Использование диспетчера соответствия требованиям для соблюдения требований к защите данных и нормативных актов при работе с облачными службами (Майкрософт)

Диспетчер соответствия требованиям недоступен в Служба Office 365, предоставляемая 21Vianet, Office 365 Germany, Office 365 U.S. Government Community High (GCC High) и Office 365 Department of Defense.

Диспетчер соответствия требованиям, основанное на рабочих процессах средство оценки рисков на портале Microsoft Service Trust Portal, помогает отслеживать, назначать и проверять операции по соблюдению нормативных требований в отношении профессиональных и облачных служб Майкрософт, например Microsoft Office 365, Microsoft Dynamics 365 и Microsoft Azure. Диспетчер соответствия требованиям:

  • Содержит подробные сведения, предоставляемые корпорацией Майкрософт аудиторам и контролирующим органам в рамках сторонних аудитов облачных служб Майкрософт на соответствие различным стандартам (например, ISO 27001, ISO 27018 и NIST), данные, которые Майкрософт собирает внутри компании для соблюдения нормативных требований (таких как акт HIPAA и Общий регламент по защите данных ЕС, или GDPR), а также ваши собственные оценки соответствия таким стандартам и нормативным актам.

  • Позволяет назначать, отслеживать и регистрировать действия, связанные с соответствием требованиям и оценкой, что помогает обеспечить соответствие требованиям в рамках всей организации.

  • Предоставляет рейтинг соответствия требованиям, который помогает вам отслеживать прогресс и определять приоритеты инструментов контроля аудита с целью снижения рисков организации.

  • Предоставляет защищенный репозиторий для хранения доказательств и других артефактов, связанных с действиями по обеспечению соответствия требованиям, а также управления ими.

  • Позволяет создавать подробные отчеты в Microsoft Excel, в которых документируются действия по соответствию требованиям, выполняемые корпорацией Майкрософт и вашей организацией, для предоставления аудиторам, контролирующим органам и другим заинтересованным лицам.

Важно: диспетчер соответствия требованиям — это панель мониторинга, которая содержит общие сведения о статусе защиты данных и соответствия требованиям, а также рекомендации по их улучшению. Указанные в диспетчере соответствия требованиям действия клиентов являются рекомендациями. Организации сами должны определить, имеют ли они смысл в конкретной среде, прежде чем внедрять их. Рекомендации диспетчера соответствия требованиям не должны рассматриваться в качестве гарантии соблюдения требований.

Содержание

Основные понятия   

Использование поиска

Поддержка локализации

Оценки в диспетчере соответствия требованиям

Разрешения и управление доступом на основе ролей

Оценка соответствия требованиям

Методология оценки соответствия

Группировка оценок

Административные функции   

Назначение пользователям ролей менеджера по соответствию требованиям

Параметры конфиденциальности пользователя

Использование диспетчера соответствия требованиям   

Доступ к диспетчеру соответствия требованиям

Использование панели мониторинга диспетчера соответствия требованиям

Просмотр поручений

Добавление оценки

Копирование информации из существующих оценок

Просмотр оценок

Управление процессом оценки

Управление поручениями

Экспорт данных из оценки

Архивация оценки

Журнал изменений средств контроля, управляемых клиентом   

Журнал изменений

Основные понятия

Диспетчер соответствия требованиям — это основанное на рабочих процессах средство оценки рисков, которое поможет вам управлять соответствием нормативным требованиям в рамках модели разделения ответственности, подразумеваемой облачными службами. Диспетчер соответствия требованиям предоставляет панель мониторинга, на которой можно отслеживать стандарты, нормативные требования и оценки. Здесь вы найдете сведения о реализации средств контроля, используемых Майкрософт, и результатах их тестирования, и сможете просматривать рекомендации по внедрению собственных средств контроля и вводить данные для их отслеживания. Диспетчер предлагает определения средств контроля для оценок, требуемых сертификациями, рекомендации по их внедрению и тестированию, механизмы оценки средств контроля с учетом рисков, управление доступом на основе ролей, а также встроенный рабочий процесс назначения действий для средств контроля, позволяющий отслеживать их реализацию, статус тестирования и управление доказательствами. Диспетчер соответствия требованиям упрощает соответствие требованиям, позволяя логически группировать оценки и применять тестирование к одинаковым или связанным средствам контроля, чтобы не тратить усилия на соблюдение одинаковых требований для разных сертификаций.

Service Trust Portal: поле ввода поиска

Щелкните значок увеличительного стекла в правом верхнем углу страницы, чтобы развернуть поле ввода поискового запроса, введите ключевые слова и нажмите клавишу ВВОД.  Отобразится средство управления поиском с поисковым запросом в поле ввода области поиска, а ниже появятся результаты поиска.

Поиск по умолчанию возвращает в результатах документы и позволяет уточнить список отображаемых документов, вывести больше или меньше результатов, используя раскрывающиеся списки фильтра. Вы можете одновременно использовать несколько атрибутов фильтра, чтобы получить документы только для определенных облачных служб, стандартов соответствия требованиям и безопасности, регионов или отраслей.  Чтобы скачать документ, щелкните ссылку с его названием.

Service Trust Portal: поиск в документах с применением фильтра

Щелкните ссылку диспетчера соответствия требованиям, чтобы отобразить результаты поиска для средств контроля оценки диспетчера соответствия требованиям. В списке результатов поиска показана дата создания оценки, имя группы оценки, применяемая облачная служба и под чьим управлением (Майкрософт или клиента) находятся средства контроля.

