонней организацией оценки (3PAO), аккредитованной этой программой, и строгий технический обзор Офиса управления программой FedRAMP (PMO).
FedRAMP основан на стандарте Национального института стандартов и технологий (NIST) Специальной публикации (SP) 800-53, дополненном контролями FedRAMP и улучшениями управления. Авторизация FedRAMP предоставляется на трех уровнях влияния на основе рекомендаций NIST FIPS 199 : низкий, умеренный и высокий. Эти уровни ранжирует влияние потери конфиденциальности, целостности или доступности в организации: низкий (ограниченный эффект), умеренный (серьезный побочный эффект) и высокий (тяжелый или катастрофический эффект). Число элементов управления в соответствующем базовом плане увеличивается с уровнем влияния, как показано в следующей таблице:
| Базовый план управления FedRAMP | Low | Умеренный | High |
|---|---|---|---|
| Общее количество управлений и их улучшений | 125 | 325 | 421 |
Авторизация FedRAMP High представляет собой высшую степень соответствия требованиям FedRAMP. FedRAMP не является сертификацией на определенный момент времени или аккредитацией, а программой оценки и авторизации. Он поставляется с положениями для непрерывного мониторинга, чтобы гарантировать, что развернутые элементы управления безопасностью в предложении облачной службы (CSO) остаются эффективными в развивающемся ландшафте угроз и изменениях, происходящих в системной среде. CSP должен предоставить различные доказательства для демонстрации непрерывного соответствия, включая отчеты об инвентаризации системы, проверки уязвимостей, план действий и вехи и т. д. FedRAMP является одним из самых строгих и требовательных аудитов, которые может пройти CSP.
Как Azure, так и Azure для государственных организаций поддерживают FedRAMP High P-ATOs, выданные JAB в дополнение к более чем 250 умеренным и высоким ATO (Авторизации на эксплуатацию), выданным отдельными федеральными агентствами для соответствующих служб. Дополнительные сведения см. в предложении по соответствию Azure FedRAMP.
Сравнение базовых показателей среднего контроля FedRAMP и требований стандартов CIP NERC показывает, что базовый план управления FedRAMP Умеренный охватывает все требования CIP NERC. Корпорация Майкрософт разработала руководство по внедрению облака для аудита NERC , включающее сопоставления элементов управления между текущим набором требований к стандартам NERC CIP и базовым показателем управления FedRAMP Moderate, как описано в NIST SP 800-53 ред 4. Руководство по внедрению облачных технологий для проведения аудитов NERC содержит предварительно заполненные листы аудита стандартов надежности (RSAWs), которые помогают объяснить, как механизмы управления Azure соответствуют требованиям NERC CIP. Он также содержит рекомендации по использованию служб Azure для реализации элементов управления, принадлежащих вам. Вы можете скачать руководство по реализации облака для аудита NERC в соответствии с соглашением о неразглашении (NDA) на портале управления безопасностью служб (STP). Чтобы получить доступ к этому документу, необходимо войти в STP. Дополнительные сведения см. в статье "Начало работы с порталом доверия служб Майкрософт".
Существует множество веских причин, по которым зарегистрированная сущность, которая подпадает под обязательства по соответствию NERC CIP, может захотеть использовать существующий FedRAMP P-ATO или ATO при оценке состояния безопасности облачных услуг.
- Повторное создание установленного стандарта NIST SP 800-53 и программы оценки и авторизации FedRAMP будет значительной задачей.
- FedRAMP уже существует, и она является принятой платформой для федеральных государственных учреждений США при оценке облачных служб.
- В Соединенных Штатах FERC утверждает стандарты NERC CIP. Как федеральное агентство США, FERC использует FedRAMP при оценке облачных служб для своих собственных потребностей в облачных вычислениях. Выбор FedRAMP в качестве пути для обеспечения соответствия для ПОСТАВЩИКОВ будет согласован с подходом, принятым FERC и другими государственными учреждениями США.
