Соответствие нормативным требованиям и требованиям к соответствию

В рамках руководства по внедрению нулевого доверия в этой статье описывается бизнес-сценарий соответствия нормативным требованиям и требованиям соответствия, которые могут применяться к вашей организации.

Независимо от сложности ИТ-среды вашей организации или размера организации, новые нормативные требования, которые могут повлиять на ваш бизнес, постоянно растут. Эти правила включают в себя Общее регулирование защиты данных Европейского союза (GDPR), Закон о конфиденциальности потребителей Калифорнии (CCPA), множество правил здравоохранения и финансовой информации и требований к месту проживания данных.

Процесс удовлетворения нормативных требований и требований соответствия может быть длительным, сложным и мученным, если он не управляется должным образом. Эта проблема значительно увеличила рабочую нагрузку групп по обеспечению безопасности, соответствию требованиям и нормативным требованиям для достижения и подтверждения соответствия требованиям, подготовки к аудиту и применения текущих рекомендаций.

Подход "Никому не доверяй" часто превышает некоторые типы требований, предъявляемых нормативными требованиями, например контроль доступа к персональным данным. Организации, которые реализовали подход "Никому не доверяй", могут обнаружить, что они уже соответствуют некоторым новым условиям или могут легко построить архитектуру "Никому не доверяй" для соответствия требованиям.

Традиционные подходы к соблюдению нормативных требований Современный подход к соблюдению нормативных требований и принципов нулевого доверия
Многие организации используют различные устаревшие решения, сложенные вместе. Эти решения часто не работают бесперебойно, обнаруживая пробелы в инфраструктуре и увеличивая операционные затраты.

Некоторые независимые "наилучшие в своём классе решения" могут даже мешать соблюдению определённых правил, когда они используются для удовлетворения других.

Одним из распространенных примеров является использование шифрования для обеспечения безопасной обработки данных авторизованными лицами. Но большинство решений шифрования делают данные непрозрачными для таких служб, как защита от потери данных (DLP), обнаружение электронных данных или архивация. Шифрование предотвращает выполнение организацией должного анализа действий, выполняемых пользователями, используюющими зашифрованные данные. Этот результат заставляет организации принимать трудные и рискованные решения, например, запретить все использование шифрования на уровне файлов для передачи конфиденциальных данных или разрешить зашифрованным данным выйти за пределы организации без проверки.
Объединение стратегии безопасности и политики с подходом "Нулевое доверие" устраняет барьеры между ИТ-командами и системами, что обеспечивает более высокую видимость и защиту во всех слоях ИТ.

Встроенные решения по соблюдению требований, такие как Microsoft Purview, не только совместно поддерживают ваши требования к соответствию и подход нулевого доверия, но и делают это с полной прозрачностью, позволяя каждому решению использовать преимущества других решений, например, соответствие коммуникации, используя метки конфиденциальности в содержимом. Интегрированные решения по соответствию могут обеспечить требуемое покрытие с минимальными компромиссами, такими как прозрачная обработка зашифрованного содержимого с помощью решений для обнаружения электронных данных или предотвращения утечек данных.

Видимость в режиме реального времени позволяет автоматически обнаруживать ресурсы, включая критически важные ресурсы и рабочие нагрузки, в то время как требования соответствия могут применяться к этим ресурсам с помощью классификации и метки конфиденциальности.

Реализация архитектуры нулевого доверия помогает соответствовать нормативным требованиям и требованиям соответствия с комплексной стратегией. Использование решений Microsoft Purview в архитектуре нулевого доверия помогает обнаруживать, управлять, защищать и управлять всем имуществом данных вашей организации в соответствии с правилами, влияющими на вашу организацию.

Стратегии нулевого доверия часто включают реализацию элементов управления, которые соответствуют определенным нормативным требованиям, что снижает нагрузку на выполнение системных изменений в соответствии с новыми нормативными требованиями.

В этой статье описывается, как приступить к работе с нулевым доверием в качестве платформы для удовлетворения нормативных требований и требований соответствия с акцентом на то, как взаимодействовать и работать с бизнес-лидерами и командами в организации.

В этой статье используются те же этапы жизненного цикла, что и платформа Cloud Adoption Framework для Azure— определение стратегии, плана, готовности, внедрения и управления и управления ими, но адаптированная для нулевого доверия.

Схема процесса внедрения для цели или набора целей.

