Поделиться через


Основные вопросы соблюдения требований и безопасности для энергетической отрасли

Иллюстрированная метафора глобального изображения различных отраслей, использующих облако.

Введение

Энергетическая отрасль обеспечивает общество топливом и важной инфраструктурой, ежедневно используемой людьми. Чтобы обеспечить надежность инфраструктуры, связанной с разнообразными энергосистемами, законодательные органы применяют строгие стандарты к организациям энергетической отрасли. Эти нормативные стандарты относятся не только к производству и передаче электроэнергии, но и к данным и коммуникациям, необходимым для повседневной работы энергетических компаний.

Организации в энергетической отрасли работают с различными типами информации и обмениваются ими в рамках обычной работы. Эта информация включает данные клиентов, документацию по проектированию капитальных работ, карты расположения ресурсов, артефакты управления проектами, метрики производительности, отчеты о полевых службах, данные об окружающей среде и метрики производительности. По мере того как эти организации стремятся преобразовать свои операционные системы и системы совместной работы в современные цифровые платформы, они ищут Майкрософт в качестве надежного поставщика облачных служб (CSP) и Microsoft 365 в качестве лучшей в своем роде платформы для совместной работы. Поскольку Microsoft 365 построена на платформе Microsoft Azure, организациям следует изучить обе платформы, учитывая соответствие требованиям и средства безопасности при переходе в облако.

В Северной Америке Северо-американская корпорация по надежности электроснабжения (NERC) внедряет стандарты надежности, называемые стандартами Защиты критической инфраструктуры (CIP) NERC. NERC находится под контролем Федеральной комиссии по регулированию энергетики США (FERC) и правительственных органов в Канаде. Все владельцы, операторы и пользователи систем электроснабжения должны зарегистрироваться в NERC и соблюдать стандарты NERC CIP. На поставщиков облачных служб и сторонних поставщиков, таких как Майкрософт, не распространяются стандарты NERC CIP. Однако стандарты CIP включают в себя цели, которые следует учитывать при использовании Зарегистрированными организациями поставщиков для эксплуатации крупной энергосистемы (BES). Клиенты Майкрософт, работающие с крупными энергосистемами, несут полную ответственность за соблюдение стандартов NERC CIP.

Сведения об облачных службах Майкрософт и NERC см. в следующих ресурсах:

Нормативные стандарты, рекомендуемые для учета энергетическими организациями, включают программу FedRAMP (Федеральная программа управления рисками и авторизацией США), основанную на стандарте NIST SP 800-53 ред. 4 (Национальный институт стандартов и технологий) и дополняющую его.

  • Службы Microsoft Office 365 и Office 365 для государственных организаций США получили FedRAMP ATO (Разрешение на выполнение операций) уровня среднего воздействия.
  • Службы Azure и Azure для государственных организаций получили уровень FedRAMP High P-ATO (Временное разрешение на выполнение операций), представляющий максимальный уровень авторизации FedRAMP.

Сведения об облачных службах Майкрософт и FedRAMP см. в следующих ресурсах:

Эти достижения важны для энергетической отрасли, так как сравнение набора средств контроля среднего уровня FedRAMP и требований NERC CIP показывает, что средства контроля среднего уровня FedRAMP включают все требования NERC CIP. Дополнительные сведения можно найти в разработанном корпорацией Майкрософт Руководстве по облачной реализации для аудитов NERC, куда входит контрольный список сопоставления между текущим набором стандартов NERC CIP и набором средств контроля FedRAMP среднего уровня, как описано в NIST 800-53 ред. 4.

При необходимости модернизации платформ совместной работы в энергетической отрасли требуется тщательно продумать настройку и развертывание инструментов для совместной работы и управления безопасностью, включая следующее:

  • Оценка распространенных сценариев совместной работы
  • Доступ к данным, требующимся сотрудникам для эффективной работы
  • Соответствие нормативным требованиям
  • Риски связанные с данными, клиентами и организацией

Microsoft 365 является современной облачной средой для рабочего места. Она обеспечивает безопасное и гибкое взаимодействие на предприятии, содержит элементы управления и средства применения политики, позволяющие придерживаться даже самых строгих рамок соответствия нормативным требованиям. В следующих статьях в этом документе рассматривается, как Microsoft 365 помогает энергетической отрасли перейти на современную платформу для совместной работы, обеспечивая безопасность данных и систем и соответствие нормативным требованиям.

  • Предоставление комплексной платформы для совместной работы с помощью Microsoft Teams
  • Обеспечение безопасной совместной работы с соответствием требованиям в энергетической отрасли
  • Определение конфиденциальных данных и защита от потери данных
  • Управление данными путем эффективного управления записями
  • Соблюдение нормативных требований FERC и FTC для энергетических рынков
  • Защита от кражи данных и внутренних рисков

Будучи партнером Майкрософт, компания Protiviti внесла свой вклад и предоставила значимый отзыв для этой статьи.

Предоставление комплексной платформы для совместной работы с помощью Microsoft Teams

Для совместной работы обычно требуются разные формы общения, возможность хранить документы и получать к ним доступ, а также возможность при необходимости интегрировать другие приложения. Независимо от того, являются ли они глобальными предприятиями или местными компаниями, сотрудники энергетического сектора обычно должны сотрудничать и общаться с членами других отделов или между командами. Часто им также приходится общаться с внешними партнерами, поставщиками и клиентами. Поэтому обычно не рекомендуется использовать системы, ведущие к информационной изоляции подразделений или затрудняющие совместное использование сведений. С учетом этого мы по-прежнему хотим гарантировать, что сотрудники делятся информацией безопасным образом и в соответствии с политикой.