- В Канаде федеральная, провинциальная и территориальная подгруппа по мониторингу и обеспечению соблюдения разрабатывает сводки по провинциям для обеспечения соблюдения стандартов CIP в канадских юрисдикциях. Правительство Канады выравнило свой профиль управления безопасностью для облачных служб с Умеренным профилем управления безопасностью FedRAMP, чтобы максимально повысить интероперабельность облачных служб и повторное использование доказательств авторизации, созданных поставщиками облачных услуг.
- FedRAMP использует подробный аудит с обязательными положениями для непрерывного мониторинга. Она предоставляет зарегистрированным организациям или предприятиям надежные гарантии, что аудированные средства контроля действуют эффективно.
- NERC заинтересована в том, чтобы зарегистрированные сущности могли внедрять новые технологии, включая облачные вычисления. Учитывая количество зарегистрированных организаций, которые подпадают под обязательства по соответствию CIP NERC, для CSP не представляется возможным проводить аудиты, инициированные отдельными организациями. Вместо этого использование существующей авторизации FedRAMP обеспечивает масштабируемый и эффективный подход для соблюдения требований аудита NERC для облачных поставщиков услуг (CSP).
Предыдущее обоснование относится только к поставщикам облачных служб. Он не изменяет связь между NERC и зарегистрированными сущностями. Существующие обязательства по соответствию CIP NERC останутся неизменными, и за них по-прежнему будут отвечать зарегистрированные организации.
NERC ERO Enterprise выпустил руководство по программе мониторинга соблюдения и обеспечения исполнения (CMEP), чтобы предоставить руководство сотрудникам ERO Enterprise CMEP при оценке процесса авторизации доступа зарегистрированной сущности к указанным расположениям хранилища BCSI и любым элементам управления доступом, реализованным зарегистрированной сущностью. Кроме того, NERC рассмотрел сведения о реализации контроля Azure и доказательства аудита FedRAMP, связанные с NERC CIP-004-6 и CIP-011-2 стандартами, применимыми к BCSI. Основываясь на руководстве по практике CMEP, выпущенном ERO Enterprise, и пересмотренных элементах управления FedRAMP, чтобы убедиться, что зарегистрированные субъекты шифруют свои данные, для развертывания BCSI и связанных рабочих нагрузок в облаке не требуется дополнительных рекомендаций или разъяснений. Однако зарегистрированные сущности в конечном счете отвечают за соответствие стандартам NERC CIP в соответствии со своими собственными фактами и обстоятельствами. Зарегистрированные субъекты должны ознакомиться с руководством по облачной реализации для аудитов NERC в целях документирования своих процессов и доказательств, используемых для авторизации электронного доступа к местам хранения BCSI, включая управление ключами шифрования, которые используются для шифрования BCSI в Azure и Azure для государственных организаций.
Ограничения на доступ инсайдеров
Корпорация Майкрософт принимает строгие меры по защите данных клиентов от неправильного доступа или использования неавторизованными лицами. Доступ к данным клиента не требуется для работы Azure и Azure для государственных организаций, а инженеры Майкрософт не имеют доступа по умолчанию к данным клиентов в облаке. Вместо этого они получают доступ под контролем управления только при необходимости. Данные клиента включают данные, подлежащие защите стандартов NERC CIP. Дополнительные сведения см. в разделе "Ограничения на внутренний доступ"
проверка биографических данных
Требования к фоновому скринингу описаны в NERC CIP-004-6 в разделе:
- R2: формальное обучение
- R3: оценки рисков персонала
- R4: авторизация доступа
Требования применяются к персоналу поддержки и эксплуатации с доступом к защищенным ресурсам и данным NERC CIP. Зарегистрированные сущности включили эти требования в свою политику в соответствии с целями, предоставляемыми стандартами NERC CIP.
