Средство автоматизации соответствия приложений для Microsoft 365
В этой статье вы узнаете, что такое средство автоматизации соответствия приложений для Microsoft 365 (ACAT), а также как оно упрощает соответствие требованиям и получение сертификата Microsoft 365.
Примечание.
В настоящее время ACAT находится в общедоступной предварительной версии и поддерживает только приложения, созданные на основе Microsoft Azure и Amazon Web Services (AWS). Будущие обновления будут включать функции для приложений, созданных на основе других облаков.
Примечание.
Если вы хотите предоставить отзыв в общедоступной предварительной версии ACAT, заполните эту форму. Команда разработчиков ACAT будет следить за вами как можно скорее, как только мы получим ваши сообщения.
Что такое средство автоматизации соответствия приложений для Microsoft 365
Средство автоматизации соответствия приложений для Microsoft 365 (ACAT) — это служба в портал Azure, которая помогает упростить процесс соответствия для любого приложения, которое использует данные клиентов Microsoft 365 и публикуется в Центре партнеров. Это ориентированное на приложения средство автоматизации соответствия требованиям, которое помогает с большей легкостью и удобством пройти сертификацию Microsoft 365.
С помощью этого средства вы сможете быстро определить границу соответствия для приложений, автоматически отслеживать результаты соответствия требованиям и выполнять аудит соответствия. Граница соответствия — это облачная инфраструктура, которая поддерживает доставку приложения и любых серверных систем, с которыми приложение взаимодействует.
Помимо более быстрого продвижения к сертификации Microsoft 365, ACAT может помочь в различных сценариях соответствия для приложений Microsoft 365:
- Подробные инструкции по просмотру и исправлению обязанностей по сертификации Microsoft 365.
- Автоматические ежедневные отчеты об оценках соответствия, чтобы обеспечить непрерывное соответствие приложений.
- Рекомендации по обеспечению безопасности и соответствия требованиям, которые можно использовать в качестве руководства на начальном этапе жизненного цикла приложения.
Преимущества ACAT
Процесс соответствия требованиям, ориентированный на приложения.
- ACAT сообщает об оценках соответствия для облачной среды ваших приложений, которые можно интегрировать с текущей стратегией соответствия облачной инфраструктуры.
- Разработчики могут вызывать ACAT даже на этапе разработки приложения для выявления потенциальных рисков соответствия требованиям на ранней стадии.
Ускоряет процесс сертификации Microsoft 365.
- ACAT полностью автоматизирует некоторые элементы управления сертификацией Microsoft 365.
- Существует постоянно растущий список автоматизации, который активно разрабатывается корпорацией Майкрософт.
Встроенная интеграция с рабочим процессом сертификации Microsoft 365.
- ACAT полностью интегрирован с Центром партнеров для целей сертификации Microsoft 365.
Постоянно поддерживайте соответствие приложений или среды.
- ACAT обеспечивает ежедневное обновление оценок соответствия требованиям, адаптируя их к заданному времени триггера.
- ACAT позволяет легко интегрировать оценки соответствия требованиям в GitHub Actions или другие конвейеры CI/CD, обеспечивая непрерывный мониторинг.
Основные понятия ACAT
Отчет о соответствии нормативным требованиям
В ACAT можно провести аудит состояния соответствия приложения, создав для него отчет о соответствии. Вы можете определить границу соответствия для приложения, указав облачные ресурсы, которые создают приложение. Создание нескольких отчетов для одного приложения на основе разных сред и этапов разработки.
После создания отчета ACAT начинает собирать данные о соответствии за предопределенное время триггера, а затем создает результаты соответствия в виде отчета. В то же время ACAT постоянно отслеживает изменения соответствия для отчета о соответствии, пока вы не решите удалить отчет.
Элемент управления сертификацией Microsoft 365
ACAT ускорения сертификации Microsoft 365 путем автоматизации элементов управления соответствием. В зависимости от состояния автоматизации в ACAT определены три типа элементов управления соответствием.
