Стандарт многоуровневой облачной безопасности (MTCS) для Сингапура
Общие сведения о MTCS
Стандарт многоуровневой облачной безопасности (MTCS) для Сингапура был подготовлен под руководством Комитета по стандартам информационных технологий (ITSC) Управления по развитию информационно-коммуникационных технологий Сингапура (IDA). ITSC продвигает и реализует национальные программы по стандартизации ИТ и коммуникационных технологий, а также участие Сингапура в работах над международными стандартами.
Цель MTCS:
- Предоставление распространенного стандарта, который поставщики облачных служб (CSP) могут использовать в качестве ответа на озабоченность клиентов безопасностью и конфиденциальностью данных в облаке, а также влиянием на организации, использующие облачные службы.
- Возможность проверки прозрачности действий и наглядность рисков для клиента при использовании облачных служб.
MTCS создан на основе признанных международных стандартов, например ISO/IEC 27001, и охватывает такие области, как хранение данных, независимость данных, перенос данных, обязательства, доступность, непрерывность работы, аварийное восстановление и управление инцидентами. Он также включает механизм для клиентов по оценке и ранжированию возможностей CSP в соответствии с набором минимальных базовых требований к безопасности.
MTCS — это первый стандарт облачной безопасности с разными уровнями защиты, поэтому сертифицированные поставщики облачных услуг могут указывать, какие уровни они предлагают. MTCS включает всего 535 средств контроля, охватывая основную защиту на уровне 1, более строгое управление и клиентские средства контроля на уровне 2, а также надежность и устойчивость для важных информационных систем на уровне 3.
Майкрософт и MTCS
После строгой оценки, проведенной органом сертификации MTCS, облачные службы Майкрософт получили сертификат MTCS 584:2013 для всех трех категорий служб: инфраструктура как услуга (IaaS), платформа как услуга (PaaS) и программное обеспечение как услуга (SaaS). Корпорация Майкрософт была первым глобальным поставщиком облачных служб (CSP), получившим этот сертификат во всех трех категориях.
Сертификаты предоставлены на уровне 3 для служб Microsoft Azure (IaaS и PaaS), Microsoft Dynamics 365 (SaaS) и Microsoft Office 365 (SaaS). Сертификат уровня 3 означает, что в соответствующих облачных службах Майкрософт можно размещать важные данные для поднадзорных организаций с самыми строгими требованиями к безопасности. Он требуется правительством Сингапура для определенных развертываний облачных решений.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure
- Веб-службы Dynamics 365 (Business Central, Commerce, Customer Service, Field Service, Finance, Fraud Protection, Marketing, Sales, Supply Chain Management)
- Genomics
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Graph
- Microsoft Healthcare Bot
- Office 365
- OMS Service Map
- PowerApps
- Power BI
Office 365 и MTCS
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Delve, Exchange Online, Exchange Online Protection Loki, Microsoft Teams, клиентский портал Office 365, Office Online, инфраструктура служб Office, SharePoint Online, Skype для бизнеса |
Аудит, отчеты и сертификаты
Сертификация действительна в течение трех лет с ежегодным проведением инспекционного аудита.
Сертификация MTCS (Майкрософт)
Раскрытие сведений о поставщике облачных служб MTCS (Майкрософт)
Вопросы и ответы
К кому применим стандарт?
Он применяется к компаниям в Сингапуре, приобретающим облачные службы, которые должны соответствовать стандарту MTCS.
Чем различаются уровни защиты MTCS?
MTCS содержит всего 535 средств контроля, охватывающих три уровня защиты:
- Уровень 1 является недорогим, с минимальным числом обязательных базовых средств контроля безопасности. Он подходит для размещения веб-сайтов, тестирования и разработки, моделирования и некритических бизнес-приложений.
- На уровне 2 обеспечиваются потребности большинства организаций, озабоченных безопасностью данных, и он содержит набор более строгих средств контроля, предназначенных для управления рисками безопасности и угрозами для данных. Уровень 2 подходит для большинства вариантов использования облака, включая важные бизнес-приложения.
- Уровень 3 предназначен для поднадзорных организаций с определенными требованиями, которые готовы платить за выполнение более строгих требований. Уровень 3 добавляет набор средств контроля к имеющимся на уровне 1 и 2. Они устраняют риски и угрозы, связанные с безопасностью в важных информационных системах, использующих облачные службы, например размещение приложений с конфиденциальной информацией в регулируемых системах.
С чего начинается обеспечение соответствия требованиям в организации?
Схема сертификации MTCS содержит руководство по аудиту средств контроля и требований безопасности.
Можно ли использовать соответствие требованиям Майкрософт в процессе сертификации моей организации?
Да. Если вам требуется сертифицировать службы, созданные на основе облачных службы Майкрософт, вы можете использовать сертификацию MTCS, чтобы снизить влияние аудита ИТ-инфраструктуры (если они используются в ней). Однако вы несете ответственность за привлечение аудитора для оценки реализации на соответствие требованиям, а также оценки средств управления и процессов в рамках вашей организации.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.