Некоторые зарегистрированные организации, возможно, включили требования об ограничении доступа к данным гражданам США в свои политики также. Ядерные коммунальные компании также могут быть подвержены требованиям к контролю экспорта, утвержденным Департаментом энергетики (DoE) в рамках 10 CFR часть 810 и администрируются Национальной администрацией по ядерной безопасности (NNSA). Помимо прочего, эти требования применяются для предотвращения экспорта неклассифицированной ядерной технологии и помощи иностранным лицам.
Все сотрудники Azure и Azure для государственных организаций в США подвергаются проверкам на фоновые данные Майкрософт. Персонал с возможностью доступа к данным клиента для устранения неполадок в Azure для государственных организаций также подлежит проверке граждан США и дополнительному скринингу, если это необходимо. Дополнительные сведения см. в разделе "Скрининг".
Обучение и осведомленность о информационной безопасности предоставляются всем специалистам по проектированию Azure и Azure для государственных организаций на постоянной основе. Цель этого обучения заключается в обучении инженерного персонала применимым политикам, стандартам и методам информационной безопасности. Все инженерные сотрудники должны завершить обучение на основе компьютера при присоединении к команде. Кроме того, все сотрудники участвуют в обязательном обучении по безопасности, соблюдению норм и конфиденциальности, проводимом ежегодно. Обучение также охватывается элементами управления во многих гарантиях соответствия требованиям, применимых к Azure и Azure для государственных организаций, включая сертификацию CSA STAR, аттестацию SOC 2 типа 2 и авторизацию FedRAMP.
Аспекты логической изоляции
Облачная платформа с несколькими клиентами подразумевает, что несколько клиентских приложений и данных хранятся на одном физическом оборудовании. Azure и Azure для государственных организаций используют логическую изоляцию для разделения приложений и данных, принадлежащих разным клиентам. Этот подход обеспечивает масштаб и экономические преимущества мультитенантных облачных служб, строго применяя меры контроля, предназначенные для предотвращения доступа клиентов к данным или приложениям друг друга. Дополнительные сведения см. в руководстве Azure по безопасной изоляции. Если вы переносите традиционную локальную физически изолированную инфраструктуру в облако, ознакомьтесь с рекомендациями по логической изоляции.
Идентификация и доступ
Идентификатор Microsoft Entra — это репозиторий удостоверений и облачная служба, которая обеспечивает проверку подлинности, авторизацию и управление доступом для пользователей, групп и объектов организации. Идентификатор Microsoft Entra можно использовать в качестве автономного облачного каталога или в качестве интегрированного решения с существующим локальным Active Directory для включения ключевых корпоративных функций, таких как синхронизация каталогов и единый вход. Разделение учетных записей, используемых для администрирования облачных приложений, крайне важно для достижения логической изоляции. Изоляция учетных записей в Azure достигается с помощью идентификатора Microsoft Entra и ее возможностей для поддержки детального управления доступом на основе ролей Azure (RBAC). Идентификатор Microsoft Entra реализует обширные функции защиты данных, включая изоляцию клиента и управление доступом, операционные рекомендации по работе с данными для предварительного доступа и многое другое.
Дополнительные сведения см. в разделе идентификационного изолирования.
Управление ключами шифрования данных
Службы Azure используют проверенные модули шифрования FIPS 140 в базовой операционной системе. В службах Azure есть широкий спектр вариантов шифрования данных при передаче и хранении. Вы можете управлять ключами шифрования данных с помощью Azure Key Vault, который может хранить ключи шифрования в проверенных аппаратных модулях безопасности FIPS 140 (HSM). Ключи, управляемые клиентом (CMK), можно использовать с Azure Key Vault, чтобы иметь единственный контроль над ключами шифрования, хранящимися в HSM. Ключи, созданные внутри HSM Azure Key Vault, не экспортируются. Нет четкой текстовой версии ключа за пределами HSM. Эта привязка применяется базовым HSM. Кроме того, Azure Key Vault разработан, развернут и работает таким образом, чтобы корпорация Майкрософт и ее агенты не видели или не извлекали криптографические ключи.