В следующей таблице представлена доступна версия иллюстрации.

Определение стратегии Планирование Готово Усыновлять Контроль и управление
Выравнивание организации

Стратегические цели

Результаты
Команда заинтересованных лиц

Технические планы

Готовность к применению навыков
Оценивать

Тест

Пилот
Постепенно внедряйте по всему вашему цифровому пространству Отслеживание и измерение

Мониторинг и обнаружение

Итерировать для достижения зрелости

Определение этапа стратегии

Схема процесса внедрения для одной цели или набора целей с выделенным этапом определения стратегии.

Этап определения стратегии имеет решающее значение для определения и оформления усилий по устранению проблемы "Почему?" этого сценария. На этом этапе вы понимаете сценарий с регуляторных, бизнесовых, информационных технологий, оперативных и стратегических перспектив.

Затем вы определяете результаты, с помощью которых можно оценить успех в этом сценарии, понимая, что соответствие является постепенным и итеративным процессом.

В этой статье приводятся мотивации и результаты, относящиеся ко многим организациям. Используйте эти предложения, чтобы усовершенствовать стратегию вашей организации, исходя из ваших уникальных потребностей.

Понимание мотиваций ваших бизнес-лидеров

Хотя Нулевое Доверие может содействовать упрощению процесса выполнения нормативных требований, возможно, самая большая проблема заключается в обеспечении поддержки и вклада со стороны лидеров вашей организацией. Это руководство по внедрению поможет вам взаимодействовать с ними, чтобы вы могли получить выравнивание организации, определить стратегические цели и определить результаты.

Начало выравнивания начинается с понимания того, что мотивирует ваших лидеров и почему они должны заботиться о соответствии нормативным требованиям. В следующей таблице приведены примеры перспектив, но важно встретиться с каждым из этих лидеров и команд и прийти к общему пониманию мотивов друг друга.

Должность Почему важно соответствовать нормативным требованиям
Главный исполнительный директор (генеральный директор) Ответственность за защиту стратегии организации, проверенной внешними органами аудита. Генеральный директор в основном сообщает совету директоров, которые также могут оценить уровень соответствия законодательным требованиям в организации и ежегодные результаты аудита.
Главный директор по маркетингу (CMO) Ответственность за обеспечение того, что конфиденциальная информация компании не предоставляется внешним образом исключительно для маркетинговых целей.
Главный информационный директор (CIO) Обычно является сотрудником, ответственным за информацию, в организации и несет ответственность перед регулирующими органами по информации.
Главный технический директор (CTO) Ответственность за поддержание соответствия нормативным требованиям в цифровом активе.
Главный директор по информационной безопасности (CISO) Ответственность за внедрение и соответствие отраслевым стандартам, которые предоставляют средства контроля, непосредственно связанные с соответствием информационной безопасности.
Главный операционный директор (COO) Гарантирует, что политики и процедуры компании, связанные с информационной безопасностью, конфиденциальностью данных и другими нормативными методиками, поддерживаются на рабочем уровне.
Главный финансовый директор (CFO) Оценивает финансовые недостатки и преимущества соответствия, такие как киберстрахование и соответствие налогам.
Главный директор по рискам (CRO) Владеет компонентом риска платформы управления риска и соответствия требованиям (GRC) в организации. Устраняет угрозы несоответствия и обеспечивает соблюдение требований.

В разных частях вашей организации мотивация и стимулы могут отличаться для выполнения работы нормативных требований и требований по соблюдению. В следующей таблице приведены некоторые из этих мотивов. Обязательно свяжитесь с заинтересованными лицами, чтобы понять их мотивацию.

Площадь Мотивы
Бизнес-потребности Для соблюдения нормативных и законодательных требований, которые применяются.
Ит-потребности Чтобы внедрить технологии, автоматизирующие соблюдение нормативных требований и требований соответствия, установленных вашей организацией в области идентификаций, данных, устройств (конечных точек), приложений и инфраструктуры.
Операционные потребности Реализуйте политики, процедуры и рабочие инструкции, на которые ссылаются и соответствуют соответствующим отраслевым стандартам и соответствующим требованиям соответствия.
Стратегические потребности Уменьшите риск нарушения национальных, региональных и местных законов, а также потенциальных финансовых и общественных репутационных убытков, которые могут привести к нарушениям.