Service Trust Portal: поиск в средствах контроля диспетчера соответствия требованиям

Примечание: Отчеты и документы на портале Service Trust Portal доступны для скачивания в течение по крайней мере 12 месяцев после публикации или до тех пор, пока не станет доступна новая версия.

К началу

Портал Service Trust Portal доступен на нескольких языках.  Чтобы изменить язык страницы, просто щелкните значок земного шара в левом нижнем углу страницы и выберите нужный вариант. 

Service Trust Portal: параметры локализованного содержимого

К началу

Ключевым компонентом диспетчера соответствия является оценка. Она определяет соответствие службы Майкрософт стандарту сертификации или нормативным требованиям к защите данных (например, ISO 27001:2013 или GDPR). Оценки помогают выявлять, насколько защита данных и соответствие требованиям в вашей организации отвечают отраслевому стандарту для определенной облачной службы Майкрософт. Оценки реализуются посредством внедрения средств контроля для соответствующего стандарта сертификации.

Структура оценка отражает принцип распределения ответственности между корпорацией Майкрософт и вашей организацией по оценке рисков безопасности и соответствия требованиям в облаке и по внедрению мер защиты данных, определяемых стандартом соответствия требованиям или защиты данных, нормативным положением или законом.

Оценка состоит из нескольких компонентов:

Охваченные службы. Каждая оценка относится к определенному набору служб Майкрософт, которые указаны в разделе In-Scope services (Охваченные службы).

Средства контроля, управляемые Майкрософт.    Для каждой облачной службы Майкрософт внедряет и администрирует набор средств для соответствия различным стандартам и нормативным актам. Такие средства группируются в семейства со структурой, соответствующей сертификации или нормативному акту, на основании которых выполняется оценка. Для каждого такого средства диспетчер соответствия требованиям предлагает сведения о том, как корпорация Майкрософт внедрила его, а также как и когда такое внедрение было протестировано и проверено независимым сторонним аудитором.

Ниже приведен пример трех средств контроля, управляемых Майкрософт, из семейства Security (Безопасность) для оценки соответствия Office 365 стандарту GDPR.

Сведения о средствах контроля Майкрософт в диспетчере соответствия требованиям
  1. Здесь указывается информация из сертификации или нормативного акта, которые соответствуют средству контроля, управляемому Майкрософт.

    • Control ID    (Идентификатор средства контроля). Номер раздела или статьи сертификации либо нормативного акта, которым соответствует средство контроля.

    • Title    (Название). Название соответствующей сертификации или нормативного акта.

    • Article ID    (Идентификатор статьи). Это поле доступно только для оценок GDPR. В нем указывается номер соответствующей статьи GDPR.

    • Description    (Описание). Текст стандарта или нормативного акта, который соответствует выбранному средству контроля Майкрософт.

  2. Рейтинг соответствия требованиям для средства контроля, который обозначает уровень риска (из-за несоответствия или отсутствия внедрения средства контроля) для каждого средства контроля, управляемого Майкрософт. Дополнительные сведения см. в разделе Сведения о рейтинге соответствия требованиям. Обратите внимание, что рейтинг соответствия требованиям принимает значение от 1 до 10 и обозначен цветом. Желтый цвет указывает на низкий уровень риска средств контроля, оранжевый — на средний уровень, красный — на высокий уровень риска.

  3. Сведения о статусе внедрения средства контроля, дате его тестирования, о том, кто выполнил тест, и о результатах тестирования.

  4. Для каждого средства можно щелкнуть More (Дополнительно), чтобы посмотреть дополнительные сведения, включая данные о его внедрении корпорацией Майкрософт, а также его тестировании и проверке независимым сторонним аудитором.

Средства контроля, управляемые клиентом.    В эту коллекцию включены средства, которые управляются вашей организацией. Организация отвечает за их внедрение для соблюдения определенного стандарта или нормативного акта. Средства контроля, управляемые клиентом, группируются в семейства в соответствии с сертификациями или нормативными актами. Используйте такие средства контроля для реализации действий, рекомендуемых корпорацией Майкрософт для соблюдения требований. Организация может использовать советы и рекомендации в таких средствах для управления процессом внедрения и оценки.

У средств контроля, управляемых клиентом, также есть встроенные функции управления рабочими процессами, с помощью которых можно отслеживать ход оценки и выполнять действия, необходимые для ее успешного прохождения. Например, сотрудник, отвечающий за соответствие требованиям в вашей организации, может назначать поручения ИТ-администратору, у которого есть разрешения на выполнение рекомендуемых действий. По завершении работы ИТ-администратор может добавить доказательства выполнения задач (например, снимки экрана с конфигурацией или параметрами политики), а затем назначить поручения сотруднику, отвечающему за соответствие требованиям, чтобы он оценил собранные доказательства, протестировал реализацию средства контроля и зарегистрировал дату внедрения и результаты проверки в диспетчере соответствия требованиям. Дополнительные сведения см. в разделе Управление процессом оценки этой статьи.

К началу

По умолчанию все пользователи в организации могут с помощью учетной записи Office 365 или Azure AD запускать диспетчер соответствия требованиям и выполнять в нем любые действия. Чтобы использовать вместо стандартных разрешений модель управления доступом на основе ролей, необходимо добавить в каждую роль диспетчера соответствия требованиям хотя бы одного пользователя (см. приведенные ниже инструкции). После добавления пользователя в роль разрешения, назначенные этой роли, будут удалены из стандартного набора разрешений, доступного всем пользователям, и только пользователи, которым была назначена эта роль, смогут получать доступ к диспетчеру и выполнять связанные с нею действия.