Вы несете ответственность за выбор регионов Azure для развертывания приложений и данных. Кроме того, вы несете ответственность за проектирование приложений для использования сквозного шифрования данных, соответствующего стандартам CIP NERC. Корпорация Майкрософт не проверяет или не утверждает ваши приложения Azure.
Дополнительные сведения см. в разделе "Управление ключами шифрования данных".
Изоляция вычислений
Платформа вычислений Microsoft Azure основана на виртуализации машин. Этот подход означает, что ваш код — выполняется ли он в рабочей роли PaaS или виртуальной машине IaaS— выполняется на виртуальной машине, размещенной гипервизором Windows Server Hyper-V. Azure обеспечивает обширную поддержку разделения клиентов с помощью логической изоляции. Помимо надежной логической изоляции вычислительных ресурсов, доступной для всех клиентов Azure, можно также использовать выделенный узел Azure или изолированные виртуальные машины для обеспечения физической изоляции вычислительных ресурсов. С помощью этого подхода виртуальные машины развертываются на физическом оборудовании, выделенном для вас.
Дополнительные сведения см. в разделе "Изоляция вычислений".
Изоляция сети
Логическая изоляция инфраструктуры клиента в общедоступном мультитенантном облаке имеет важное значение для обеспечения безопасности. Принцип иерархии для виртуализированного решения заключается в том, чтобы разрешить только подключения и связи, необходимые для работы этого виртуализированного решения, блокируя все остальные порты и подключения по умолчанию. Виртуальная сеть Azure помогает гарантировать, что частный сетевой трафик логически изолирован от трафика, принадлежащий другим клиентам. Виртуальные машины в одной виртуальной сети не могут напрямую взаимодействовать с виртуальными машинами в другой виртуальной сети, даже если обе виртуальные сети создаются одним клиентом. Сетевая изоляция гарантирует, что обмен данными между виртуальными машинами остается закрытым в виртуальной сети. Существует несколько вариантов подключения виртуальных сетей в зависимости от параметров подключения, включая пропускную способность, задержку и требования к шифрованию.
Azure предоставляет множество вариантов шифрования данных при передаче. Шифрование данных при передаче изолирует сетевой трафик от другого трафика и помогает защитить данные от перехвата.
Дополнительные сведения см. в разделе "Изоляция сети".
Изоляция хранилища
Microsoft Azure отделяет вычислительные ресурсы на основе виртуальных машин от хранилища в рамках своей базовой разработки. Разделение позволяет вычислениям и хранилищу масштабироваться независимо, что упрощает обеспечение многотенантности и изоляции. Поэтому служба хранилища Azure выполняется на отдельном оборудовании без сетевого подключения к службе вычислений Azure, за исключением логических подключений.
Azure предоставляет широкие возможности шифрования неактивных данных, чтобы обеспечить защиту данных и обеспечить соответствие стандартам NERC CIP с помощью ключей шифрования, управляемых корпорацией Майкрософт, и ключей шифрования, управляемых клиентом. Этот процесс использует несколько ключей шифрования и служб, таких как Azure Key Vault и Идентификатор Microsoft Entra, чтобы обеспечить безопасный доступ к ключам и централизованное управление ключами.
Дополнительные сведения см. в разделе изоляции хранилища.
Сводка
Microsoft Azure и Azure для государственных организаций — это многопользовательские платформы облачных услуг, доступные для электрических коммунальных услуг и других зарегистрированных организаций. Облачная платформа с несколькими клиентами подразумевает, что несколько клиентских приложений и данных хранятся на одном физическом оборудовании. Azure и Azure для государственных организаций используют логическую изоляцию для разделения приложений и данных, принадлежащих разным клиентам. Этот подход обеспечивает масштаб и экономические преимущества мультитенантных облачных служб, строго применяя меры контроля, предназначенные для предотвращения доступа клиентов к данным или приложениям друг друга. В следующей таблице приведены основные рекомендации по внедрению облака. И Azure, и Azure для государственных организаций подходят для зарегистрированных организаций, развертывающих определенные рабочие нагрузки в соответствии со стандартами NERC CIP.
