Ознакомление с политикой информационной безопасности Microsoft 365
Подразделения и группы продуктов корпорации Майкрософт отвечают за реализацию политик безопасности, стандартов и требований программы политики и стандартов безопасности Майкрософт. Microsoft 365 документирует эти реализации безопасности в политике информационной безопасности Microsoft 365. Эта политика соответствует политике безопасности Майкрософт и регулирует информационную систему Microsoft 365, включая все среды Microsoft 365 и все ресурсы, участвующие в сборе, обработке, обслуживании, использовании, совместном применении, распространении и утилизации данных.
Область
Политика информационной безопасности Microsoft 365 предназначена для того, чтобы обеспечить для Microsoft 365 работу в соответствии с рекомендациями, достижение корпоративной цели по созданию и поддержанию доверия клиентов, соответствие нормативным требованиям и обязательствам по отношению к клиентам, а также поддерживать обещания в отношении конфиденциальности, целостности и доступности служб Microsoft 365.
Информационная система Microsoft 365 включает следующие компоненты, управляемые политикой информационной безопасности Microsoft 365.
- Инфраструктура: физические и аппаратные компоненты систем Microsoft 365 (помещения, оборудование и сети)
- Программное обеспечение: программы и операционное программное обеспечение систем Microsoft 365 (системы, приложения и вспомогательные программы)
- Люди: персонал, участвующий в эксплуатации и использовании систем Microsoft 365 (разработчики, операторы, пользователи и руководители)
- Процедуры: запрограммированные и ручные процедуры, связанные с работой систем Microsoft 365
- Данные: сведения, создаваемые, собираемые и обрабатываемые системами Microsoft 365 (потоки транзакций, файлы, базы данных и таблицы)
Все компоненты информационной системы Microsoft 365 управляются политикой информационной безопасности Microsoft 365.
Платформа управления Microsoft 365
Политика информационной безопасности Microsoft 365 дополняется платформой управления Microsoft 365. В платформе управления Microsoft 365 подробно описаны требования к минимальной безопасности для всех служб Microsoft 365 и компонентов информационной системы, а также содержатся ссылки на юридические и корпоративные требования для каждого средства контроля. Платформа включает имена действий средств контроля, описания и рекомендации для обеспечения эффективного внедрения средств контроля командами обслуживания. Microsoft 365 использует платформу управления для отслеживания доказательств внедрения средства контроля для внутренней и внешней отчетности.
Платформа управления состоит из 18 целей в следующих ключевых областях:
- Управление доступом (AC)
- Осведомленность и обучение (AT)
- Аудит и отчетность (AU)
- Оценка безопасности (CA)
- Управление конфигурацией (CM)
- Планирование на случай непредвиденных обстоятельств (CP)
- Идентификация и проверка подлинности (IA)
- Реагирование на инциденты (IR)
- Обслуживание (MA)
- Защита носителей (MP)
- Физический доступ (PE)
- Планирование безопасности (PL)
- Управление программами (PM)
- Безопасность персонала (PS)
- Оценка риска (RA)
- Приобретение системы и служб (SA)
- Защита систем и коммуникаций (SC)
- Системная и информационная целостность (SI)
Роли и обязанности
Каждая команда обслуживания в Microsoft 365 назначает лиц, ответственных за обеспечение соответствия требованиям политики информационной безопасности Microsoft 365, реализацию соответствующих средств контроля безопасности и проверку правильности реализации средств контроля. В таблице ниже кратко обобщены роли с важными обязанностями по обеспечению согласования с политикой информационной безопасности Microsoft 365.
| Роль | Описание обязанностей |
|---|---|
| Руководитель по безопасности информационной системы | Физическое лицо, ответственное за поддержание состояния операционной безопасности информационной системы. |
| Ответственный за обеспечение соответствия требованиям GRC | Физическое лицо, ответственное за определение минимальных требований безопасности и проверку того, что эти требования соблюдаются в Microsoft 365. |
| EVP, интерфейс и устройства | Руководитель, ответственный за установку стратегического направления для группы проектирования, включая цели безопасности и соответствия требованиям. |
| Лидеры соответствия требованиям команды обслуживания | Специалисты в каждой команде обслуживания, которые помогают участникам команды обслуживания в реализации требований политики и стандартов. |
| Участники команды обслуживания | Участники команд обслуживания, отвечающие за реализацию требований политики и стандартов. |
Обновления платформы управления Microsoft 365
Команда microsoft 365 Trust работает над поддержанием внутренней платформы управления Microsoft 365 на постоянной основе. В нескольких сценариях может потребоваться, чтобы команда доверия обновила платформу управления, в том числе изменения соответствующих правил или законов, возникающие угрозы, результаты тестов на проникновение, инциденты безопасности, отзывы об аудите и новые требования к соответствию. Когда требуется изменение платформы, группа доверия определяет ключевых заинтересованных лиц, ответственных за утверждение и реализацию изменения, чтобы убедиться, что это возможно и не приведет к непредвиденным проблемам со службами Microsoft 365. Когда команда доверия и соответствующие заинтересованные лица договорятся о том, что требуется для изменения, рабочие нагрузки, ответственные за реализацию изменений, устанавливают целевые даты завершения и работают над реализацией изменения в своих соответствующих службах. После достижения целевых показателей реализации команда доверия обновляет платформу управления новыми или обновленными элементами управления.
Процесс исключения
Все исключения из политики информационной безопасности Microsoft 365 должны иметь бизнес-обоснование и утверждаться соответствующим руководящим органом в Microsoft 365. Исключения также должны получить утверждение управлением обслуживающей команды и должны быть задокументированы в средстве управления рисками Microsoft 365. В зависимости от области действия исключения и создаваемого им потенциального риска может потребоваться получить утверждение для исключений от корпоративного вице-президента или руководителя более высокого уровня. Исключения вводятся в средство управления рисками Microsoft 365, где они проверяются и утверждаются для поддержания релевантности.