- Полностью автоматизированное управление. Элемент управления сертификацией Майкрософт полностью автоматизирован С помощью ACAT.
- Частичное автоматическое управление вручную. ACAT может автоматизировать частичные обязанности элемента управления сертификацией Microsoft 365. Для выполнения оставшихся обязанностей необходимо выполнить инструкции, предоставленные ACAT.
- Полностью ручное управление. Для выполнения всех обязанностей необходимо следовать инструкциям, предоставленным ACAT.
В долгосрочной перспективе ACAT постоянно улучшает уровень автоматизации элементов управления сертификацией Microsoft 365.
Обязанности клиента
С каждым элементом управления связан набор обязанностей клиента, которые должны быть удовлетворены. Вы несете ответственность в следующих областях: данные, конечные точки, учетная запись, управление доступом и т. д.
Ответственность клиента вручную. Вы должны подготовить доказательства соответствия требованиям и передать их в ACAT. После этого ACAT передаст ваши доказательства в Центр партнеров при отправке отчета ACAT.
Автоматическая оценка ответственности клиента. ACAT может собирать данные для каждой ответственности и предоставлять результат оценки. Необходимо устранить все неработоспособные ресурсы, исправив их или предоставив дополнительные доказательства соответствия для обоснования текущего состояния ресурса.
Ответственность клиента по автоматическому сбору доказательств. Для отчетов, содержащих ресурсы, поддерживаемые функцией автоматического сбора доказательств ACAT, ACAT предлагает упрощенную помощь в подготовке доказательств соответствия с помощью простого процесса выбора кнопки. Если в списке ресурсов отчета отсутствуют поддерживаемые ресурсы, вы по-прежнему сохраняете возможность отправки подтверждения соответствия вручную.
Обязанности клиентов по автоматической оценке и автоматическому сбору доказательств предоставляют действия по исправлению, которые являются нашими рекомендациями, которые помогут вам согласовать стандарты сертификации Microsoft 365.
Примечание.
Обязанности клиентов по автоматической оценке ежедневно преломляются в зависимости от запланированного времени триггера. Однако обязанности клиентов по автоматическому сбору доказательств можно обновить только по запросу, нажав кнопку "Автоматический сбор доказательств с помощью ACAT".
Общие сведения о состоянии соответствия для элементов управления сертификацией Microsoft 365
В отчете о соответствии нормативным требованиям ACAT определяет обязанности клиента за каждый полностью автоматизированный контроль и частично автоматизированное ручное управление. Существует два состояния соответствия для ответственности клиента.
- Передано. Облачные ресурсы, применимые к этой ответственности клиента, являются работоспособными.
- Сбой. По крайней мере один облачный ресурс неработоспособен. Вы можете выполнить действия по исправлению, чтобы устранить проблемы с неработоспособными ресурсами.
- Н/Д. К ответственности клиента не применяются никакие облачные ресурсы, или эта ответственность клиента считается неприменимой на основе конфигурации приложения для этого отчета.
- Требуется проверка соответствия приложений. Вы вручную собираете доказательства и передаете их в соответствии с ответственностью клиента. Аналитик проведет тщательную проверку после отправки запроса на сертификацию Microsoft 365 в Microsoft Partner Network.
Состояния соответствия для элементов управления сертификацией Microsoft 365 зависят от состояния соответствия обязанностей клиентов.
- Передано: клиент не несет ответственности за состояние "Сбой" или "Требуется проверка соответствия приложений" для этого элемента сертификации Microsoft 365.
- Сбой. По крайней мере один клиент не справился с этим элементом сертификации Microsoft 365.
- Н/Д. Все обязанности клиента за этот контроль сертификации Microsoft 365 находятся в состоянии "Н/Д".