После внедрения доступа на основе ролей у всех пользователей, которым не назначена определенная роль в диспетчере соответствия требованиям, будет гостевой доступ.

Примечание: чтобы полностью внедрить управление доступом на основе ролей и контролировать то, кто может получать доступ к диспетчеру соответствия требованиям и выполнять в нем действия, необходимо добавить по крайней мере одного пользователя в каждую роль. Например, если добавить пользователей к роли, которая позволяет управлять оценками, только они смогут управлять оценками. С другой стороны, если не добавить пользователя в роль, которая позволяет читать данные оценок, все пользователи в организации смогут получать доступ к диспетчеру соответствия требованиям и читать данные любых оценок.

В таблице ниже описаны все разрешения в диспетчере соответствия требованиям, а также указаны роли, которым они назначаются.

Compliance Manager Reader (Читатель диспетчера соответствия требованиям)

Compliance Manager Contributor (Участник диспетчера соответствия требованиям)

Compliance Manager Assessor (Аудитор диспетчера соответствия требованиям)

Compliance Manager Administrator (Администратор диспетчера соответствия требованиям)

Portal Admin (Администратор портала)

Read data    (Чтение данных). Пользователи могут читать данные, но не редактировать их.

Флажок

Флажок

Флажок

Флажок

Флажок

Edit data    (Изменение данных). Пользователи могут изменять все поля, за исключением полей Test Result (Результат тестирования) и Test Date (Дата тестирования).

Флажок

Флажок

Флажок

Флажок

Edit test results    (Изменение результатов тестирования). Пользователи могут изменять поля Test Result (Результат тестирования) и Test Date (Дата тестирования).

Флажок

Флажок

Флажок

Manage assessments    (Управление оценками). Пользователи могут создавать, архивировать и удалять оценки.

Флажок

Флажок

Manage users    (Управление пользователями). Пользователи могут добавлять в организацию других пользователей с ролями Reader (Читатель), Contributor (Участник), Assessor (Аудитор) и Administrator (Администратор). Только пользователи, имеющие роль глобального администратора в организации, могут добавлять или удалять пользователей для роли Portal Admin (Администратор портала).

Флажок

Гостевой доступ

После настройки доступа любой пользователь, которому не была назначена роль, будет по умолчанию иметь гостевой доступ (это также относится к учетным записям, не предоставленным организацией, таким как личные учетные записи Майкрософт).  У гостей нет полного доступа ко всем функциям диспетчера соответствия требованиям, и они не могут просматривать данные оценок, касающиеся соответствия требованиям. Однако они смогут получать доступ к отчетам о соответствии требованиям, касающимся Майкрософт, и документам Service Trust.  На рисунка ниже доступные функции выделены синим, а недоступные — красным.

Панель мониторинга диспетчера соответствия требованиям: гостевой доступ

Диспетчер соответствия требованиям: гостевой доступ, график

К началу

На информационной панели диспетчера соответствия требованиям в правом верхнем углу плитки отображается общий рейтинг Office 365. Это общий рейтинг соответствия требованиям, который включает баллы, полученные по результатам оценки всех средств контроля, помеченных при оценке как внедренные и протестированные. При добавлении оценки можно заметить, что рейтинг соответствия требованиям уже частично заполнен. Это связано с тем, что баллы для средств контроля, управляемых Майкрософт, уже отражены в рейтинге, после того, как они были реализованы Майкрософт и протестированы независимыми сторонними организациями.

Диспетчер соответствия требованиям: общая оценка соответствия

Остальные баллы присваиваются за успешное прохождение проверки клиентских средств контроля, то есть за реализацию и тестирование управляемых клиентом средств контроля, каждому из которых присваивается определенное число баллов.  

Для каждой оценки показан рейтинг соответствия требованиям, который помогает определить уровень риска (из-за несоответствия или сбоя), связанный с каждым средством контроля (включая средства контроля, управляемые Майкрософт или клиентом).  Каждому средству контроля, управляемому клиентом, назначается максимальное количество баллов (называемое рейтингом серьезности) по шкале от 1 до 10. Чем больше фактор риска средства контроля, тем больше баллов ему назначается.

Например, у показанного ниже средства контроля User Access Management (Управление доступом пользователей) очень высокий рейтинг серьезности, поэтому ему назначено значение 10.

Диспетчер соответствия требованиям: высокая важность средства контроля, оценка 10

 С другой стороны, у средства контроля Information Backup (Резервное копирование информации) более низкий рейтинг серьезности, поэтому ему соответствует значение 3.

Диспетчер соответствия требованиям: низкая важность средства контроля, оценка 3

Диспетчер соответствия требованиям назначает каждому средству контроля стандартный рейтинг серьезности. Рейтинг риска рассчитывается на основе указанных ниже критериев.

  • Предотвращает ли средство контроля возникновение инцидентов (самый высокий рейтинг), обнаруживает ли возникшие инциденты или исправляет их воздействие (самый низкий рейтинг).Что касается рейтинга серьезности, то средству контроля, которое предотвращает угрозы и является обязательным, назначается наибольшее число баллов, а средствам контроля, которые отвечают за обнаружение и исправление воздействия угроз (независимо от того, являются они обязательными или дискреционными), назначается наименьшее число.

  • Является ли средство контроля (после внедрения) обязательным, то есть пользователь не может обойти его (например, при сбросе пароля необходимо соблюсти требования в отношении длины пароля и символов в нем), или дискреционным, то есть пользователь может обойти его (например, бизнес-правила, которые требуют блокировки экранов, когда компьютер не используется).