Предоставление сотрудникам современной облачной платформы для совместной работы, которая позволяет им выбирать и легко интегрировать средства, которые делают их наиболее продуктивными, позволяет им находить лучшие способы работы и совместной работы. Использование Microsoft Teams в сочетании со средствами управления безопасностью и политиками управления для защиты организации упрощает взаимодействие сотрудников в облаке.

Microsoft Teams предоставляет организации центр взаимодействия, объединяющий людей для совместной работы с коллегами над общими инициативами или проектами. Это позволяет участникам группы вести беседы, совместно работать с документами и соавторами. Это позволяет пользователям хранить файлы и обмениваться ими с участниками внутри команды или за ее пределами. Кроме того, это позволяет им проводить собрания в режиме реального времени с встроенными возможностями корпоративной голосовой связи и видео. Microsoft Teams можно настроить для удобного доступа к приложениям Майкрософт, таким как Планировщик, Dynamics 365, Power BI, и другим сторонним бизнес-приложениям. Teams упрощает доступ к службам Office 365 и сторонним приложениям, чтобы централизовать совместную работу и потребности общения для организации.

Каждая команда Microsoft Teams имеет резервную группу Office 365. Группа Office 365 считается поставщиком участников для служб Office 365, включая Microsoft Teams. Группы Office 365 используются для безопасного управления тем, какие пользователи считаются участниками, а какие – владельцами группы. Такая конструкция позволяет легко контролировать, какие пользователи имеют доступ к различным возможностям в Teams. В результате участники группы и владельцы могут получить доступ только к возможностям, которые им разрешено использовать.

Распространенным сценарием, при котором Microsoft Teams может принести пользу энергетическим компаниям, является совместная работа с подрядчиками и внешними организациями в рамках программ выездного обслуживания, например для контроля растительности. Подрядчики обычно привлекаются для контроля растительности или удаления деревьев вокруг объектов энергосистемы. Им часто приходится получать рабочие инструкции, общаться с диспетчерами и другим персоналом полевых служб, фотографировать и делиться фотографиями внешнего окружения, выходить из нее после завершения работы и обмениваться данными с головным офисом. Обычно эти программы запускаются с помощью телефонных, текстовых, бумажных заказов на работу или пользовательских приложений. Этот метод может представлять множество проблем. Например:

  • Процессы выполняются вручную или аналоговыми средствами, что затрудняет отслеживание показателей
  • Не все сообщения записываются в одном месте
  • Данные обособлены и не всегда распространяются для всех сотрудников, которым они требуются
  • Работа может выполняться не согласованно или эффективно
  • Пользовательские приложения не интегрированы со средствами совместной работы, что затрудняет извлечение и совместное использование данных или измерение производительности

Microsoft Teams предоставляет удобное место для совместной работы, чтобы безопасно обмениваться информацией и вести беседы между участниками команд и внешними полевыми подрядчиками, предоставляющими услуги. Microsoft Teams можно использовать для проведения собраний, выполнения голосовых звонков, централизованного хранения нарядов на выполнение работ и предоставления к ним общего доступа, сбора эксплуатационных данных, отправки фотографий, интеграции с решениями для бизнес-процессов (созданными с помощью Power Apps и Power Automate) и интеграции бизнес-приложений. Этот тип данных о полевых службах может считаться низким воздействием; однако эффективность можно добиться путем централизации связи и доступа к данным между сотрудниками и персоналом полевой службы в этих сценариях.

Другим примером, в котором Microsoft Teams обеспечивает удобство для энергетической отрасли, является работа полевого обслуживающего персонала по восстановлению обслуживания при отключениях энергоснабжения. Сотрудникам эксплуатационных служб часто требуется быстрый доступ к схематическим данным для подстанций, электростанций или к чертежам объектов на местах. Эти данные считаются данными с высоким влиянием, и их требуется защищать в соответствии с нормами NERC CIP. Полевые обслуживающие работы при отключении энергоснабжения требуют взаимодействия между полевыми и офисными сотрудниками, а последним — с клиентами. Централизованное взаимодействие и общий доступ к данным в Microsoft Teams предоставляет полевым сотрудникам удобный способ доступа к важным данным и сообщения сведений или статуса в головной офис. Например, Microsoft Teams позволяет полевым сотрудникам присоединяться к звонкам конференц-связи, находясь в дороге к месту отключения энергоснабжения. Сотрудники на местах также могут делать фотографии или видео о своей среде и делиться с ними в головном офисе, что особенно важно, если оборудование на местах не соответствует схеме. Данные и состояние, полученные на местах, можно затем предоставить офисным сотрудникам и руководству с помощью средств визуализации данных, таких как Power BI. В конечном итоге Microsoft Teams повышает эффективность и производительность полевых сотрудников в таких критических ситуациях.

Teams: улучшение взаимодействия и снижение риска нарушения требований

Microsoft 365 предоставляет распространенные возможности политик для Microsoft Teams благодаря использованию групп Office 365 в качестве базового поставщика сведений об участии. Эти политики могут помочь улучшить взаимодействие и обеспечить соответствие требованиям.

Политики именования групп Office 365 гарантируют, что группы Office 365, а значит и команды Microsoft Teams, будут именоваться в соответствии с корпоративной политикой. Имя команды может оказаться проблематичным, если ее назовут ненадлежащим образом. Например, сотрудники могут не знать, в каких командах работать или предоставлять общий доступ к информации, если они неправильно названы. Политики именования групп помогают обеспечить хорошую гигиену, а также могут предотвратить использование определенных слов, таких как зарезервированные слова или неуместная терминология.