Использование пирамиды управления для информирования стратегии

Самое главное, что следует помнить в данном бизнес-сценарии, — это то, что концепция нулевого доверия является частью более крупной модели управления, которая устанавливает иерархию различных законодательных, нормативных, политических и процедурных требований в организации. В области соответствия требованиям и нормативным требованиям может быть много способов достижения одного и того же требования или контроля. Важно указать, что эта статья проводит соответствие нормативным требованиям с помощью подхода "Нулевое доверие".

Модель стратегии, которая часто используется в соответствии с нормативными требованиями, является пирамидой управления, показанной здесь.

Схема модели стратегии пирамид управления.

Эта пирамида иллюстрирует различные уровни управления информационными технологиями (ИТ) большинство организаций. С верхней части пирамиды до нижней части эти уровни являются законодательством, стандартами, политиками и процедурами, а также рабочими инструкциями.

Вершина пирамиды представляет самый важный уровень — законодательство. На этом уровне различия между организациями меньше, поскольку законы широко применяются ко многим организациям, хотя национальные и деловые нормы могут применяться только к некоторым компаниям, а не к другим. Основа пирамиды, инструкции по работе представляют собой область с наибольшим разнообразием и поверхностью реализации в организациях. Это уровень, позволяющий организации использовать технологии для выполнения более важных требований для более высоких уровней.

В правой части пирамиды приведены примеры сценариев, в которых соответствие организации может привести к положительным бизнес-результатам и преимуществам. Бизнес-релевантность создает больше стимулов для организаций, имеющих стратегию управления.

В следующей таблице описывается, как различные уровни управления слева от пирамиды могут обеспечить стратегические преимущества бизнеса справа.

Уровень управления Актуальность и результаты стратегического бизнеса
Законодательство и законы, рассмотренные коллективно Прохождение юридических аудитов позволяет избежать штрафов и наказаний, создает доверие потребителей и укрепляет лояльность к бренду.
Стандарты предоставляют надежную основу для людей, которые могут делиться теми же ожиданиями о продукте или обслуживании. Стандарты обеспечивают обеспечение качества с помощью различных отраслевых средств контроля качества. Некоторые сертификаты также имеют преимущества киберстрахования.
Политики и процедуры документируют ежедневные функции и операции организации. Многие процессы вручную, связанные с управлением, могут быть упрощены и автоматизированы.
Инструкции по работе описывают, как выполнять процесс на основе определенных политик и процедур в подробных шагах Сложные сведения о руководствах и документах инструкций могут быть упрощены технологией. Это может значительно сократить количество человеческих ошибок и сэкономить время.

Примером является использование политик условного доступа Microsoft Entra в рамках процесса подключения сотрудника.

Модель пирамид управления помогает сосредоточить приоритеты:

  1. Законодательные и юридические требования

    Организации могут столкнуться с серьёзными последствиями, если им не следуют.

  2. Отраслевые стандарты и стандарты безопасности

    Организации могут иметь отраслевое требование соответствия или сертификации по одному или нескольким из этих стандартов. Платформа нулевого доверия может быть сопоставлена с различными стандартами безопасности, информационной безопасности и управления инфраструктурой.

  3. Политики и процедуры

    Специфичные для организации и управляют более внутренними процессами в бизнесе.

  4. Инструкции по работе

    Подробные элементы управления, которые являются высокотехнологичными и адаптированными для организаций, чтобы выполнять политики и процедуры.

Существует несколько стандартов, которые добавляют наибольшее значение в области архитектуры Нулевого доверия. Фокусируя внимание на следующих стандартах, которые применяются к вам, вы сможете добиться большего влияния.

  • Центры показателей безопасности Интернета (CIS) предоставляют ценные рекомендации по управлению устройствами и политикам управления конечными точками. Ориентиры CIS включают руководства по реализации для облачных платформ Microsoft 365 и Microsoft Azure. Организации во всех отраслях и вертикали используют тесты CIS для достижения целей безопасности и соответствия требованиям. особенно те, которые работают в сильно регулируемых средах.

  • Национальный институт стандартов и технологий (NIST) предоставляет рекомендации по цифровой идентификации NIST Special Publication (NIST SP 800-63-4 ipd). Эти рекомендации предоставляют технические требования для федеральных учреждений, реализующих службы цифровых удостоверений, и не предназначены для ограничения разработки или использования стандартов за пределами этой цели. Важно отметить, что эти требования применяются для улучшения существующих протоколов, которые являются частью стратегии нулевого доверия. Как правительственные, так и организации государственного сектора, особенно в Соединенных Штатах, следуют стандартам NIST, однако публичные компании также могут руководствоваться его принципами в своей деятельности. NIST также предоставляет помощь в реализации архитектуры нулевого доверия в публикациях, включенных в NIST SP 1800-35.