- Требуется проверка соответствия приложений. По крайней мере один клиент отвечает за состояние "Требуется проверка соответствия приложений". Аналитик проведет тщательную проверку после отправки запроса на сертификацию Microsoft 365 в Microsoft Partner Network.
Вопросы и ответы
Что такое ручные и частично автоматизированные элементы управления?
Каждый элемент управления соответствием связан с определенным набором обязанностей клиента, при этом ACAT собирает соответствующие данные о соответствии. Важно отметить, что сейчас ACAT не охватывает все элементы управления для сертификации Microsoft 365 (хотя предпринимаются усилия по расширению охвата). В случае частично автоматизированных элементов управления ACAT автоматизирует конкретные аспекты ответственности клиентов. Результаты оценки частично автоматизированного элемента управления способствуют аудиту сертификации Microsoft 365, и с вашей стороны требуются дальнейшие действия для выполнения оставшихся требований. Однако для ручного управления ACAT в настоящее время не автоматизирует какие-либо обязанности клиента.
Как узнать, полностью ли автоматизирован элемент управления?
ACAT постоянно улучшает автоматизацию управления. Ниже приведено текущее состояние автоматизации управления.
| Домен безопасности | Семейство элементов управления | Контрольный номер | Состояние автоматизации ACAT | Состояние автоматизации ACAT для AWS |
|---|---|---|---|---|
| Операционная безопасность | Обучение по повышению осведомленности | Элемент управления 1 | Вручную | Вручную |
| Операционная безопасность | Защита от вредоносных программ — антивирусная программа | Элемент управления 2 | Полная автоматизация | Частичная автоматизация |
| Операционная безопасность | Защита от вредоносных программ — управление приложениями | Элемент управления 3 | Вручную | Вручную |
| Операционная безопасность | Управление исправлениями — ранжирование рисков & исправлений | Элемент управления 4 | Вручную | Вручную |
| Операционная безопасность | Управление исправлениями — ранжирование рисков & исправлений | Элемент управления 5 | Частичная автоматизация | Частичная автоматизация |
| Операционная безопасность | Сканирование уязвимостей | Элемент управления 6 | Полная автоматизация | Частичная автоматизация |
| Операционная безопасность | Сканирование уязвимостей | Элемент управления 7 | Полная автоматизация | Полная автоматизация |
| Операционная безопасность | Элементы управления безопасностью сети (NSC) | Элемент управления 8 | Частичная автоматизация | Вручную |
| Операционная безопасность | Элементы управления безопасностью сети (NSC) | Элемент управления 9 | Частичная автоматизация | Автоматизированный сбор доказательств |
| Операционная безопасность | Управление изменениями | Элемент управления 10 | Вручную | Вручную |
| Операционная безопасность | Управление изменениями | Элемент управления 11 | Автоматизированный сбор доказательств | Автоматизированный сбор доказательств |
| Операционная безопасность | Безопасная разработка и развертывание программного обеспечения | Элемент управления 12 | Вручную | Вручную |
| Операционная безопасность | Безопасная разработка и развертывание программного обеспечения | Элемент управления 13 | Частичная автоматизация | Частичная автоматизация |
| Операционная безопасность | Управление учетными записями | Элемент управления 14 | Частичная автоматизация | Частичная автоматизация |
| Операционная безопасность | Управление учетными записями | Элемент управления 15 | Частичная автоматизация | Частичная автоматизация |
| Операционная безопасность | Управление учетными записями | Элемент управления 16 | Частичная автоматизация | Частичная автоматизация |
| Операционная безопасность | Ведение журнала событий безопасности, проверка и оповещение | Элемент управления 17 | Полная автоматизация | Частичная автоматизация |
| Операционная безопасность | Ведение журнала событий безопасности, проверка и оповещение | Элемент управления 18 | Полная автоматизация | Частичная автоматизация |