  • Средства контроля, связанные с рисками нарушения конфиденциальности, целостности и доступности данных, независимо от того, являются эти угрозы внутренними или внешними, умышленными или случайными. Например, средствам контроля, которые помогают предотвратить внешнее проникновение в сеть и доступ к персональным данным, будет назначено больше баллов, чем средству контроля, которое не позволяет работнику случайно выполнить неправильную настройку маршрутизатора, вызывающую сбой в работе сети.

  • Риски, связанные с юридическими и внешними факторами, например контрактами, нормативными актами и общественными обязательствами, для каждого средства контроля.

Значения рейтинга соответствия требованиям для средства контроля учитываются или не учитываются в общем рейтинге полностью (то есть баллы начисляются, только если средство контроля было реализовано и прошло тестирование; частичное внедрение не учитывается).  Баллы прибавляются к общему рейтингу только когда, когда Implementation Status (Статус внедрения) элемента управления равен Implemented (Внедрено) или Alternative Implementation (Альтернативное внедрение), а в поле Test Result (Результат тестирования) указано Passed (Успешно).  

Основная функция рейтинга соответствия требованиям заключается в том, что он помогает определить, реализации каких средств контроля необходимо уделять внимание в первую очередь (он обозначает средства, с отсутствием внедрения которых связан наибольший риск).  Кроме того, важно заметить, что если средства контроля связаны с другими средствами (в той же оценке или в другой оценке этой группы), успешное прохождение проверки одним из средств может существенно упростить работу по проверке другого благодаря синхронизации результатов тестирования.

Например, на рисунке ниже показано, что оценка GDPR для Office 365 завершена на 46%, а 51 пройденная оценка из 111 возможных дает общий рейтинг соответствия требованиям, равный 289 из 600.

Диспетчер соответствия требованиям: сводка оценки

В рамках оценки средство контроля GDPR 7.5.5 связано с 5 другими (7.4.1, 7.4.3, 7.4.4,.7.4.8 и 7.4.9), каждое из которых имеет средний или высокий рейтинг серьезности (от 6 до 8).  Используя фильтр оценок, мы выбрали все эти средств контроля, показав их в представлении оценки. Как видно, ни одно из них не проходило оценку.    

Представление оценки в диспетчере соответствия требованиям: фильтрация средств контроля, оценки не выполнялись Так как эти 6 средств контроля связаны, при тестировании любого из них результаты будут синхронизированы с остальными средствами в этой оценке (или в других оценках, принадлежащих к той же группе). После реализации и тестировании средства контроля GDPR 7.5.5 область сведений обновится, и мы увидим, что все 6 средств контроля прошли оценку, число проверенных средств увеличилось до 57 (51%), а общий рейтинг соответствия требованиям поднялся на 40 баллов.

Представление оценки в диспетчере соответствия требованиям: результаты проверки средств контроля синхронизированы

Если изменение состояния реализации средства контроля повлияет на связанные с ним средства, появится диалоговое окно с запросом на подтверждение.

Оценка в диспетчере соответствия требованиям: диалоговое окно подтверждения для обновления связанных средств контроля

Примечание: сейчас рейтинг соответствия требованиям включен только в оценки для облачных служб Office 365. В оценках для Azure и Dynamics показан только статус.

К началу

Рейтинг соответствия требованиям аналогичен другим системам оценки на основе поведения, например Оценке безопасности (Майкрософт). Действия организации, связанные с защитой данных, конфиденциальностью и безопасностью, могут повысить ее рейтинг соответствия требованиям.

Примечание: рейтинг соответствия требованиям не является абсолютным показателем соответствия организации конкретному стандарту или нормативному акту. Он показывает степень внедрения средств контроля, которые помогают снизить риски, связанные с персональными данными и конфиденциальностью. Ни одна служба, включая рейтинг соответствия требованиям, не может гарантировать соответствие конкретному стандарту или нормативному акту.

Оценки в диспетчере соответствия требованиям формируются на основе модели разделения ответственности для облачных вычислений. В такой модели корпорация Майкрософт и каждый клиент разделяют ответственность за защиту данных клиента, которые хранятся в облаке.

Как показано ниже в оценке GDPR для Office 365, корпорация Майкрософт и клиенты несут ответственность за выполнение различных действий, направленных на выполнение требований оцениваемого стандарта или нормативного акта. Чтобы выявить необходимые действия и составить представление о них, в диспетчере соответствия требованиям все стандарты и нормативные акты рассматриваются как платформы контроля. Таким образом, действия, выполняемые корпорацией Майкрософт и клиентами для каждой оценки, включают внедрение и проверку различных средств контроля.

Диспетчер соответствия требованиям: оценка GDPR

Вот как выглядит базовый рабочий процесс для типичного действия:

  1. Специалист по обеспечению соответствия требованиям, контролю рисков, конфиденциальности и (или) защите данных в организации назначает сотруднику организации задачу по внедрению средства контроля. Этим сотрудником может быть:

    1. владелец бизнес-политики;

    2. специалист по внедрению ИТ;

    3. другой человек в организации, который несет ответственность за выполнение задачи.

  2. Назначенный сотрудник выполняет задачи, необходимые для внедрения средства контроля, отправляет доказательства внедрения в диспетчер соответствия требованиям и отмечает средство контроля, связанное с действием, как внедренное. После выполнения этих задач действие назначается аудитору для проверки. Аудиторами могут быть:

    1. внутренние аудиторы, которые выполняют проверку средств контроля внутри организации;

    2. внешние аудиторы, которые изучают, проверяют и подтверждают соответствие требованиям (например, сторонние независимые организации, проверяющие облачные службы Майкрософт).