| Требование | Лазурный | Azure для государственных организаций |
|---|---|---|
| Данные, подлежащие соответствию стандартам CIP NERC | ✅ | ✅ |
| Данные должны находиться в континентальной части США | ✅ | ✅ |
| Сертификация CSA STAR и аттестация CSA STAR | ✅ | ✅ |
| Аттестация AICPA SOC 2 Тип 2 | ✅ | ✅ |
| Высокий уровень авторизации FedRAMP | ✅ | ✅ |
| Проверка данных через облако Microsoft | ✅ | ✅ |
| Требовать американских лиц для персонала по операциям | ❌ | ✅ |
Текущие определения CIP NERC уделяют большое внимание физическим ресурсам в периметре электронной безопасности (например, конкретный термин "на этих устройствах" , ссылающийся на BES Cyber Assets), и не делают никаких положений для ключевых облачных концепций, таких как виртуализация и многотенантность. Для правильного размещения кибер-активов BES и защищенных кибер-активов в облачных вычислениях необходимо будет пересмотреть существующие определения в стандартах NERC CIP. Однако существует множество рабочих нагрузок, занимающиеся конфиденциальными данными CIP, которые не попадают под правило 15 минут, касающееся влияния кибер-актива BES на надежную работу Объемной Электрической Системы. Одна из таких широких категорий данных включает в себя данные BES Cyber System Information (BCSI), если существуют надлежащие средства управления безопасностью для защиты BCSI.
NERC ERO Enterprise выпустил руководство по программе мониторинга соблюдения и обеспечения исполнения (CMEP), чтобы предоставить руководство сотрудникам ERO Enterprise CMEP при оценке процесса авторизации доступа зарегистрированной сущности к указанным расположениям хранилища BCSI и любым элементам управления доступом, реализованным зарегистрированной сущностью. Кроме того, NERC рассмотрел сведения о реализации контроля Azure и доказательства аудита FedRAMP, связанные с NERC CIP-004-6 и CIP-011-2 стандартами, применимыми к BCSI. Основываясь на руководстве по практике CMEP, выпущенном ERO Enterprise, и пересмотренных элементах управления FedRAMP, чтобы убедиться, что зарегистрированные субъекты шифруют свои данные, для развертывания BCSI и связанных рабочих нагрузок в облаке не требуется дополнительных рекомендаций или разъяснений. Однако зарегистрированные сущности в конечном счете отвечают за соответствие стандартам NERC CIP в соответствии со своими собственными фактами и обстоятельствами. Зарегистрированные субъекты должны ознакомиться с руководством по облачной реализации для аудитов NERC в целях документирования своих процессов и доказательств, используемых для авторизации электронного доступа к местам хранения BCSI, включая управление ключами шифрования, которые используются для шифрования BCSI в Azure и Azure для государственных организаций.
Как Azure, так и Azure для государственных организаций имеют комплексные средства контроля безопасности и покрытия соответствия требованиям, чтобы обеспечить надежную гарантию защиты данных и приложений клиентов. Azure для государственных организаций — это облако сообщества для государственных организаций США, которое физически отделяется от облака Azure. Он обеспечивает дополнительный уровень защиты зарегистрированных организаций через договорные обязательства относительно хранения данных клиентов в Соединенных Штатах и ограничения потенциального доступа к системам, обрабатывающим данные клиентов, для отобранных лиц США. Кроме того, Azure для государственных организаций доступна только в США для зарегистрированных в США организаций. Зарегистрированные в США организации имеют право на подключение к Azure для государственных организаций, указав в своей заявке «NERC Compliance Entity».
Ядерные электрические коммунальные услуги также могут быть подвержены требованиям к контролю экспорта DoE 10 CFR части 810 по неклассифицированной ядерной технологии и помощи. Azure для государственных организаций предназначен для соблюдения конкретных требований контроля доступа к информации и системам гражданами США. Это обязательство не применяется в Azure, поэтому клиенты, развертывающие в Azure, должны проводить правильную оценку риска, чтобы определить, следует ли развертывать дополнительные технические меры для защиты данных, которые не должны быть раскрыты иностранным лицам.