  • Недавно измененный стандарт ISO 27002:2022 рекомендуется для общего управления данными и информационной безопасности. Однако контроли из Приложения А обеспечивают хорошую основу для создания контрольного списка мер безопасности, которые впоследствии могут быть преобразованы в рабочие цели.

    ISO 27001:2022 также предоставляет комплексные рекомендации по реализации управления рисками в контексте информационной безопасности. Это может быть особенно полезно с количеством метрик, доступных пользователям на большинстве порталов и панелей мониторинга.

Такие стандарты могут быть приоритетными для предоставления организации базовых показателей политик и элементов управления в соответствии с общими требованиями.

Корпорация Майкрософт предоставляет Диспетчер соответствия требованиям Microsoft Purview, который поможет вам спланировать и отслеживать ход выполнения стандартов, применяемых к вашей организации. Диспетчер соответствия требованиям поможет вам на протяжении всего пути к соответствию требованиям, от составления списка рисков защиты данных до управления сложными моментами реализации элементов управления, получения сведений о нормативных требованиях и сертификатах, а также отправки отчетов аудиторам.

Определение стратегии

С точки зрения соответствия ваша организация должна определить свою стратегию в соответствии с ее встроенной методологией GRC. Если организация не подписывается на определенный стандарт, политику или платформу, шаблон оценки должен быть получен из диспетчера соответствия требованиям. Каждой активной подписке Microsoft 365 назначается базовая конфигурация защиты данных, которая может быть сопоставлена с рекомендациями по развертыванию Zero Trust. Этот базовый план дает вашим реализутелям отличную отправную точку в том, что практическая реализация нулевого доверия должна выглядеть с точки зрения соответствия требованиям. Эти документированные элементы управления позже можно преобразовать в измеримые цели. Эти цели должны быть конкретными, измеримыми, достижимыми, реалистичными и привязанными к времени (SMART).

Шаблон базовых показателей защиты данных в Диспетчере соответствия требованиям интегрирует 36 действий для нулевого доверия, выровненных по следующим семействам элементов управления:

  • Приложение "Никому не доверяй"
  • Руководство по разработке приложений в архитектуре Zero Trust
  • Конечная точка с нулевым доверием
  • Данные нулевого доверия
  • Идентификация "ноль доверия"
  • Инфраструктура "Никому не доверяй"
  • Сеть "Никому не доверяй"
  • Видимость, автоматизация и оркестрация в условиях нулевого доверия

Они строго соответствуют эталонной архитектуре нулевого доверия, показанной здесь.

схема общей архитектуры для нулевого доверия.

Этап плана

Схема процесса внедрения для одной цели или набора целей с выделенным этапом плана.

Многие организации могут использовать четырехэтапный подход к этим техническим мероприятиям, приведенный в следующей таблице.

Этап 1 Этап 2 Этап 3 Этап 4
Определите нормативные требования, применимые к вашей организации.

Используйте диспетчер соответствия требованиям, чтобы определить правила, которые могут повлиять на ваш бизнес, оценить соответствие высоким требованиям, введенным этими правилами, и запланировать исправление выявленных пробелов.

Ознакомьтесь с текущими рекомендациями по нормативным требованиям, применяемым к вашей организации.
Используйте обозреватель содержимого в Microsoft Purview для идентификации данных, которые подвергаются нормативным требованиям и оценивают его риск и воздействие. Определите пользовательские классификаторы для адаптации этой возможности к потребностям бизнеса.

Оцените требования к защите информации, например политики хранения данных и управления записями, а затем реализуйте основные политики защиты информации и управления данными с помощью меток хранения и конфиденциальности.

Реализуйте основные политики защиты от потери данных для управления передачей регулируемой информации.

Реализуйте политики соответствия требованиям связи, если это необходимо в соответствии с правилами.
Расширьте политики управления жизненным циклом данных с помощью автоматизации.

Настройте элементы управления секционированием и изоляцией с помощью меток конфиденциальности, защиты от потери данных или информационных барьеров при необходимости в соответствии с правилами.

