Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор самостоятельной оценки CSA STAR
Cloud Security Alliance (CSA) — это некоммерческая организация, управляемая широким объединением отраслевых специалистов, организаций и других важных заинтересованных лиц. Он посвящает себя определению рекомендаций, которые помогут обеспечить более безопасную среду облачных вычислений и помочь потенциальным клиентам в облаке принимать обоснованные решения при переносе своих ИТ-операций в облако.
В 2010 г. CSA опубликовала набор средств для оценки облачных ИТ-операций: стек для управления CSA, управления рисками и соответствия требованиям (GRC). Он разработал стек, чтобы помочь облачным клиентам оценить, как поставщики облачных служб (CSP) следуют лучшим отраслевым методикам и стандартам и соответствуют нормативным требованиям.
В 2013 г. CSA и Британский институт стандартов создали реестр безопасности, доверия и гарантий (STAR) — бесплатный общедоступный реестр, в котором CSP могут публиковать свои оценки, связанные с CSA.
Реестр CSA STAR основан на двух основных компонентах стека CSA GRC:
- Облачная матрица управления (CCM) — платформа элементов управления, включающая фундаментальные принципы защиты в 16 областях для помощи облачным клиентам в оценке общей угрозы безопасности CSP.
- Анкета инициативы по оценке консенсуса (CAIQ) — набор из более чем 140 вопросов на основе CCM, которые клиент или облачный аудитор может захотеть задать поставщикам услуг для оценки их соответствия рекомендациям CSA.
STAR обеспечивает три уровня гарантии. CSA-STAR Self-Assessment — это вводное предложение на уровне 1, которое бесплатно и открыто для всех поставщиков услуг. Следующий в стеке уровень 2 программы STAR включает сертификацию на основе независимой оценки, а уровень 3 предусматривает сертификацию на основе непрерывного мониторинга.
Майкрософт и самостоятельная оценка CSA STAR
В рамках самостоятельной оценки STAR поставщики облачных служб могут предоставить два разных типа документов, чтобы продемонстрировать свое соответствие рекомендациям CSA: заполненную анкету CAIQ или отчет, демонстрирующий соответствие требованиям CCM. Для самостоятельной оценки CSA STAR корпорация Майкрософт опубликовала анкету CAIQ и отчет на основе CCM для Microsoft Azure, а также отчеты на основе CCM для Microsoft Dynamics 365 и Microsoft Office 365.
Microsoft in-область облачные платформы и службы
- Azure и Azure для государственных организаций
- Dynamics 365
- Microsoft 365
Самостоятельная оценка Azure, Dynamics 365 и CSA STAR
Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение самостоятельной оценки Azure CSA STAR.
Самостоятельная оценка Microsoft 365 и CSA STAR
Среды Microsoft 365
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость и область службы Microsoft 365
Используйте следующую таблицу, чтобы определить применимость для служб и подписки Microsoft 365:
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Exchange Online, Exchange Online Protection, клиентский портал Microsoft 365, Office Online, инфраструктура служб Office, OneDrive для бизнеса, SharePoint Online |
Вопросы и ответы
Каким отраслевым стандартам соответствует CSA CCM?
CCM соответствует отраслевым стандартам безопасности, нормативам и платформам управления, таким как ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST и т. д. Актуальный список см. на веб-сайте CSA.
Почему важна самостоятельная оценка CSA STAR?
Она позволяет CSP прозрачно документировать соответствие опубликованным рекомендациям CSA. Отчеты самостоятельной оценки являются общедоступными. Это помогает облачным клиентам получить представление о методах обеспечения безопасности CSP и сравнить разных поставщиков CSP, используя одинаковую основу.
Какой уровень контроля качества CSA STAR получил Office 365?
- Уровень 1: Самостоятельная оценка CSA STAR — это дополнительное предложение от поставщиков облачных служб для регистрации их элементов управления безопасностью, помогающее пользователям оценить безопасность службы.
Ресурсы Microsoft 365
- Альянс облачной безопасности — Microsoft 365
- Облачная матрица управления (CCM)
- Анкета для общей оценки (CAIQ)
- Реестр безопасности, доверия и гарантий (STAR) CSA
- Соответствие требованиям в центре управления безопасностью Майкрософт
Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска
Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.