Канадский центр кибербезопасности (CCCS) Средний
Обзор CCCS Medium
Уровень защищенности B для конфиденциальной информации и активов правительства Канады применяется к информации или активам, которые в случае компрометации могут причинить серьезный ущерб физическому лицу, организации или правительству. На основе Руководства по безопасности информационных технологий (ITSG) 33 по управлению рисками ИТ-безопасности, опубликованного Канадским центром кибербезопасности (CCCS), GC разработал Руководство по классификации безопасности служб Cloud-Based (ITSP.50.103) и профиль управления безопасностью правительства Канады для облачных служб GC (GC Security Control Profile), в котором определены базовые средства управления безопасностью, применимые к обработке информации с категорией безопасности. Защищено B, средняя целостность и средняя доступность (PBMM). Исходный профиль управления безопасностью PBMM превратился в то, что теперь является рекомендацией ccCS Medium Cloud Profile.
Профиль управления безопасностью GC был разработан с помощью ITSG-33 и Федеральной программы сша по управлению рисками и авторизацией (FedRAMP), оба из которых имеют основу в Национальном институте стандартов и технологий (NIST) Специальной публикации (SP) 800-53 контроля безопасности и конфиденциальности. GC согласовал профиль управления безопасностью GC с FedRAMP, чтобы максимально повысить совместимость облачных служб и повторное использование доказательств авторизации, созданных поставщиками облачных служб (CSP).
Секретариат Казначейства Канады (TBS) отвечает за управление предприятием, стратегию и политику GC для облачных служб, включая поддержание надзора и мониторинга соответствия требованиям GC Cloud Guardrails, как указано в Директиве по обслуживанию и цифровым технологиям. Компания GC разработала свою стратегию внедрения облачных решений, в настоящее время выступая за облачный принцип , согласно которому облако является предпочтительным вариантом для новых приложений и будет рационализировать существующие портфели приложений в соответствии с наиболее подходящей моделью размещения.
Канадский центр кибербезопасности (CCCS) создал процесс оценки безопасности поставщика облачных услуг , который проверяет возможность CSP реализовать средние элементы управления безопасностью CCCS (Примечание. Профиль управления CCCS Medium заменял первоначальный профиль управления безопасностью правительства Канады для облачных служб GC). Итоговый отчет об оценке технических рисков содержит результаты процесса проверки. Руководство отдела по оценке и авторизации облачной безопасности (ITSP.50.105) также доступно в CCCS.
Затрагиваемые облачные платформы и службы Майкрософт
Канадский центр кибербезопасности проводит оценки, в которых средства управления безопасностью и процессы поставщиков облачных служб оцениваются в соответствии с требованиями правительства Канады к безопасности для информации и служб до защищенной B, средней целостности, средней доступности (PBMM) в соответствии с профилем ccCS Medium security control profile. На сегодняшний день CCCS официально оценила следующие веб-службы Майкрософт:
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure, Dynamics 365, Power Platform и CCCS Medium
Корпорация Майкрософт была одним из первых глобальных поставщиков облачных услуг, получив право на безопасные облачные службы для государственных организаций Канады, когда она заключила в 2019 году соглашение с федеральным правительством. Это соглашение поддерживает амбиции канадского правительства по рационализации государственных процессов и является ключевым шагом на пути к подлинному цифровому правительству. Службы Microsoft Azure CCCS Medium с оценкой открывают новые возможности для инноваций, преобразований и гибкости служб в государственном секторе, так как государственные служащие получают доступ к ряду сложных возможностей, которые поддерживают хранение и обработку защищенных данных B. Кроме того, государственные учреждения получают выгоду от процветающей экосистемы партнеров и разработчиков Корпорации Майкрософт, которые создают инновационные и безопасные решения в Azure.