Office 365 политики срока действия групп помогают гарантировать, что Office 365 Группы и, следовательно, Microsoft Teams, не хранятся в течение более длительных периодов времени, чем требуется организации. Эта возможность помогает предотвратить две ключевые проблемы управления информацией:

  • Распространение Microsoft Teams, которые не нужны или не используются
  • Чрезмерная длительность хранения данных, которые больше не требуются организации

Администраторы могут указать срок действия в днях для групп Office 365 (например, 90, 180 или 365 дней). Если служба, поддерживаемая группой Office 365, неактивна в течение срока действия, владельцы группы получают уведомление об этом. Если не принимается никаких мер, группа Office 365 и все связанные с ней службы, включая Microsoft Teams, удаляются.

Чрезмерно долгое хранение данных в Microsoft Team может создавать для организации риск судебных разбирательств. Для защиты организации рекомендуется использовать политики истечения срока действия. В сочетании со встроенными метками хранения и политиками Microsoft 365 помогает организациям сохранять только данные, требующиеся согласно обязательствам по соблюдению нормативных требований.

Teams: простая интеграция пользовательских требований

Microsoft Teams по умолчанию позволяет пользователям самостоятельно создавать команды. Однако многие регулируемые организации желают контролировать и знать, какие области совместной работы в настоящее время используются сотрудниками, какие области содержат конфиденциальные данные и кто является владельцами областей в организации. Чтобы упростить работу этих средств управления, Microsoft 365 позволяет организациям отключать создание групп самообслуживания. Кроме того, используя встроенные в Microsoft 365 инструменты автоматизации бизнес-процессов, такие как Power Apps и Power Automate, организации могут создавать простые процессы для запроса на формирование новой команды. Менеджер может автоматически запросить утверждение, заполнив простую форму. После утверждения команда может быть автоматически подготовлена, и запрашивающей стороне отправляется ссылка на новую команду. Путем создания таких процессов организации также могут интегрировать пользовательские требования для упрощения других бизнес-процессов.

Обеспечение безопасной совместной работы с соответствием требованиям в энергетической отрасли

Как уже упоминалось, Microsoft Office 365 и Office 365 правительства США достигли АТО FedRAMP на среднем уровне воздействия. Azure и Azure для государственных организаций достигли уровня FedRAMP High P-ATO, представляющего максимальный уровень авторизации FedRAMP. Кроме того, в набор средств контроля среднего уровня FedRAMP входят все требования NERC CIP, что позволяет организациям энергетической отрасли ("зарегистрированным учреждениям") использовать существующие разрешения FedRAMP в виде масштабируемого и эффективного подхода к выполнению требований аудита NERC. Однако важно отметить, что FedRAMP не является сертификацией на определенный момент времени, а программой оценки и авторизации, которая включает в себя положения для непрерывного мониторинга. Хотя это положение применяется в основном к CSP, клиенты Майкрософт, управляющие крупными энергосистемами, несут ответственность за соблюдение стандартов NERC CIP. Как правило, рекомендуется постоянно отслеживать состояние соответствия требованиям организации, чтобы обеспечить постоянное соответствие нормативным требованиям.

Корпорация Майкрософт предоставляет основное средство, помогающее отслеживать соответствие нормативным требованиям с течением времени:

  • Диспетчер соответствия требованиям Microsoft Purview помогает организации узнать о текущем состоянии соответствия требованиям, а также о возможных действиях, которые позволят улучшить это состояние. Диспетчер соответствия требованиям рассчитывает оценку на основе риска, измеряющую ход выполнения действий, снижающих риски, связанные с защитой данных и нормативными стандартами. Диспетчер соответствия требованиям предоставляет начальную оценку на основе базового уровня защиты данных Microsoft 365. Базовый уровень содержит набор средств контроля, включающих распространенные отраслевые нормы и стандарты. Хотя эта оценка является хорошей отправной точкой, диспетчер соответствия требованиям становится более эффективным после добавления организацией оценок, более подходящих для отрасли. Диспетчер соответствия требованиям поддерживает несколько нормативных стандартов, относящихся к обязательствам по соответствию требованиям NERC CIP, в том числе набор средств контроля среднего уровня FedRAMP, NIST 800-53 ред. 4 и AICPA SOC 2. Организации энергетической отрасли также могут создавать или импортировать пользовательские наборы управления при необходимости.

Возможности рабочего процесса, встроенные в Диспетчер соответствия требованиям, позволяют энергетическим предприятиям преобразовывать и оцифровывать процессы по соблюдению нормативных требований. Обычно группы по соблюдению нормативных требований в энергетической отрасли сталкиваются со следующими проблемами:

  • Несогласованность отчетов или отслеживания хода выполнения действий по исправлению
  • Неэффективные процессы
  • Недостаток ресурсов или отсутствие ответственности
  • Недостаток сведений в реальном времени и человеческие ошибки

Автоматизируя аспекты процессов соблюдения нормативных требований с помощью диспетчера соответствия требованиям, организации могут снизить административную нагрузку при выполнении юридических функций и обеспечении соответствия требованиям. Эти средства могут устранить такие проблемы, предоставив более актуальные сведения о действиях по исправлению проблем, более согласованные и единообразные отчеты и задокументированную ответственность за меры, связанные с реализацией действий. Организации могут автоматически отслеживать действия по исправлению с течением времени и просматривать общее повышение эффективности. Эта функция позволяет сотрудникам сосредоточиться на получении аналитических сведений и разработке стратегий, которые помогут более эффективно перемещаться по рискам.

Диспетчер соответствия требованиям не выражает абсолютную меру соответствия организации каким-либо конкретным стандартам или нормативным требованиям. Он показывает степень внедрения средств контроля, которые помогают снизить риски, связанные с персональными данными и конфиденциальностью. Рекомендации диспетчера соответствия требованиям не должны рассматриваться как гарантия соответствия требованиям. Действия клиента, описанные в диспетчере соответствия требованиям, носят рекомендательный характер. Каждая организация может оценить эффективность этих рекомендаций для выполнения своих нормативных обязательств перед их реализацией. Рекомендации, найденные в диспетчере соответствия требованиям, не должны рассматриваться как гарантия соответствия требованиям.