Разверните политики защиты информации, реализуя метки контейнеров, автоматическую и обязательную маркировку и более строгие политики защиты от потери данных. Затем разверните эти политики на локальные данные, устройства (конечные точки) и сторонние облачные службы с помощью других возможностей в Microsoft Purview.

Повторно проверяет соответствие с помощью диспетчера соответствия требованиям и выявляет и исправляет оставшиеся пробелы.
Используйте Microsoft Sentinel для создания отчетов на основе единого журнала аудита для непрерывной оценки и инвентаризации состояния соответствия вашей информации.

Продолжайте использовать диспетчер соответствия требованиям на постоянной основе для выявления и устранения оставшихся пробелов и удовлетворения требований новых или обновленных правил.

Если этот поэтапный подход подходит для вашей организации, можно использовать следующее:

  • Эта скачиваемая презентация слайдов PowerPoint предназначена для представления и отслеживания хода выполнения этих этапов и целей для руководителей бизнеса и других заинтересованных лиц. Ниже приведен слайд для этого бизнес-сценария.

    Слайд PowerPoint для этапов развертывания, соответствующего нормативным и регулирующим требованиям.

  • Эта книга Excel позволяет назначать владельцев и отслеживать ход выполнения этих этапов, целей и их задач. Ниже приведен лист для этого бизнес-сценария.

    Лист отслеживания хода выполнения для бизнес-сценария соблюдения нормативных и правовых требований.

Команда заинтересованных лиц

Ваша группа заинтересованных лиц для этого бизнес-сценария включает лидеров в вашей организации, которые инвестируют в вашу систему безопасности и, вероятно, будут включать следующие роли:

Руководители программ и технические владельцы Подотчетность
Спонсор Стратегия, управление, эскалация, подход, выравнивание бизнеса и управление координацией.
Руководитель проекта Общее управление взаимодействием, ресурсами, временными рамками, коммуникациями и другими аспектами.
CISO Защита и управление ресурсами и системами данных, например определение рисков и политики, отслеживание и отчетность.
Диспетчер соответствия ТРЕБОВАНИЯМ ИТ Определение необходимых элементов управления для решения требований к соответствию и защите.
Руководитель по безопасности и удобству использования для конечных пользователей (EUC) Представление ваших сотрудников.
Роли исследования и аудита Расследование и отчетность в сотрудничестве с руководителями по соответствию и защите.
Диспетчер защиты информации Классификация данных и идентификация конфиденциальных данных, элементы управления и исправление.
Ведущий по архитектуре Технические требования, архитектура, отзывы, решения и приоритеты.
Администраторы Microsoft 365 Арендатор и среда, подготовка, настройка, тестирование.

Презентация PowerPoint с материалами для данного контента внедрения включает следующий слайд с представлением заинтересованных сторон, которое вы можете настроить для вашей организации.

Слайд PowerPoint для выявления ключевых заинтересованных лиц, чтобы удовлетворить требования нормативного и контрольного соответствия.

Технические планы и готовность навыков

Корпорация Майкрософт предоставляет ресурсы, которые помогут вам соответствовать нормативным требованиям и требованиям к соответствию требованиям. В следующих разделах выделены ресурсы для конкретных целей на четырех этапах, определенных ранее.

Этап 1

На этапе 1 вы определите правила, применимые к вашей организации, и начнете использовать диспетчер соответствия требованиям. Вы также просматриваете правила, применимые к вашей организации.

Цели этапа 1 Ресурсы
Определите требования соответствия с помощью пирамиды управления. Оценки диспетчера соответствия требованиям
Используйте диспетчер соответствия требованиям для оценки соответствия требованиям и планирования исправления обнаруженных пробелов. Посетите портал Microsoft Purview и просмотрите все действия по улучшению, управляемые клиентом, относящиеся к вашей организации.
Ознакомьтесь с текущими рекомендациями по нормативным требованиям, применяемым к вашей организации. См. следующую таблицу.

В этой таблице перечислены распространенные правила или стандарты.