Зарегистрированные организации, подлежащие обязательствам по соблюдению стандартов NERC CIP, могут использовать существующие аудиты, применимые к облачным услугам, при оценке уровня безопасности предлагаемого облачного сервиса, включая программу Cloud Security Alliance STAR, аттестацию SOC 2 типа 2 и авторизацию FedRAMP. Например, FedRAMP использует подробный аудит с обязательными положениями для непрерывного мониторинга. Она предоставляет зарегистрированным организациям или предприятиям надежные гарантии, что аудированные средства контроля действуют эффективно. Сравнение контрольной базы FedRAMP умеренного уровня и требований стандартов CIP NERC показывает, что контрольная база FedRAMP умеренного уровня охватывает все требования стандартов CIP NERC. FedRAMP не заменяет стандарты NERC CIP и не снимает с зарегистрированных организаций ответственность за выполнение обязательств по соблюдению NERC CIP. Скорее, существующая авторизация FedRAMP поставщика облачных служб может предоставить уверенность в том, что доказательства контроля на основе NIST, сопоставленные с требованиями стандартов NERC CIP, за которые несет ответственность поставщик облачных служб, уже была проверена аккредитованным аудитором FedRAMP.
Если вы являетесь зарегистрированной сущностью, рассматривающей аудит NERC, ознакомьтесь с руководством по реализации облака Майкрософт для аудита NERC, которое предоставляет подробные технические инструкции, которые помогут вам решить требования к соответствию NERC CIP для ваших активов Azure. Он содержит сопоставления мер контроля между текущим набором стандартов NERC CIP и базовым уровнем контроля FedRAMP умеренной категории, как это описано в NIST SP 800-53 рев. 4. Кроме того, предоставляется полный набор документации по аудитам стандартов надежности (RSAWs) с подробными сведениями о реализации контролей Azure, чтобы объяснить, как Microsoft удовлетворяет требованиям стандартов NERC CIP для контролей, которые являются частью ответственности поставщика облачных услуг. Кроме того, предоставляется руководство по использованию служб Azure для реализации элементов управления, принадлежащих вам. Руководство доступно для скачивания существующим клиентам Azure или Azure для государственных организаций в рамках соглашения о неразглашении (NDA) на портале Service Trust (STP). Чтобы получить доступ к этому документу, необходимо войти в STP. Дополнительные сведения см. в статье "Начало работы с порталом доверия служб Майкрософт".
Если вы являетесь зарегистрированной сущностью, которая подлежит соблюдению стандартов NERC CIP, вы также можете обратиться в корпорацию Майкрософт за помощью по аудиту, включая предоставление документации по аудиту Azure или Azure для государственных организаций и сведения о внедрении для соответствия требованиям аудита NERC. Обратитесь за помощью к группе учетных записей Майкрософт. Вы в конечном итоге несете ответственность за выполнение обязательств по соответствию CIP NERC.
Дальнейшие шаги
- Приобретение и доступ к Azure для государственных организаций
- Рекомендации Azure по безопасной изоляции
- Соответствие требованиям Azure для государственных организаций
- Безопасность Azure для государственных учреждений
- Соответствие Azure нормативным требованиям
- Сертификация Azure CSA STAR
- Аттестация Azure CSA STAR
- Предложение соответствия требованиям Azure SOC 2 типа 2
- Предложение по соответствию Требованиям Azure FedRAMP
- NIST SP 800-53Средства управления безопасностью и конфиденциальностью для информационных систем и организаций
- Североамериканская корпорация по обеспечению надежности электросетей (NERC)
- Стандарты защиты критически важной инфраструктуры (CIP) NERC
- Руководство по соответствию NERC
- Глоссария терминов NERC
- Зарегистрированные объекты NERC