  3. Аудитор проверяет средство контроля, изучает доказательства и отмечает средства контроля как оцененные, а также указывает результаты оценки (например, "Успешно").

Процесс считается завершенным, когда оценены все необходимые средства контроля.

Для каждой оценки в диспетчере соответствия требованиям указаны сведения о действиях, предпринятых корпорацией Майкрософт для выполнения требований средств контроля, за которые она несет ответственность. В этих сведениях содержится информация о том, как корпорация Майкрософт внедряла каждое средство контроля, а также как и когда это внедрение было оценено и проверено сторонним аудитором. По этой причине средства контроля, управляемые Майкрософт, для каждой оценки отмечены как оцененные, что отражается в рейтинге соответствия требованиям.

Каждая оценка включает итоговый рейтинг соответствия требованиям, сформированный на основе модели разделения ответственности. Выполненные корпорацией Майкрософт внедрение и проверка средств контроля для Office 365 формируют часть итогового рейтинга для оценки GDPR. По мере внедрения и проверки клиентом своих действий рейтинг соответствия требованиям для оценки будет увеличиваться на значение, присвоенное соответствующему средству контроля.

Методология оценки на основе рисков

Диспетчер соответствия требованиям использует методологию оценки на основе рисков со шкалой от 1 до 10. Чем выше риск, связанный с отсутствием или несоответствием определенного средства контроля, тем большее значение ему присваивается. Система оценки, используемая для рейтинга соответствия требованиям, основана на нескольких ключевых факторах, перечисленных ниже.

  1. Сущность средства контроля.

  2. Уровень риска, связанный со средством контроля, с учетом типов угроз.

  3. Внешние факторы для средства контроля.

Диспетчер соответствия требованиям: методология оценки соответствия

Сущность средства контроля

Сущность средства контроля зависит от того, является оно обязательным или дискреционным, а также от его назначения (профилактическое, обнаруживающее или корректирующее средство).

Обязательное или дискреционное

Обязательные средства контроля невозможно обойти ни намеренно, ни случайно. Пример распространенного обязательного средства контроля — централизованная политика паролей, которая задает требования в отношении их длины, сложности и срока действия. Чтобы получить доступ к системе, пользователи должны выполнить эти требования.

Дискреционные средства контроля применяются в зависимости от того, как пользователь понимает политику и действует ли он в соответствии с ней. Например, политика, которая требует от пользователя блокировать компьютер, остающийся без присмотра, является дискреционной, так как зависит от действий пользователя.

Профилактическое, обнаруживающее или корректирующее

Профилактические средства контроля предотвращают конкретные риски. Например, защита хранящейся информации с помощью шифрования — это профилактическое средство контроля для защиты от атак, несанкционированного доступа и других угроз. Разделение обязанностей — это профилактическое средство контроля, позволяющее управлять конфликтами интересов и обеспечить защиту от мошенничества.

Обнаруживающие средства контроля обеспечивают активный мониторинг системы для выявления нестандартного поведения или ситуаций, которые связаны с риском или указывают на возможное вторжение либо несанкционированный доступ. К таким средствам контроля, используемым для мониторинга, относится аудит доступа к системе и привилегированных действий администраторов. Проверки соблюдения нормативных требований — это средство контроля, которое используется для поиска ошибок в процессах.

Корректирующие средства контроля пытаются свести к минимуму негативное влияние нарушений безопасности, предпринять действия для уменьшения мгновенного воздействия и устранить последствия, если это возможно. К этому типу средств контроля относятся ответные действия на несанкционированный доступ, которые ограничивают последствия и восстанавливают рабочее состояние систем.

Оценивая каждое средство контроля с учетом этих факторов, мы определяем его сущность и назначаем ему значение в зависимости от связанного с ним риска.

Угроза

Обязательное

Дискреционное

Профилактическое

Высокий уровень риска

Средний уровень риска

Обнаруживающее

Средний уровень риска

Низкий уровень риска

Корректирующее

Средний уровень риска

Низкий уровень риска

Под угрозой понимается все, что связано с риском для основного общепринятого стандарта безопасности (три принципа защиты данных CIA: конфиденциальность, целостность и доступность).

  • Конфиденциальность означает, что информацию могут прочитать и понять только доверенные уполномоченные лица.

  • Целостность означает, что информация не была изменена или удалена неуполномоченными лицами.

  • Доступность означает, что к информации можно получить доступ с высоким уровнем качества обслуживания.

Нарушение любого из этих принципов ставит под угрозу безопасность всей системы. Угрозы могут носить как внутренний, так и внешний характер, а действия могут быть случайными или умышленными. Эти факторы оцениваются в матрице угроз, где каждому сочетанию присваивается высокий, средний или низкий уровень угрозы.

Внутренняя

Внешняя

Умышленные

Случайные

Умышленные

Случайные

Конфиденциальность

(В, С или Н)

(В, С или Н)

(В, С или Н)

(В, С или Н)

Целостность

(В, С или Н)

(В, С или Н)

(В, С или Н)

(В, С или Н)

Доступность

(В, С или Н)

(В, С или Н)

(В, С или Н)

(В, С или Н)

Внешние факторы

Контракты

Нормативные акты

Общественные обязательства

(В, С или Н)

(В, С или Н)

(В, С или Н)

Внешние факторы, например применимые нормативные акты, контракты и общественные обязательства, могут влиять на средства контроля, созданные для защиты данных и предотвращения атак, и для каждого из этих факторов назначается высокий, средний или низкий уровень риска.