| Операционная безопасность | Ведение журнала событий безопасности, проверка и оповещение | Элемент управления 19 | Вручную | Вручную |
| Операционная безопасность | Ведение журнала событий безопасности, проверка и оповещение | Элемент управления 20 | Полная автоматизация | Частичная автоматизация |
| Операционная безопасность | Управление рисками информационной безопасности | Элемент управления 21 | Вручную | Вручную |
| Операционная безопасность | Управление рисками информационной безопасности | Элемент управления 22 | Вручную | Вручную |
| Операционная безопасность | Управление рисками информационной безопасности | Элемент управления 23 | Вручную | Вручную |
| Операционная безопасность | Управление рисками информационной безопасности | Элемент управления 24 | Вручную | Вручную |
| Операционная безопасность | Реагирование на инциденты безопасности | Элемент управления 25 | Вручную | Вручную |
| Операционная безопасность | Реагирование на инциденты безопасности | Элемент управления 26 | Вручную | Вручную |
| Операционная безопасность | Реагирование на инциденты безопасности | Элемент управления 27 | Вручную | Вручную |
| Операционная безопасность | План непрерывности бизнес-процессов (BCP) и план аварийного восстановления | Элемент управления 28 | Автоматизированный сбор доказательств | Вручную |
| Операционная безопасность | План непрерывности бизнес-процессов (BCP) и план аварийного восстановления | Элемент управления 29 | Автоматизированный сбор доказательств | Вручную |
| Операционная безопасность | План непрерывности бизнес-процессов (BCP) и план аварийного восстановления | Элемент управления 30 | Вручную | Вручную |
| Конфиденциальность & защиты обработки данных | Передаваемые данные | Элемент управления 1 | Полная автоматизация | Полная автоматизация |
| Конфиденциальность & защиты обработки данных | Передаваемые данные | Элемент управления 2 | Полная автоматизация | Полная автоматизация |
| Конфиденциальность & защиты обработки данных | Неактивные данные | Элемент управления 3 | Полная автоматизация | Полная автоматизация |
| Конфиденциальность & защиты обработки данных | Хранение, резервное копирование и удаление данных | Элемент управления 4 | Вручную | Вручную |
| Конфиденциальность & защиты обработки данных | Хранение, резервное копирование и удаление данных | Элемент управления 5 | Вручную | Вручную |
| Конфиденциальность & защиты обработки данных | Хранение, резервное копирование и удаление данных | Элемент управления 6 | Автоматизированный сбор доказательств | Вручную |
| Конфиденциальность & защиты обработки данных | Хранение, резервное копирование и удаление данных | Элемент управления 7 | Частичная автоматизация | Вручную |
| Конфиденциальность & защиты обработки данных | Управление доступом к данным | Элемент управления 8 | Автоматизированный сбор доказательств | Вручную |
| Конфиденциальность & защиты обработки данных | Управление доступом к данным | Элемент управления 9 | Вручную | Вручную |
| Конфиденциальность & защиты обработки данных | Конфиденциальность | Элемент управления 10 | Вручную | Вручную |
| Конфиденциальность & защиты обработки данных | Конфиденциальность | Элемент управления 11 | Автоматизированный сбор доказательств | Вручную |
| Конфиденциальность & защиты обработки данных | GDPR | Элемент управления 12 | Автоматизированный сбор доказательств | Вручную |
| Конфиденциальность & защиты обработки данных | GDPR | Элемент управления 13 | Вручную | Вручную |
| Конфиденциальность & защиты обработки данных | HIPAA | Элемент управления 14 | Вручную | Вручную |
| Конфиденциальность & защиты обработки данных | HIPAA | Элемент управления 15 | Вручную | Вручную |
Примечание.
Состояние автоматизации ACAT выражает, какой уровень автоматизации может помочь ACAT подготовить доказательства соответствия для элемента управления.
- Вручную. Необходимо вручную подготовить все доказательства соответствия для каждой ответственности клиента под этим контролем.