Многие элементы управления, связанные с кибербезопасностью, включены в набор средств контроля среднего уровня FedRAMP и стандарты CIP NERC. Однако ключевые средства контроля, связанные с платформой Microsoft 365, включают средства управления безопасностью (CIP-003-6), управления учетными записями и доступом или отзывом доступа (CIP-004-6), периметра электронной безопасности (CIP-005-5), мониторинга событий безопасности и реагирования на инциденты (CIP-008-5). Следующие базовые возможности Microsoft 365 помогают устранить риски и требования, описанные в этих статьях.

Безопасная идентификация пользователей и контроль доступа

Защита доступа к документам и приложениям начинается с надежной защиты идентификационных данных пользователей. В качестве основы для этого действия требуется обеспечить безопасную платформу для предприятия для хранения удостоверений и управления ими, а также предоставить надежные средства проверки подлинности. Это также требует динамического управления доступом к этим приложениям. По мере работы сотрудники могут перемещаться из приложения в приложение или между несколькими расположениями и устройствами. В результате доступ к данным должен сопровождаться проверкой подлинности на каждом этапе пути. Кроме того, процесс проверки подлинности должен поддерживать надежный протокол и несколько факторов проверки подлинности (одноразовый код передачи SMS, приложение проверки подлинности, сертификат и т. д.), чтобы убедиться, что удостоверения не были скомпрометированы. Наконец, применение политик доступа, основанных на оценке риска, является важнейшей рекомендованной практикой для защиты данных и приложений от внутренних угроз, случайных утечек данных и их кражи.

Microsoft 365 предоставляет безопасную платформу идентификации с Microsoft Entra ID, где удостоверения хранятся централизованно и безопасно управляются. Microsoft Entra ID вместе с множеством связанных служб безопасности Microsoft 365 формируют основу для предоставления сотрудникам доступа, необходимого им для безопасной работы, а также защиты организации от угроз.

Microsoft Entra многофакторной проверки подлинности (MFA) встроена в платформу и обеспечивает дополнительный уровень защиты, помогающий гарантировать, что пользователи являются тем, кем они себя называют при доступе к конфиденциальным данным и приложениям. Microsoft Entra многофакторной проверки подлинности требует по крайней мере двух форм проверки подлинности, таких как пароль и известное мобильное устройство. Она поддерживает несколько вариантов для второго фактора проверки подлинности, в том числе: приложение Microsoft Authenticator, одноразовый код доступа, доставляемый по SMS, прием телефонного звонка, когда пользователь должен ввести ПИН-код, а также смарт-карты или проверка подлинности на основе сертификатов. В случае компрометации пароля потенциальному злоумышленнику все равно потребуется телефон пользователя, чтобы получить доступ к данным организации. Кроме того, Microsoft 365 использует современную проверку подлинности в качестве основного протокола, предоставляющего единый надежный интерфейс проверки подлинности как в веб-браузерах, так и в средствах совместной работы, включая Microsoft Outlook и приложения Microsoft Office.

условный доступ Microsoft Entra — это надежное решение для автоматизации решений по управлению доступом и применения политик для защиты активов компании. Распространенный пример — когда сотрудник пытается получить доступ к приложению с конфиденциальными данными клиента, и он автоматически требуется выполнить многофакторную проверку подлинности. Условный доступ Azure объединяет сигналы из запроса на доступ пользователя (например, свойства о пользователе, его устройстве, расположении, сети, приложении или репозитории, к который он пытается получить доступ). Azure динамически оценивает каждую попытку доступа к приложению на основе настроенных политик. Если риск пользователя или устройства повышен или если не выполнены другие условия, Microsoft Entra ID автоматически применяет политику (например, динамически требует многофакторной проверки подлинности, ограничивает или даже блокирует доступ). Такая конструкция помогает обеспечить защиту конфиденциальных ресурсов в динамически изменяющихся средах.

Microsoft Defender для Office 365 предоставляет интегрированную службу для защиты организаций от вредоносных ссылок и вредоносных программ, распространяемых через электронную почту. Одним из наиболее распространенных векторов атак, влияющих на пользователей сегодня, являются фишинговые атаки по электронной почте. Эти атаки могут быть тщательно нацелены на конкретных руководящих сотрудников и могут выглядеть очень убедительно. Обычно они содержат призыв к действию, требующий от пользователя выбрать вредоносную ссылку или открыть вложение с вредоносными программами. После заражения злоумышленник может украсть учетные данные пользователя и перемещаться по организации. Он также может похитить письма и данные в попытке найти конфиденциальные сведения. Microsoft Defender для Office 365 оценивает ссылки во время щелчка для потенциально вредоносных сайтов и блокирует их. Вложения электронной почты открываются в защищенной песочнице перед их доставкой в почтовый ящик пользователя.