Сводные данные о предполагаемом количестве повторений высокого, среднего и низкого уровней риска в 15 возможных сценариях (критерии CIA/угрозы и юридические/внешние факторы) и вероятность рисков используются для определения весовых коэффициентов рисков, которые учитываются при расчете рейтинга серьезности для средства контроля.

На основе рейтинга серьезности средству контроля присваивается рейтинг соответствия требованиям от 1 (низкий) до 10 (высокий) в соответствии со следующими категориями риска:

Уровень риска

Значение средства контроля

Низкий

1–3

Средний

6

Высокий

8

Серьезный

10

Определив приоритет средств контроля оценки по рейтингу соответствия требованиям, организация сможет уделить основное внимание элементам, связанным с наибольшим риском, и получить больше баллов в итоговый рейтинг для оценки.

Заключение

Рейтинг соответствия требованиям — это основной компонент, с помощью которого диспетчер соответствия требованиям помогает организациям составить полное представление о регулятивных требованиях и обеспечить их соблюдение. Рейтинг соответствия требованиям для оценки выражает соответствие компании заданному стандарту или нормативному акту в виде числового значения. Чем выше это значение (вплоть до максимально возможного числа баллов), тем полнее компания соответствует требованиям. Понимание методологии оценки соответствия, по которой средствам контроля оценки присваиваются значения от 1 до 10 (от низкого до высокого), и того, как общий рейтинг соответствия требованиям зависит от оценок средств контроля, играет важную роль при определении приоритета действий в организации.

К началу

Во время создания оценки вы можете создать для нее группу или присвоить ее существующей группе. Группы также помогают логически организовать оценки и использовать общую информацию и задачи рабочего процесса для оценок с одинаковыми или связанными средствами контроля, управляемыми клиентом.

Например, вы можете группировать оценки по группам, отделам или агентствам в организации или по годам. Ниже представлено несколько примеров групп и оценок, которые они могут содержать.

  • Оценки GDPR — 2018 г.

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Оценки Azure — 2018

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • Оценки безопасности и конфиденциальности данных

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

Совет: мы рекомендуем определить стратегию формирования групп в организации до начала добавления новых оценок.

Ниже приведены требования для группировки оценок.

  • Имена групп (или идентификаторы групп) должны быть уникальными для организации.

  • Группы могут содержать оценки для одной и той же сертификации или нормативного акта, но каждая группа может содержать только одну оценку для каждой пары службы и сертификации. Например, группа не может содержать две оценки для пары Office 365 и GDPR. Аналогичным образом группа может содержать несколько оценок для одной и той же облачной службы, если соответствующая сертификация или нормативный акт являются уникальными для каждой из них.

После добавления оценки в группу последнюю невозможно изменить. Вы можете переименовать группу оценок, после чего во всех оценках будет использоваться новое имя группы. Также можно создать новую оценку и новую группу оценок, а затем скопировать в нее сведения из существующей оценки (при этом создается дубликат оценки в другой группе). При архивации оценки ее связь с группой разрывается, а дальнейшие изменения, вносимые в связанные оценки, не отражаются в архивированной оценке.

Как было сказано выше, одним из основных преимуществ групп является использование одного управляемого пользователем средства контроля (то есть действия клиента одинаковы для каждого средства) для разных оценок в одной группе. Таким образом, при внесении сведений о реализации, тестировании и статусе для средства контроля в одной оценке они будут синхронизироваться с тем же средством контроля в других оценках в группе. Другими словами, если для оценок используется одинаковое средство контроля и эти оценки находятся в одной группе, вам достаточно управлять процессом оценки для средства контроля только в одной оценке. Результаты для этого средства автоматически синхронизируются для других оценок. Например, для стандартов ISO-27001 и ISO-27018 есть средство контроля, связанное с политиками паролей. Если для статуса тестирования средства контроля указать значение Passed (Пройдено) в одной оценке, состояние этого средства обновится (то есть примет значение "Пройдено") и в другой, если обе оценки относятся к одной группе.

Например, рассмотрим два связанных средства контроля, которые относятся к шифрованию данных в общедоступных сетях, — 6.10.1.2 в оценке GDPR для Office 365 и SC-13 в оценке NIST 800-53 для Office 365. Оценки для этих средств контроля входят в группу Default (Стандартные). Изначально ни одна из этих оценок не была пройдена, как показано на панели мониторинга диспетчера соответствия требованиям.

Панель мониторинга диспетчера соответствия требованиям: сгруппированные оценки, до

Если щелкнуть оценку GDPR для Office 365 и применить фильтр, чтобы вывести средство контроля GDPR 6.10.1.2, можно увидеть, что в качестве связанного средства контроля указан SC-13 оценки NIST 800-53.

Оценка в диспетчере соответствия требованиям: общие средства контроля

 На рисунке ниже показано завершение реализации и тестировании средства контроля GDPR 6.10.1.2. 

Диспетчер соответствия требованиям: средство контроля GDPR 6.10.1.2, проверка пройдена

Если перейти к связанному средству контроля в группе оценок, мы увидим, что средство SC-13 для NIST 800-53 также помечено как завершенное. Оно прошло проверку в то же время без дополнительных усилий на реализацию и тестирование.