Регулирование или стандарт Ресурсы
Национальный институт стандартов и технологий (NIST) Настройка идентификатора Microsoft Entra для соответствия уровням проверки подлинности NIST
Федеральная программа управления рисками и авторизацией (FedRAMP) Настройка Microsoft Entra ID для соответствия уровню высокого воздействия FedRAMP
Сертификация модели зрелости кибербезопасности (CMMC) Настройка идентификатора Microsoft Entra для соответствия CMMC
Исполнительный указ по улучшению кибербезопасности страны (EO 14028) Соответствие требованиям идентификации в меморандуме 22-09 с Microsoft Entra ID
Акт о передаче и защите данных учреждений здравоохранения (HIPAA) от 1996 г. Настройка идентификатора Microsoft Entra для соответствия HIPAA
Совет по стандартам безопасности банковской карты (PCI SSC) Руководство PCI-DSS для Microsoft Entra
Правила финансовых услуг Основные вопросы соблюдения и безопасности для банковского рынка США и рынков капитала
  • Комиссия по ценным бумагам и биржам США (SEC)
  • Управление по регулированию финансового сектора (FINRA)
  • Совет по рассмотрению федеральных финансовых учреждений (FFIEC)
  • Торговая комиссия по торговле сырьевыми фьючерсами (CFTC)
Корпорация по надежности электроснабжения Северной Америки (NERC) Основные рекомендации по соответствию и безопасности энергетической отрасли

Этап 2

На этапе 2 вы начинаете реализовывать элементы управления для данных, которые еще не существуют. Дополнительные рекомендации по планированию и развертыванию средств защиты информации см. в руководстве по определению и защите конфиденциальных бизнес-данных Нулевого доверия.

Цели этапа 2 Ресурсы
Используйте обозреватель контента для идентификации регулируемых данных. Начало работы с обозревателем содержимого

Обозреватель содержимого может помочь вам в оценке текущей степени доступности регламентированных данных и проверке их соответствия нормативным требованиям, касающимся места хранения и способов защиты.

Создание пользовательских типов конфиденциальной информации
Реализуйте основные политики управления данными и защиты информации с помощью меток хранения и конфиденциальности. Сведения о политиках хранения и метках для хранения или удаления

Узнайте о метках чувствительности
Проверьте политики защиты от потери данных и шифрования. Предотвращение потери данных Purview

Шифрование с метками конфиденциальности

Шифрование для Office 365
Реализуйте политики связи (если применимо). Создание политик соответствия требованиям к обмену данными и управление ими

Этап 3

На этапе 3 вы начинаете автоматизировать политики управления данными для хранения и удаления, включая использование адаптивных областей.

Этот этап включает в себя реализацию элементов управления для разделения и изоляции. Например, NIST назначает размещение проектов в изолированной среде, если эти проекты относятся к определенным типам классифицированной работы для и с правительством Соединенных Штатов. В некоторых сценариях нормативные акты финансовых услуг требуют секционирования сред, чтобы запретить сотрудникам различных частей бизнеса взаимодействовать друг с другом.

Цели этапа 3 Ресурсы
Расширьте политики управления жизненным циклом данных с помощью автоматизации. управление жизненным циклом данных
Настройте элементы управления секционированием и изоляцией (если применимо). Информационные барьеры

Защита от потери данных

Межарендаторский доступ
Разверните политики защиты информации для других рабочих нагрузок. Сведения о сканере защиты информации

Использование политик защиты от потери данных для облачных приложений, отличных от Майкрософт

Защита от потери данных и Microsoft Teams

Использование Защиты от потери данных в конечной точке

Использование меток конфиденциальности для защиты содержимого в Microsoft Teams, группах Microsoft 365 и на сайтах SharePoint
Повторно проверяет соответствие требованиям с помощью диспетчера соответствия требованиям. Диспетчер соответствия

Этап 4

Цели этапа 4 предназначены для реализации этого сценария путем перехода к непрерывному перемещению оценки соответствия ваших активов применимым нормативным требованиям и стандартам.

Цели этапа 4 Ресурсы
Непрерывно оценивать и проводить инвентаризацию статуса соответствия ресурсов. Эта статья определила все необходимые инструменты, и для достижения этой цели вы создаете повторяющийся, итеративный процесс, который позволяет непрерывно отслеживать ресурсы и активы в цифровом пространстве.

Поиск в журнале аудита на портале соответствия требованиям
Используйте Microsoft Sentinel для создания отчетов для измерения соответствия требованиям. Используйте Microsoft Sentinel для создания отчетов на основе единого журнала аудита для оценки и оценки соответствия требованиям и демонстрации эффективности элементов управления.