Microsoft Defender for Cloud Apps предоставляет организациям возможность применять политики на более детальном уровне. Эта схема включает обнаружение аномалий поведения на основе отдельных профилей пользователей, которые автоматически определяются с помощью Машинного обучения. Defender for Cloud Apps берет за основу политики условного доступа Azure и принимает решение, оценивая дополнительные сигналы, связанные с поведением пользователей и свойствами документов, к которым осуществляется доступ. Со временем Defender for Cloud Apps запоминает типичное поведение каждого сотрудника (данные, к которым сотрудники имеют доступ, и используемые приложения). Основываясь на изученных моделях поведения, политики могут автоматически применять меры безопасности, если сотрудник выходит за рамки этого профиля поведения. Например, если сотрудник обычно обращается к приложению бухгалтерского учета с 9:00 до 17:00, с понедельника по пятницу, но тот же пользователь начинает получать доступ к приложению в воскресенье вечером, Defender for Cloud Apps может динамически применять политики, чтобы требовать от пользователя повторной проверки подлинности. Это требование помогает гарантировать, что учетные данные не были скомпрометированы. Кроме того, Defender for Cloud Apps поможет обнаружить и идентифицировать теневые ИТ в организации. Эта функция помогает командам InfoSec гарантировать, что сотрудники используют санкционированные средства при работе с конфиденциальными данными. Наконец, Defender for Cloud Apps может защитить конфиденциальные данные в любом месте облака, даже за пределами платформы Microsoft 365. Он позволяет организациям санкционировать (или несанкционированно) определенные внешние облачные приложения, контролируя доступ и мониторинг, когда пользователи работают в этих приложениях.

Microsoft Entra ID и связанные службы безопасности Microsoft 365 обеспечивают основу для развертывания современной облачной платформы совместной работы в энергетических организациях. Microsoft Entra ID включает элементы управления для защиты доступа к данным и приложениям. Помимо обеспечения надежной безопасности, эти элементы управления помогают организациям соблюдать нормативные требования.

Microsoft Entra ID и службы Microsoft 365 и глубоко интегрированы и предоставляют следующие важные возможности:

  • Централизованное хранение удостоверений пользователей и безопасное управление ими
  • Использование протокола строгой проверки подлинности, включая многофакторную проверку подлинности, для проверки подлинности пользователей в запросах на доступ
  • Предоставление единообразной и надежной проверки подлинности в любых приложениях
  • Динамическая проверка политик по всем запросам на доступ, включающая несколько сигналов в процесс принятия решений (в том числе идентификацию, принадлежность пользователя к группе, приложение, устройство, сеть, местоположение и оценку риска в режиме реального времени).
  • Проверка детализированных политик на основе поведения пользователя и свойств файла, а также динамическое применение дополнительных мер безопасности при необходимости
  • Выявление теневых ИТ в организации и разрешение группам информационной безопасности санкционировать или блокировать облачные приложения
  • Мониторинг и управление доступом к облачным приложениям Майкрософт и других производителей
  • Профилактическая защита от фишинга в электронной почте и атак вымогателей

Определение конфиденциальных данных и защита от потери данных

Набор средств контроля среднего уровня FedRAMP и стандарты NERC CIP также включают защиту информации в качестве основного требования контроля (CIP-011-2). Эти требования специально предназначены для выявления сведений, связанных с информацией киберсистем крупных энергосистем (BES), защиты и безопасной обработки этих сведений (включая их хранение, передачу и использование). Конкретные примеры информации о киберсистеме BES могут включать процедуры безопасности или сведения о безопасности систем, которые имеют основополагающее значение для работы массовых электрических систем (BES Cyber Systems, физические системы контроль доступа, электронные контроль доступа или системы мониторинга), которые не являются общедоступными и могут использоваться для несанкционированного доступа или несанкционированного распространения. Однако существует аналогичная потребность выявлять и защищать сведения клиентов, имеющие жизненно важное значение в повседневной работе энергетических предприятий.

Microsoft 365 позволяет идентифицировать и защищать конфиденциальные данные внутри организации с помощью сочетания эффективных возможностей, в том числе:

  • Защита информации в Microsoft Purview как для пользовательской, так и для автоматической классификации конфиденциальных данных

  • Защита от потери данных Microsoft Purview (DLP) для автоматической идентификации конфиденциальных данных с помощью типов конфиденциальных данных (то есть регулярных выражений) и ключевых слов, а также применения политики

Защита информации в Microsoft Purview позволяет сотрудникам классифицировать документы и письма с помощью меток конфиденциальности. Пользователи могут вручную применять метки конфиденциальности к документам в приложениях Microsoft Office и к электронным письмам в Microsoft Outlook. Метки конфиденциальности могут автоматически применять маркировку документов, защиту с помощью шифрования и обеспечивать надлежащее управление правами. Метки конфиденциальности также можно применять автоматически, настроив политики, использующие ключевые слова и типы конфиденциальных данных (кредитные карта номера, номера социального страхования, номера идентификации и т. д.).

Корпорация Майкрософт также предоставляет обучаемые классификаторы. Они используют модели машинного обучения для идентификации конфиденциальных данных, исходя из контента, а не просто путем сопоставления шаблонов или элементов контента. Классификатор обучается идентифицировать тип контента, просматривая многочисленные примеры контента, подлежащего классификации. Обучение классификатора начинается с предоставления ему примеров контента в определенной категории. После обработки примеров модель тестируется – ей предоставляется комбинация как совпадающих, так и не совпадающих примеров. После этого классификатор предсказывает, относится ли указанный пример к категории или нет. Затем человек подтверждает результаты, сортируя положительные, отрицательные, ложные положительные и ложные отрицательные значения, чтобы повысить точность предсказаний классификатора. При публикации обученного классификатора он обрабатывает и автоматически классифицирует содержимое в SharePoint Online, Exchange Online и OneDrive.

Применение меток конфиденциальности к документам и сообщениям электронной почты внедряет метаданные в объект, который определяет выбранную конфиденциальность, тем самым позволяя конфиденциальности перемещаться с данными. В результате, даже если документ с метками хранится на рабочем столе пользователя или в локальной системе, он по-прежнему защищен. Эта конструкция позволяет другим решениям Microsoft 365, таким как Microsoft Defender for Cloud Apps или пограничным сетевым устройствам, определять конфиденциальные данные и автоматически применять элементы управления безопасностью. Метки конфиденциальности имеют дополнительное преимущество: они информируют сотрудников о том, какие данные в организации считаются конфиденциальными и как работать с этими данными.