Диспетчер соответствия требованиям: выполнена оценка NIST 800-53 SC(13)

Вернувшись на панель мониторинга, мы видим, что для каждой оценки было проверено 1 средство контроля, а общий рейтинг увеличился на 8 (это оценка соответствия требованиям общего средства контроля).

Панель мониторинга диспетчера соответствия требованиям: синхронизация прогресса для сгруппированных оценок

К началу

Административные функции

Существует несколько административных функций, которые доступны только для учетной записи администратора клиента и отображаются только при входе в службу в качестве глобального администратора.

Примечание: разрешение Access to Restricted Documents (Доступ к документам с ограничениями) в раскрывающемся списке позволяет администраторам предоставлять пользователям доступ к документам с ограничениями, которые корпорация Майкрософт размещает на портале Service Trust Portal. Функция Restricted Documents (Документы с ограничениями) скоро будет доступна.

У каждой роли менеджера по соответствию требованиям немного разные разрешения. Вы можете просмотреть разрешения, назначенные каждой роли, список пользователей для нее, а также добавить пользователей в роль или удалить их, выбрав в меню Admin (Администратор) на портале Service Trust Portal пункт Settings (Параметры).

Меню администратора STP: выбран пункт "Параметры"

Чтобы добавить пользователей в роль менеджера по соответствию требованиям или удалить их из нее:

  1. Перейдите на сайт https://servicetrust.microsoft.com.

  2. Войдите с учетной записью глобального администратора Azure Active Directory.

  3. В верхней строке меню Service Trust Portal щелкните Admin (Администратор) и выберите Settings (Параметры).

  4. В раскрывающемся списке Select Role (Выбор роли) выберите роль, которой вы хотите управлять.

  5. Пользователи, добавленные в роли, указываются на странице Select Role (Выбор роли).

  6. Чтобы добавить пользователей в эту роль, нажмите кнопку Add (Добавить). В диалоговом окне Add Users (Добавление пользователей) щелкните поле пользователя. Вы можете прокрутить список доступных пользователей или начать вводить имя пользователя, чтобы отфильтровать список. Щелкните имя пользователя, чтобы добавить его учетную запись в список для назначения роли. Если вы хотите одновременно добавить несколько человек, начните вводить имя пользователя, чтобы отфильтровать список, а затем щелкните пользователя, чтобы добавить его в список. Нажмите кнопку Save (Сохранить), чтобы назначить выбранную роль этим пользователям.

    Диспетчер соответствия требованиям: назначение ролей, добавление пользователей

  7. Чтобы удалить пользователей из роли, выберите их и нажмите кнопку Delete (Удалить).

    Диспетчер соответствия требованиям: назначение ролей, удаление пользователя

К началу

Возможность удалять данные журнала пользователей является одним из требований определенных нормативных актов. Чтобы обеспечить ее, в диспетчере соответствия требованиям предусмотрена страница Параметры конфиденциальности пользователя с функциями, позволяющими администраторам выполнять следующие действия:

Администрирование диспетчера соответствия требованиям: функции параметров конфиденциальности пользователя

Поиск учетной записи пользователя

Чтобы найти учетную запись пользователя, сделайте следующее:

  1. Укажите адрес электронной почты пользователя, введя его псевдоним (текст слева от символа @) и выбрав имя домена в списке справа.  В случае клиента с несколькими зарегистрированными доменами рекомендуем перепроверить имя домена в адресе электронной почты.

  2. Правильно указав имя пользователя, нажмите копку Поиск.    

  3. Если учетная запись пользователя не найдена, на странице появится сообщение об ошибке "Пользователь не найден".  Проверьте сведения об адресе электронной почты пользователя, внесите изменения и еще раз нажмите кнопку Поиск.

  4. Если учетная запись пользователя найдена, текст кнопки изменится с Поиск на Очистить. Теперь указанные ниже дополнительные функции будут применяться к найденной учетной записи пользователя.

  5. Чтобы очистить результаты списка и найти другого пользователя, нажмите кнопку Очистить.

Экспорт отчета о журнале данных учетной записи

Когда учетная запись пользователя найдена, вы можете создать отчет о связанных с ней зависимостях.  Эти сведения помогут вам переназначить открытые элементы действий или получить доступ к ранее отправленным доказательствам.  

Чтобы создать и экспортировать отчет, сделайте следующее:   

  1. Нажмите кнопку Экспорт, чтобы создать и скачать отчет об элементах действий средств контроля в диспетчере соответствия требованиям, которые сейчас назначены найденной учетной записи пользователя, а также список документов, отправленных этим пользователем.  Если назначенные действия и отправленные документы отсутствуют, появится сообщение о том, что таких данных нет.

  2. Скачивание отчета выполняется в активном окне браузера в фоновом режиме. Если не появляется всплывающее окно с данными о скачивании, обратитесь к журналу загрузок браузера.

  3. Откройте документ, чтобы просмотреть данные отчета.

Примечание: Это не хронологический отчет с данными об изменении состояний журнала назначения элементов действий.  Созданный отчет представляет собой моментальный снимок элементов действий средств контроля (данные о дате и времени снимка указаны в отчете).  Например, если создать отчет еще раз для того же пользователя после переназначения элементов действий, данные в отчете будут другими. 

Переназначение элементов действий

Эта функция позволяет организации удалять активные или просроченные зависимости учетной записи пользователя путем переназначения всех элементов действий (как активных, так и завершенных) от найденной учетной записи пользователя новому пользователю, выбранному ниже.  Это действие не изменяет журнал отправки документов для найденной учетной записи пользователя. 