Корпорация Майкрософт создала два канадских облачных региона Azure: Центральная Канада в Торонто и Восточная Канада в Квебеке, каждый из которых состоит из нескольких гипермасштабируемых сайтов облачных центров обработки данных. Эти регионы добавляют канадское расположение данных в стране для хранения неактивных данных клиентов, отработки отказа и аварийного восстановления для приложений и данных клиентов для многих основных веб-служб. Дополнительные инвестиции в инфраструктуру центров обработки данных в центральном регионе Канады также позволили создать зону доступности Azure в центральном регионе Канады, чтобы помочь клиентам создавать еще более устойчивые и высокодоступные приложения для критически важных рабочих нагрузок.
Полный список область оцененных в CCCS облачных служб в Azure, Dynamics 365 и Power Platform см. в сводных отчетах об оценке в разделе "Канада" на портале Service Trust Portal.
средний Office 365 и CCCS
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Используйте следующую таблицу, чтобы определить применимость для служб и подписок Office 365:
Применимость | Затрагиваемые службы |
---|---|
Коммерческий сектор | Advanced eDiscovery, защищенное хранилище клиента, конечная точка Defender, Defender for Cloud Apps, Defender для M365, Defender of Identity, Exchange Online (EXO), Loki, Microsoft Information Protection, Microsoft Intune, Планировщик (Майкрософт), Microsoft Stream, Microsoft Teams, Office Forms, Office для Интернета (Word, Excel, OneNote, PowerPoint), PODS Office (Служба документов PowerPoint Online), Office Project, Инфраструктура служб Office, Office Sway, служба OneNote, телефонная система & звонки, служба поиска содержимого, Sharepoint Online, SharePoint Syntex, Набор возможностей пользователя, ToDo, Viva Insights, Viva Learning, Viva Topics, Windows 365 |
Отчеты об оценке
Сводные отчеты об оценке CCCS для служб Майкрософт доступны клиентам в региональном разделе Канады на портале Service Trust Portal. Подробные отчеты об оценке безопасности служб Майкрософт доступны для канадских государственных клиентов, связавшись с CCCS по адресу contact@cyber.gc.ca.
Вопросы и ответы
Какие облачные службы Майкрософт доступны для государственных организаций Канады через контракт на облако Shared Services Canada?
Одним из первых глобальных поставщиков облачных решений, которым правительство Канады наградило соглашение Cloud Framework, корпорация Майкрософт предлагает ряд коммерческих облачных служб, включая Azure, Dynamics 365, Power Platform и Microsoft 365. Каталог облачных брокеров Общих служб Канады содержит сведения об облачных службах Майкрософт, которые в настоящее время доступны отделам GC.
Какому уровню соответствия US FedRAMP соответствуют облачные службы Майкрософт и как это относится к канадским облачным регионам?
Microsoft Azure для коммерческих (включая Dynamics 365) поддерживает Высокий временный орган по эксплуатации FedRAMP (P-ATOS). Microsoft 365 commercial поддерживает высокую эквивалентность FedRAMP. Регионы Azure за пределами США официально не авторизованы Совместным советом по авторизации FedRAMP (JAB) и не находятся в область FedRAMP Высокого уровня P-ATO. Однако средства управления безопасностью Azure и операционные процессы согласованы во всех запусках Azure. FedRAMP основан на базовых показателях управления NIST SP 800-53. Все элементы управления NIST SP 800-53, поддерживающие Azure FedRAMP High P-ATO в США, также работают в других регионах Azure за пределами США. Таким образом, клиенты Azure за пределами США могут рассчитывать на те же сведения о реализации элемента управления, которые относятся к базовому плану управления NIST SP 800-53 High. Дополнительные сведения см. в статье Федеральная программа управления рисками и авторизацией (FedRAMP). Свидетельство аудита FedRAMP доступно на портале service Trust Portal.
Существуют ли географические ограничения на то, где должны храниться защищенные данные B?