Защита от потери данных Microsoft Purview (DLP) автоматически определяет документы, сообщения электронной почты и беседы, содержащие конфиденциальные данные, проверяя эти элементы на наличие типов конфиденциальных данных, а затем применяя политики к этим объектам. Политики применяются к документам в SharePoint и OneDrive для бизнеса. Политики также применяются, когда пользователи отправляют электронную почту, а также в чатах и беседах каналов Microsoft Teams. Политики могут быть настроены на поиск ключевых слов, типов конфиденциальных данных, меток хранения, а также на предмет совместного использования данных внутри организации или за ее пределами. Предусмотрены элементы управления, помогающие организациям точно настраивать политики DLP, чтобы избегать ложных срабатываний. При обнаружении конфиденциальных данных пользователям в приложениях Microsoft 365 могут быть показаны подсказки по настройке политики. Подсказки по политике сообщают пользователям, что их контент содержит конфиденциальные данные, и могут рекомендовать действия по исправлению ситуации. Политики также могут запрещать пользователям доступ к документам, совместное использование документов или отправку электронных писем, содержащих определенные типы конфиденциальных данных. Microsoft 365 поддерживает свыше 100 встроенных типов конфиденциальности данных. Организации могут настраивать собственные типы конфиденциальных данных в соответствии со своими политиками.

При развертывании политик защиты информации и DLP в Microsoft Purview для организаций требуется тщательное планирование. При этом также требуется обучить пользователей, чтобы сотрудники понимали схему классификации данных организации и знали, какие типы данных являются конфиденциальными. Предоставление сотрудникам инструментов и обучающих программ, помогающих им идентифицировать конфиденциальные данные и понять, как с ними обращаться, делает их частью решения для снижения рисков информационной безопасности.

Управление данными путем эффективного управления записями

Нормативы требуют от многих организаций управления хранением основных документов организации в соответствии с управляемым графиком хранения в организации. Организации сталкиваются с риском несоблюдения нормативных требований при недостаточном хранении данных (удаляют слишком рано) или с юридическими рисками при чрезмерном хранении данных (хранятся слишком долго). Эффективные стратегии управления записями помогают обеспечить хранение документов организации в соответствии с заранее определенными сроками хранения, способствующими минимизации рисков для организации. Сроки хранения назначаются в рамках централизованно управляемого графика хранения записей организации. Сроки хранения учитывают характер каждого типа документов, нормативные требования к хранению определенных типов данных и установленные политики организации.

Точное назначение периодов хранения записей в документах организации может потребовать детализированного процесса, при котором сроки хранения назначаются уникальным образом отдельным документам. Широкомасштабное применение политик хранения записей может быть затруднительным по многим причинам. К числу этих причин относится огромное количество документов в организациях энергетической отрасли, а также тот факт, что во многих случаях периоды хранения могут изменяться в связи с организационными событиями (например, при истечении контрактов или увольнении сотрудника из организации).

Microsoft 365 предоставляет возможности для определения меток и политик хранения для простой реализации требований к управлению записями. Менеджер записей определяет метку хранения, представляющую "тип записи" в традиционном графике хранения. Метка хранения содержит параметры, определяющие следующее:

  • Срок хранения записи
  • Сопутствующие требования или что происходит, когда истекает срок хранения (удаление документа, запуск проверки перед ликвидацией или отсутствие действий)
  • Что запускает начало срока хранения (дата создания, дата последнего изменения, дата применения метки или событие)
  • Если документ или сообщение электронной почты является записью (это означает, что ее невозможно изменить или удалить).

Затем метки хранения публикуются на сайтах SharePoint или OneDrive, в почтовых ящиках Exchange и группах Office 365. Затем пользователи могут вручную применять метки хранения к документам и сообщениям электронной почты. Кроме того, диспетчеры записей могут применять метки хранения автоматически, используя правила. Правила автоматического применения могут основываться на ключевых словах или конфиденциальности данных, обнаруженных в документах или электронных письмах, например: номера кредитных карт, номера социального страхования или другие персональные данные (PII). Правила автоматического применения также могут основываться на метаданных SharePoint.

Набор средств контроля среднего уровня FedRAMP и стандарты NERC CIP также включают повторное использование и удаление ресурсов в качестве основного требования контроля (CIP-011-2). Еще раз повторим, что эти требования специально предназначены для информации киберсистем BES (крупных энергосистем). Однако другие юрисдикционные правила требуют от организаций энергетической отрасли эффективно управлять записями для многих типов информации и удалять их. К таким типам информации относятся финансовая отчетность, сведения о проектах капитального строительства, бюджеты, данные клиентов и т. д. Во всех случаях от энергетических предприятий требуется наличие надежных программ управления записями и доказательств того, что удаление корпоративных записей было обоснованным.

Для каждой метки хранения служба Microsoft 365 позволяет менеджерам записей определять, требуется ли проверка перед ликвидацией. Когда эти записи поступают на ликвидацию после истечения их срока хранения, требуется проведение проверки специальными проверяющими перед ликвидацией контента. После утверждения проверки ликвидации удаление содержимого продолжается. Однако сведения об удалении (имя пользователя, удалившего контент и дату/время удаления) сохраняются в течение нескольких лет в качестве сертификата ликвидации. Если организациям требуется более длительное или постоянное хранение сертификатов уничтожения, они могут использовать Microsoft Sentinel для долгосрочного облачного хранения журналов и данных аудита. Microsoft Sentinel предоставляет организациям полный контроль над долгосрочным хранением данных активности, журнала и информации о хранении или ликвидации данных.