Аналитика логов в Azure
Используйте диспетчер соответствия требованиям для выявления и устранения новых пробелов. Диспетчер соответствия

Этап готовности

Схема процесса внедрения для одной цели или набора целей с выделенным этапом

Большая часть работы по соответствию выполняется с помощью применения политик. Вы определяете, какие условия должны соответствовать требованиям, а затем создать политику или набор политик для автоматизации набора элементов управления. Применение политик с нулевым доверием обеспечивает возможность повторной проверки конкретных контролей на соответствие. Внедряя элементы управления в операционные технологии, с которыми организация взаимодействует ежедневно, задача достижения готовности к аудиту становится проще.

На этапе готовности вы оцениваете, тестируете и пилотируете целевые политики, чтобы убедиться, что эти действия достигают предполагаемых результатов. Убедитесь, что они не вводят новые риски. В этом бизнес-сценарии нулевого доверия важно работать с заинтересованными лицами, которые реализуют средства управления доступом, защиту данных и другие средства защиты инфраструктуры. Например, рекомендации по оценке, тестированию и пилотированию политик для обеспечения удаленной и гибридной работы отличаются от рекомендаций по выявлению и защите конфиденциальных данных в цифровом активе.

Примеры элементов управления

Каждый элемент нулевого доверия можно сопоставить с конкретными элементами управления в рамках нормативных или стандартных платформ.

Пример 1

Нулевое доверие для идентификации сопоставляется с управлением контроля доступа в Центре безопасности Интернета (CIS) и с приложением A.9.2.2 Предоставление доступа пользователям в ISO 27001:2022.

Схема Zero Trust для идентификации, связанной с управлением доступом.

На этой схеме управление доступом определяется в Приложении 9.2.2 стандарта ISO 27001, подготовке доступа пользователей. Требования для этого раздела удовлетворяются требованием многофакторной проверки подлинности.

Выполнение каждого элемента управления, например применение политик условного доступа, уникально для каждой организации. Профиль риска вашей организации вместе с инвентаризацией активов должен предоставить точное представление о поверхности и области внедрения.

Пример 2

Одна из более очевидных корреляций между архитектурой нулевого доверия и отраслевыми стандартами включает классификацию информации. Приложение 8.2.1 из ISO 27001 определяет, что:

  • Информация должна быть классифицирована с точки зрения юридических требований, ценности, критичности и чувствительности к любым несанкционированным раскрытиям или изменениям, идеально классифицирована так, чтобы отражать бизнес-деятельность, а не препятствовать ей или усложнять ее.

Схема нулевого доверия для данных, сопоставленных с управлением доступом.

На этой схеме служба классификации данных Microsoft Purview используется для определения и применения меток конфиденциальности к электронной почте, документам и структурированным данным.

Пример 3

Приложение 8.1.1 В ISO 27001:2022 (инвентаризация активов) требует, чтобы "все активы, связанные с информацией и информационными средствами обработки данных, должны быть идентифицированы и управляемые в течение жизненного цикла и всегда актуальны".

Выполнение этого требования к элементу управления можно достичь путем реализации управления устройствами Intune. Это требование обеспечивает четкое представление об инвентаризации и сообщает о состоянии соответствия для каждого устройства в отношении определенных корпоративных или отраслевых политик.

Схема нулевого доверия для устройств, сопоставленных с управлением доступом.

Для достижения этого требования по контролю устройств вы используете Microsoft Intune, включая настройку политик соответствия для отчета о соблюдении устройств созданным вами политикам. Политики условного доступа также можно использовать для обеспечения соответствия устройств во время проверки подлинности и авторизации.

Пример 4

Самый полный пример основы нулевого доверия, сопоставленного с отраслевыми стандартами, будет аналитика угроз и реагирование на инциденты. Все продукты Microsoft Defender и Microsoft Sentinel становятся применимыми в этом сценарии для обеспечения подробного анализа и выполнения аналитики угроз и реагирования на инциденты в режиме реального времени.

Схема нулевого доверия для аналитики угроз, сопоставленной с управлением доступом.

На этой схеме Microsoft Sentinel вместе с инструментами Microsoft Defender предоставляют аналитику угроз.

Этап внедрения

Схема процесса внедрения для одной цели или набора целей с выделенным этапом

На этапе внедрения вы постепенно реализуете технические планы в цифровом пространстве. Чтобы выполнить этот этап, необходимо классифицировать технические планы по областям и работать с соответствующими командами.