- Частичная автоматизация. Этот элемент управления имеет сочетание обязанностей клиента, включая автоматизированные оценки, автоматический сбор доказательств и обязанности клиента вручную. Необходимо исправить все невыполненые обязанности клиента и использовать функцию автоматического сбора доказательств для сбора доказательств. Для выполнения обязанностей, выполняемых вручную, предоставьте необходимые доказательства соответствия требованиям и отправьте их в ACAT.
- Полностью автоматизировано. Все обязанности клиента, которые находятся под этим контролем, — это либо обязанности клиента по автоматической оценке, либо обязанности клиента по автоматическому сбору доказательств.
Почему ответственность клиента не выполняется?
Существует несколько потенциальных причин несостояния ответственности клиента:
- Настоятельно рекомендуется сначала заполнить параметры конфигурации приложения, так как ACAT настраивает состояние по умолчанию для некоторых элементов управления на основе вашей конфигурации.
- Для случаев, когда клиент несет ответственность вручную, по умолчанию устанавливается состояние "сбой" в качестве напоминания о необходимости следовать примеру руководства по подтверждению для сбора и отправки доказательств вручную.
- Для случаев, когда клиент отвечает за автоматизированный сбор доказательств, вы можете внедрить решение ACAT для
Remidiation stepsкаждой ответственности клиента, а затем активировать ACAT для автоматического сбора доказательств. Кроме того, вы можете следовать примеру руководства по доказательствам, чтобы собрать и отправить доказательства вручную для собственного решения. - Для случаев автоматической оценки ответственности клиента вы можете либо следовать решениям ACAT в
Remidiation stepsдля каждой ответственности клиента, либо следовать примеру руководства по подтверждению, чтобы собирать и передавать доказательства вручную для собственного решения.
Совет
Устранение всех сбоев в ACAT не является обязательным. Вы можете сохранить состояние "Failed" в ACAT и вместо этого отправить собственное свидетельство в Центр партнеров после инициации проверки сертификации. Это позволит сначала обсудить с аудитором любые вопросы или вопросы, касающиеся конкретного контроля.
Почему В ACAT отображается предупреждающее сообщение с просьбой подтвердить изменения параметров конфигурации приложения?
Этот application configuration параметр важен, так как ACAT настраивает состояние по умолчанию для некоторых элементов управления на основе вашей конфигурации, например, некоторые элементы управления по умолчанию изменяются на состояние "Н/Д".
При изменении application configuration параметров ACAT проверяет их на соответствие выбранным облачным ресурсам и выводит предупреждающее сообщение, если конфигурация может быть неправильной. Проверяющий по сертификации также проверяет эти параметры на Initial Document Submission этапе сертификации Microsoft 365.
Предложенные изменения были сделаны на основе предложения по исправлению, но элемент управления по-прежнему завершается сбоем
После принятия корректирующих действий по устранению сбоя необходимо предоставить ACAT время для получения обновленных результатов оценки состояния элемента управления. Оценки проводятся каждые 24 часа в соответствии с предопределенным временем триггера.
Хранятся ли доказательства в ACAT?
Перед отправкой доказательств в ACAT вручную или разрешением ACAT на автоматический сбор доказательств вам будет предложено настроить собственную учетную запись хранения в качестве репозитория доказательств с помощью Evidence Repository параметра . Все доказательства хранятся в назначенной учетной записи хранения. После отправки проверки сертификации Microsoft 365 в Центре партнеров, выбрав конкретный отчет ACAT, ACAT помогает отправлять отчет о соответствии ACAT, автоматически собирать доказательства и вручную передавать доказательства проверяющему по сертификации.
Как отчет о соответствии используется в процессе сертификации?
ACAT легко интегрируется с Центром партнеров для прохождения сертификации Microsoft 365. Дополнительные сведения об использовании отчета о соответствии требованиям для ускорения сертификации Microsoft 365