Соблюдение нормативных требований FERC и FTC для энергетических рынков

Федеральная комиссия по регулированию энергетики США (FERC) надзирает за нормами, относящимися к энергетическим рынкам и торговле электроэнергией, а также к рынкам природного газа. Федеральная торговая комиссия США (FTC) надзирает за аналогичными нормами на нефтяном рынке. В обоих случаях эти регулирующие органы устанавливают правила и руководства, запрещающие манипулирование энергетическим рынком. Например, FERC рекомендует энергетическим организациям инвестировать в технологические ресурсы для отслеживания торговли, взаимодействия трейдеров и обеспечения соответствия с помощью внутренних средств контроля. Регулирующие органы также рекомендуют энергетическим организациям регулярно оценивать текущую эффективность программы организации по соответствию нормативным требованиям.

Традиционно решения для отслеживания взаимодействия требуют значительных затрат и могут быть сложными в настройке и управлении. Кроме того, организации могут столкнуться с проблемами при отслеживании многочисленных и разнообразных коммуникационных каналов, доступных сотрудникам. Microsoft 365 предоставляет несколько встроенных надежных возможностей для отслеживания взаимодействия сотрудников, контроля за деятельностью сотрудников и обеспечения соответствия нормам FERC для энергетических рынков.

Реализация надзорного контроля

Microsoft 365 позволяет организациям настраивать политики контроля, фиксирующие взаимодействие сотрудников (на основе настроенных условий), и позволяет проверять эти сведения назначенным руководителям. Политики контроля могут фиксировать внутреннюю и внешнюю переписку по электронной почте и вложения, общение в чатах и каналах Microsoft Teams, сообщения и вложения чатов Skype для бизнеса, а также коммуникацию с использованием сторонних служб (например, Facebook или Dropbox).

Комплексный характер коммуникаций, которые могут быть записаны и проверены в организации, и обширные условия, с помощью которых можно настроить политики, позволяют политикам microsoft 365 надзора помочь организациям соблюдать правила рынка энергии FERC. Политики контроля можно настроить для проверки коммуникаций отдельных лиц или групп. Кроме того, руководители могут быть настроены как отдельные лица или группы. Всесторонние условия могут быть настроены для захвата сообщений на основе входящих или исходящих сообщений, доменов, меток хранения, ключевых слов или фраз, словарей ключевых слов, типов конфиденциальных данных, вложений, размера сообщения или размера вложения. Проверяющим предоставляется панель мониторинга, на которой они могут просматривать помеченные сообщения, выполнять действия с сообщениями, нарушающими политики, и маркировать помеченные элементы как разрешенные. Они также могут просматривать результаты предыдущих проверок и элементы, которые были разрешены.

Microsoft 365 предоставляет отчеты, позволяющие проводить аудит действий проверки политики контроля на основе политики и проверяющего. Доступные отчеты позволяют подтвердить, что политики контроля действуют согласно письменным политикам контроля организации. Отчеты также можно использовать для идентификации сообщений, требующих проверки, включая сообщения, которые не соответствуют корпоративной политике. Наконец, все действия, связанные с настройкой политик контроля и проверкой взаимодействия, подвергаются аудиту в едином журнале аудита Office 365.

Политики контроля Microsoft 365 позволяют организациям контролировать взаимодействие на соответствие корпоративным политикам, таким как политика отдела кадров в отношении оскорблений и ненормативной лексики в коммуникациях компании. Они также позволяют организациям снижать риски путем мониторинга коммуникаций, когда в организациях происходят чувствительные изменения, такие как слияния и поглощения или смена руководства.

Соответствие требованиям к обмену данными

Вследствие большого числа каналов коммуникации, доступных сотрудникам, в организациях увеличивается потребность в эффективных решениях для обнаружения и исследования коммуникаций в регулируемых отраслях, таких как рынки торговли энергией. К этим проблемам может относиться увеличение числа каналов связи и объема сообщений, а также риск возможных штрафов за нарушения политики.

Соответствие требованиям к обмену данными Microsoft Purview — это решение по соответствию требованиям, которое сводит к минимуму риски, связанные с коммуникацией, помогая вам обнаруживать и регистрировать недопустимые сообщения в организации, а также принимать соответствующие меры. Предопределенные и настраиваемые политики дают возможность сканировать внутренние и внешние сообщения на соответствие политикам, чтобы их могли изучать специальные проверяющие. Рецензенты могут исследовать отсканированные сообщения электронной почты, Microsoft Teams, Viva Engage или сторонние сообщения в вашей организации и принять соответствующие меры, чтобы убедиться, что они соответствуют стандартам сообщений вашей организации.

Соответствие требованиям к обмену данными помогает группам обеспечения соответствия требованиям эффективно проверять сообщения на возможные нарушения следующего:

  • Корпоративные политики, например допустимое использование, этические стандарты и специальные корпоративные политики
  • Раскрытие конфиденциальных или деловых сведений, например несанкционированное общение о конфиденциальных проектах, таких как предстоящее приобретение, слияние, раскрытие доходов, изменение организации или руководства группы
  • Нормативные требования по обеспечению соответствия, например коммуникации сотрудников о типах бизнеса или транзакциях, в которых участвует организация в соответствии с нормами FERC для энергетических рынков

Соответствие требованиям к обмену данными предоставляет встроенные классификаторы угроз, оскорблений и ненормативной лексики, помогающие уменьшить количество ложных срабатываний при проверке взаимодействия. Эта классификация экономит время рецензентов в процессе исследования и исправления. Оно помогает проверяющим сосредоточиться на определенных сообщениях в длинных цепочках, выделенных оповещениями политик. Этот результат помогает группам по обеспечению соответствия требованиям быстрее выявлять и устранять риски. Оно предоставляет группам обеспечения соответствия требованиям возможность легко настраивать политики, изменяя решение под конкретные потребности организации и снижая число ложных срабатываний. Соответствие требованиям к обмену данными также может помочь распознать потенциально рискованное поведение пользователя по мере того, как идет время, выделяя возможные шаблоны рискованного поведения или нарушений политики. Наконец, он обеспечивает гибкие встроенные процессы восстановления. Эти процессы помогают рецензентам быстро принимать меры для эскалации разбирательства в юридический отдел или отдел кадров в соответствии с принятыми корпоративными процессами.

