Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Методология оценки CyberGRX определяет как присущий, так и остаточный риск. Он использует анализ угроз практически в реальном времени и независимую проверку доказательств, чтобы предоставить клиентам целостное представление о своих сторонних кибер-рисках.
CyberGRX является первым и крупнейшим в мире совместным обменом рисками. Аналитическая методология CyberGRX создает аналитику угроз и сложные модели риска на основе только одной проверенной оценки. Благодаря аналитическим сведениям о рисках, связанных с безопасностью и конфиденциальностью данных, оценка CyberGRX предоставляет не только подробные аналитические сведения об остаточных рисках, но и объединяет моделирование сценариев атак и цепочку ATT MITRE&CK для мониторинга развивающихся тактик и методов в ландшафте угроз.
Microsoft и CyberGRX
CyberGRX, используя своих стратегических партнеров Deloitte, Touche и KPMG, проверил и сообщил об оценке Microsoft Cloud, которая состоит из более чем 1000 контрольных вопросов и соответствующих ответов Майкрософт. CyberGRX решает присущие ей риски, отраслевые аналитики угроз и сценарии реальных атак. Такой подход дает клиентам возможность проверить состояние безопасности Майкрософт с помощью внешних доказательств, чтобы получить результаты, ориентированные на риск, а не простое соответствие требованиям.
Корпорация Майкрософт понимает необходимость использования нашими клиентами эффективных средств, чтобы помочь их организации быстро оценивать риски, включая оценку потенциальных рисков, которые они могут предположить из-за использования сторонних поставщиков для ключевых служб, таких как мы. Корпорация Майкрософт, являющаяся одним из крупнейших поставщиков облачных услуг в мире, понимает, что наша клиентская база обширна и разнообразна, и что эти клиенты имеют различные приоритеты и приходят из различных отраслей. Масштабирование в соответствии с этими разнообразными потребностями требует, чтобы корпорация Майкрософт искала эффективные методы для расширения и расширения нашей способности делиться ключевыми знаниями, чтобы помочь всем клиентам с их приоритетами в области безопасности, независимо от того, какие облачные службы Майкрософт они используют. Сотрудничество со сторонними оценочными фирмами, такими как CyberGRX, является одним из способов помочь нашим клиентам быть проворными в их стремлении к оценке рисков.
Модель CyberGRX предоставляет организациям, заинтересованным в реализации управления безопасностью Microsoft Cloud, возможность выбирать элементы управления, которые они больше всего интересуют, и предоставляет проверенные ответы для их проверки. Корпорация Майкрософт использует эту модель, так как мы также можем быть ловкими в нашей способности предоставлять обновления, а наши ответы доступны любому участнику обмена CyberGRX, предоставляя клиентам больше доступа к этой ключевой информации. Короче говоря, CyberGRX помогает корпорации Майкрософт охватить больше клиентов с потребностями оценки рисков и подчеркивает нашу приверженность прозрачности и безопасности.
Кроме того, клиенты могут использовать функцию Mapper Платформы CyberGRX для сопоставления наших средств оценки и ответов с известными отраслевыми стандартами и платформами, такими как NIST 800-53, NIST Cybersecurity Framework (CSF),ISO 27001, PCI DSS, HIPAA, которые могут значительно снизить нагрузку на тщательную осмотрительность.
Microsoft in-область облачные платформы и службы
- Azure
- Microsoft Dynamics 365
- Microsoft 365
- Power Platform
Полный список веб-службы Майкрософт в область аудита CyberGRX см. в следующих разделах:
- Microsoft Azure предложения по соответствию требованиям или отчет об аттестации SOC 2 типа 2 Azure.
- Azure DevOps Services.
- Документация по Microsoft 365 SOC 2.
Microsoft 365 (Office 365) и CyberGRX
Среды Microsoft 365
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость и область службы Microsoft 365
Используйте следующую таблицу, чтобы определить применимость для служб и подписки Microsoft 365:
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Cortana, Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online Pro, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Планировщик (Майкрософт), Microsoft Microsoft Stream, Microsoft Teams (включая bookings, lists и shifts), Microsoft To-Do, Microsoft Defender для Office 365, Microsoft 365 Video, Office для Интернета, OneDrive, Project, SharePoint Online Online, Sway, Доска, Viva Engage |
Аудит, отчеты и сертификаты
Чтобы получить бесплатный отчет об оценке CyberGRX в Microsoft Cloud, заполните эту форму.
Методика реализации
- Варианты использования финансовых средств. Обзор вариантов использования, учебники и другие ресурсы для создания облачных решений Microsoft для финансовых служб.
- Регулирование рынка финансовых услуг США: насколько сетевые службы Майкрософт соответствуют основным ожиданиям финансовых учреждений США с точки зрения соответствия нормативным требованиям.
Вопросы и ответы
Дополнительные сведения о методологии проверки CyberGRX, модели оценки зрелости и других связанных областях см. в разделе Часто задаваемые вопросы об оценке безопасности.
Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска
Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.