Правительство Канады разработало гибкую политику расположения данных (хранение неактивных данных) для хранения защищенных данных B согласно разделу 4.4.3.14Директивы по обслуживанию и цифровым технологиям. Это уточнено в разделе 4.4Руководства по обслуживанию и цифровым технологиям. Место расположения канадских данных должно быть определено и оценено как основной способ доставки для хранения защищенных данных B в облаке, однако ит-директор отдела (или в некоторых случаях ит-директор Канады) обладает гибкостью и отвечает за утверждение решений о хранении данных за пределами Канады на основе следующих бизнес-критериев, определенных в разделе 4.4.3 Рекомендации по реализации требования:
- Репутация
- Юридические и договорные аспекты
- Торговые соглашения
- Доступность на рынке
- Ценность для бизнеса
- Технические возможности
Элементы управления безопасностью и процессы Майкрософт последовательно реализуются во всех облачных регионах по всему миру. Хотя элементы управления в профиле CCCS Medium могут ссылаться на политику расположения данных GC, оценка расположения неактивных данных не учитывается в рейтинге риска в отчете об оценке облака CCCS.
Раздел 4.4.2 (Почему это важно?) также поясняется, что зашифрованные данные при передаче не ограничены требованием о расположении данных.
Следующие ресурсы содержат сведения о месте расположения данных для многих распространенных продуктов и служб.
- Обзор расположения данных Microsoft 365, где хранятся данные клиента Microsoft 365 и предложение Microsoft 365 Advanced Data Residency
- Расположение данных в Azure
- Microsoft Entra ID (ранее — Azure Active Directory) и расположение данных
- Microsoft Defender for Cloud Apps — безопасность и конфиденциальность данных
- Microsoft Defender для конечной точки хранения данных и конфиденциальности
- безопасность и конфиденциальность данных Microsoft Defender для удостоверений
- Расположение данных Microsoft Dynamics 365
- хранение и обработка данных Microsoft Intune
- Расположение данных Microsoft Power Platform
- Расположение данных профессиональных служб Майкрософт
- Безопасность и конфиденциальность данных Microsoft 365 Defender
Что такое нерегиональные облачные службы?
Нерегиональные службы Azure — это службы, которые не зависят от определенного региона Azure и в настоящее время не предоставляют клиентам возможность указывать регион развертывания. Эти службы были спроектированы и оптимизированы, чтобы быть всегда доступными в рамках глобального облака Azure. Примером нерегиональной службы является Azure Active Directory. Полный список см. в статье Продукты Azure по регионам.
Где происходит обработка данных в облаке?
Многие службы Azure позволяют указать регион, в котором будут храниться и обрабатываться данные клиента. Дополнительные сведения см. в статье Data Residency в Azure. SaaS веб-службы, такие как Microsoft 365, обычно обрабатывают данные, ближайшие к месту хранения данных, однако обработка данных клиентов может происходить в облачных регионах за пределами Канады. Предоставление вспомогательных услуг может также включать обработку данных за пределами Канады.
Ресурсы
Корпорация Майкрософт разработала несколько ресурсов, чтобы помочь клиентам при развертывании облачных служб, подходящих для выполнения защищенных рабочих нагрузок B, в том числе:
- Целевая зона Azure для государственного сектора Канады: специально созданная эталонная реализация, которая поможет государственным департаментам в их усилиях по выполнению требований CCCS Medium, которые являются ответственностью клиента.
- Canada Federal PBMM Azure Blueprint: набор повторяемых ресурсов и шаблонов Azure, которые позволяют организациям создавать новые облачные среды с соответствием определенным элементам управления CCCS Medium и GC Cloud Guardrails.
- Базовые оценки влияния на конфиденциальность (PIA). Базовые личные оценки предназначены для того, чтобы лучше информировать руководителей конфиденциальности, практикующих специалистов и менеджеров по рискам, которые могут рассмотреть возможность использования этого анализа в качестве основы для собственной работы СИА во время внедрения облачных услуг Майкрософт.
- Шаблон оценки microsoft Purview Compliance ManagerProtected B. Диспетчер соответствия требованиям — это функция в Портал соответствия требованиям Microsoft Purview, которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет встроенный механизм для непрерывной оценки и отслеживания реализации многих элементов управления CCCS Medium в среде Microsoft 365. Найдите шаблон Protected B на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.