Для доступа к удостоверениям и устройствам следует использовать поэтапный подход, в котором вы начинаете с небольшого количества пользователей и устройств, а затем постепенно увеличиваете развертывание, чтобы включить всю среду. Это описано в сценарии внедрения безопасной удаленной и гибридной работы . Вот пример.

Схема этапов внедрения пилотного проекта, оценки и полного развертывания.

Принятие мер по защите данных включает каскадную работу и итерацию в процессе, для уверенности в том, что политики, которые вы создаете, надлежащим образом адаптированы к вашей среде. Это описано в сценарии определения и защиты конфиденциальных бизнес-данных . Вот пример.

Схема процесса технического внедрения защиты информации.

Контроль и управление

Схема процесса принятия для одной цели или набора целей с выделенным этапом руководства и управления.

Выполнение нормативных требований и требований к соответствию — это текущий процесс. При переходе к этому этапу начните отслеживание и мониторинг. Корпорация Майкрософт предоставляет несколько инструментов, которые помогут вам.

Обозреватель содержимого можно использовать для мониторинга состояния соответствия организации. Для классификации данных обозреватель содержимого предоставляет представление о ландшафте и распространении конфиденциальной информации в организации. От обучаемых классификаторов до различных типов конфиденциальных данных ( с помощью адаптивных областей или вручную созданных меток конфиденциальности) администраторы могут видеть, применяется ли указанная схема конфиденциальности в организации правильно. Это также возможность определить определенные области риска, в которых конфиденциальная информация постоянно предоставляется в Exchange, SharePoint и OneDrive. Вот пример.

Снимок экрана: панель мониторинга обозревателя содержимого.

Используя расширенные возможности отчетности на портале Microsoft Purview, вы можете создать и оценить макро-представление о соответствии требованиям. Вот пример.

Пример скриншота макропанели Microsoft Purview Compliance.

К Azure можно применить то же мышление и процесс. Используйте Defender для соответствия Cloud-Regulatory для определения оценки соответствия, аналогичной оценке, предоставляемой в Purview Compliance Manager. Оценка соответствует нескольким нормативным стандартам и рамкам в различных отраслевых секторах. Вашей организации необходимо понять, какие из этих нормативных стандартов и фреймворков применяются к оценке. Статус, предоставленный этой панелью мониторинга, отображает непрерывную оценку в режиме реального времени успешных и неудачных оценок по каждому стандарту. Вот пример.

Снимок экрана: оценка соответствия на портале Microsoft Defender для облака.

Панели мониторинга Purview предоставляют широкую оценку, которая может помочь информировать бизнес-лидеров и использоваться в отчетах отделов, таких как квартальный обзор. С практической точки зрения, вы можете использовать Microsoft Sentinel, создав рабочую область Log Analytics для данных объединенного журнала аудита. Эта рабочая область может быть подключена к данным Microsoft 365 и предоставлять аналитические сведения о действиях пользователей. Вот пример.

Пример снимок экрана: данные, собранные в Microsoft Sentinel для Office 365.

Эти данные настраиваются и могут использоваться в сочетании с другими панелями мониторинга для контекстуализации нормативных требований, специально согласованных с стратегией вашей организации, профилем риска, целями и целями.

Дальнейшие шаги

Ресурсы отслеживания хода выполнения

Для любого из бизнес-сценариев нулевого доверия можно использовать следующие ресурсы отслеживания хода выполнения.

Ресурс отслеживания хода выполнения Это помогает вам... Предназначен для...
Сетка плана сценария внедрения, доступная для скачивания в виде файла Visio или PDF-файла

Пример плана и сетки этапов, показывающих этапы и цели.
Легко понять улучшения безопасности для каждого бизнес-сценария и объем усилий для различных стадий и целей фазы планирования. Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица.
Средство отслеживания внедрения нулевого доверия скачиваемой презентации PowerPoint

Пример слайда PowerPoint с этапами и целями.
Отслеживайте ход выполнения этапов и целей этапа плана. Руководитель проекта бизнес-сценария, руководители бизнеса и другие заинтересованные лица.
Цели и задачи бизнес-сценария скачиваемого файла Excel

Пример листа Excel с этапами, целями и задачами.
Назначьте ответственного и отслеживайте ход выполнения этапов, целей и задач фазы планирования. Руководители бизнес-проектов, ИТ-руководители и ИТ-специалисты по внедрению.

Дополнительные ресурсы см. в оценке и отслеживании хода выполнения.