Защита от кражи данных и внутренних рисков

Общей угрозой для предприятий является эксфильтрация данных или акт извлечения данных из организации. Эти действия могут вызывать серьезную озабоченность для энергетических организаций из-за конфиденциального характера информации, к которым сотрудники или сотрудники полевой службы могут получать доступ изо дня в день. К таким данным относится информация киберсистем BES (крупных энергосистем), а также бизнес-информация и данные клиентов. С увеличением количества доступных методов связи и инструментов для перемещения данных, как правило, требуются расширенные средства для снижения рисков утечки данных, нарушений политики и внутренних рисков.

Внутреннее управление рисками

Предоставление сотрудникам средств совместной работы в Интернете, к которым можно получить доступ в любом месте, по своей сути несет риск для организации. Сотрудники могут непреднамеренно или злонамеренно утечку данных злоумышленникам или конкурентам. Кроме того, они могут эксфильтровать данные для личного использования или взять данные с ними будущему работодателю. В этих сценариях возникает серьезный риск для организаций с точки зрения безопасности и соответствия требованиям. Выявление этих рисков в случае их возникновения и быстрое их устранение требуют как интеллектуальных инструментов для сбора данных, так и совместной работы различных отделов, таких как юридический отдел, отдел кадров и информационная безопасность.

Управление внутренними рисками Microsoft Purview помогает свести к минимуму внутренние риски, позволяя обнаруживать, исследовать и нейтрализовывать вредоносные и случайные действия в организации. Политики внутренних рисков позволяют определить типы рисков для идентификации и обнаружения в организации, включая действия по делам и эскалацию дел в Microsoft eDiscovery (Premium) при необходимости. Аналитики рисков в вашей организации могут быстро выполнить соответствующие действия, чтобы убедиться, что пользователи соответствуют стандартам соответствия вашей организации.

Например, управление рисками инсайдеров может сопоставлять сигналы с рабочего стола Windows 10 пользователя, такие как копирование файлов на USB-накопитель или отправка электронного письма в личную учетную запись электронной почты, с действиями из онлайн-служб, таких как электронная почта Office 365, SharePoint Online, Microsoft Teams или OneDrive для бизнеса, чтобы выявить случаи кражи данных. Оно также может соотнести эти действия с сотрудниками, покидающими организацию, что является распространенным шаблоном поведения, связанным с кражей данных. Он может контролировать несколько видов деятельности и поведения по мере того, как идет время. Когда появляются общие шаблоны, это может привести к появлению предупреждений и помочь следователям сосредоточиться на ключевых действиях для проверки нарушения политики с высокой степенью достоверности. Управление внутренними рисками также может маскировать данные от следователей, чтобы соблюдать нормы конфиденциальности данных, но при этом все же выявлять ключевые действия, помогая эффективно проводить расследования. После подготовки данная служба позволяет следователям упаковывать и безопасно отправлять данные об основных действиях в отдел кадров и юридический отдел, следуя стандартным рабочим процессам эскалации инцидентов для принятия мер по исправлению ситуации.

Управление внутренними рисками значительно расширяет возможности Microsoft 365 по отслеживанию и расследованию внутренних рисков, позволяя организациям по-прежнему соблюдать нормы конфиденциальности данных и следовать установленным путям эскалации, когда инциденты требуют действий более высокого уровня.

Заключение

Microsoft 365 предоставляет интегрированное комплексное решение, позволяющее легко выполнять в организации совместную работу в облаке с помощью Microsoft Teams. Microsoft Teams также обеспечивает более эффективное взаимодействие и совместную работу с полевым обслуживающим персоналом, помогая энергетическим организациям повышать эффективность и производительность. Более эффективная совместная работа в предприятии и с полевыми сотрудниками может в конечном итоге помочь организациям улучшить обслуживание клиентов.

Организации энергетической отрасли должны соответствовать строгим нормативным требованиям, связанным с хранением, защитой, управлением и удержанием информации, относящейся к их операциям и клиентам. Они также должны соответствовать нормативным требованиям, связанным с отслеживанием и предотвращением манипуляций энергетическими рынками. Microsoft 365 предоставляет надежные элементы управления безопасностью для защиты данных, удостоверений, устройств и приложений от рисков и для соблюдения строгих норм энергетической отрасли. Предусмотрены встроенные средства для оценки энергетическими организациями своего соответствия требованиям, а также для выполнения действий и отслеживания мер исправления с течением времени. Эти средства также предоставляют удобные методы отслеживания и контроля коммуникаций. Платформа Microsoft 365 основана на базовых компонентах, таких как Microsoft Azure и Microsoft Entra ID, помогая защитить общую платформу и помогая организации соответствовать требованиям для наборов элементов управления FedRAMP Moderate и High. Такая конструкция, в свою очередь, способствует способности энергетической организации соответствовать стандартам NERC CIP.

В целом, Microsoft 365 помогает энергетическим организациям улучшать защиту, использовать более надежные программы соответствия требованиям, а также позволяет сотрудникам сосредоточиться на получении более качественной аналитики и на реализации стратегий для более эффективного снижения риска.