Чтобы переназначить элементы действий другому пользователю, сделайте следующее:   

  1. Щелкните поле ввода, чтобы выбрать другого пользователя в организации, которому будут назначены элементы действий найденного пользователя.

  2. Нажмите кнопку Переназначить, чтобы переназначить все элементы действий найденного пользователя выбранному пользователю.

  3. Откроется диалоговое окно подтверждения с текстом "Все элементы действий управления будут переназначены выбранному пользователю.  Это действие невозможно отменить.  Вы действительно хотите продолжить?"

  4. Чтобы продолжить, нажмите ОК, в противном случае — кнопку Отмена.

Примечание: все элементы действий (активные и завершенные) будут назначены новому выбранному пользователю.  Однако это действие не влияет на журнал отправки документов. Все документы, отправленные предыдущим назначенным пользователем, будут отображаться с указанием даты, времени и имени этого пользователя.  

Удалить сведения о предыдущем назначенном пользователе из журнала отправки документов можно вручную.  Для этого администратору потребуется выполнить следующие действия:

1)      открыть предварительно скачанный экспортированный отчет;

2)      найти необходимый элемент действия средства контроля и перейти к нему;

3)      щелкнуть Управление документами, чтобы перейти к репозиторию доказательств для этого средства контроля;

4)      скачать документ;

5)      удалить документ в репозитории доказательств;

6)      повторно отправить документ.  Для документа теперь будут отображаться новые дата и время отправки, а также имя пользователя, который его отправил.  

Удаление журнала данных пользователя

Все элементы действий средств контроля, назначенные найденному пользователю, переводятся в состояние "Не назначено".  Параметру "Кем отправлен" присваивается значение "пользователь удален" для всех документов, отправленных найденным пользователем.

Чтобы удалить журнал элементов действий и отправки документов для учетной записи пользователя, сделайте следующее:   

  1. Нажмите кнопку Удалить.

  2. Отобразится диалоговое окно подтверждения с текстом "Будут удалены все назначения элементов действий управления и журнал отправки документов для выбранного пользователя.  Это действие невозможно отменить.  Вы действительно хотите продолжить?"

  3. Чтобы продолжить, нажмите ОК, в противном случае — кнопку Отмена.

К началу

Использование диспетчера соответствия требованиям

Диспетчер соответствия требованиям позволяет назначать, отслеживать и регистрировать действия, связанные с соответствием требованиям и оценкой, и обеспечивать соответствие требованиям в рамках всей организации.

Диспетчер соответствия требованиям: верхнее меню, новое меню "Администратор"

К началу

Диспетчер можно открыть через портал Service Trust Portal. Он доступен всем сотрудникам с учетной записью Azure Active Directory, предоставленной организацией, или учетной записью Майкрософт.

Диспетчер соответствия требованиям: доступ из меню STP

  1. Перейдите на сайт https://servicetrust.microsoft.com.

  2. Войдите в службу с помощью учетной записи Azure Active Directory (Azure AD).

  3. На портале Service Trust Portal щелкните Compliance Manager (Диспетчер соответствия требованиям).

  4. Когда появится соглашение о неразглашении, прочитайте его и нажмите кнопку Agree (Принимаю) для продолжения. Это достаточно сделать один раз. Затем появится панель мониторинга диспетчера соответствия требованиям.

  5. Чтобы помочь вам быстро приступить к работе, мы добавили следующие стандартные оценки:

    Оценки по умолчанию в диспетчере соответствия требованиям
  6. Щелкните элемент Значок справки в диспетчере соответствия требованиям Help (Справка), чтобы посмотреть краткий обзор диспетчера соответствия требованиям.

К началу

В диспетчере соответствия требованиям есть удобное представление всех назначенных вам поручений, связанных со средствами контроля, в котором можно легко и быстро выполнять нужные действия. Вы можете просмотреть все поручения или выбрать те из них, которые связаны с определенной сертификацией, открыв соответствующую вкладку.  Например, на приведенном ниже рисунке выбрана вкладка GDPR, на которой показаны средства контроля, связанные с оценкой GDPR.

Диспетчер соответствия требованиям: список действий, несколько вкладок, выбран акт GDPR

Просмотр поручений

  1. Откройте панель мониторинга диспетчера соответствия требованиям.

  2. Щелкните ссылку Action Items (Поручения). Страница обновится, и на ней появятся назначенные вам поручения.

  3. По умолчанию отображаются все поручения. Если ваши поручения относятся к нескольким сертификатам, их названия будут указаны на вкладках вверху. Чтобы увидеть поручения для определенной сертификаций, щелкните ее вкладку.

К началу

Чтобы добавить оценку в диспетчер соответствия требованиям:

  1. На панели мониторинга диспетчера соответствия требованиям щелкните Значок "Добавить" Add Assessment (Добавить оценку).

  2. В окне Add an Assessment (Добавление оценки) вы можете создать группу для добавления оценки или использовать для этого существующую группу (встроенная группа называется Initial Group, т. е. первоначальная группа). В зависимости от выбранного варианта введите название новой группы или выберите существующую группу из раскрывающегося списка. Дополнительные сведения см. в разделе Группировка оценок.

    При создании группы вы также можете скопировать информацию из существующей группы в новую оценку. Это означает, что информация из полей Implementation Details (Сведения о внедрении) и Test Plan and Management Response (План тестирования и мнение руководителя) средств контроля, управляемых клиентом, для оценок в группе, из которой вы копируете сведения, копируется в те же (или связанные) средства контроля, управляемые клиентом, в новой оценке. Если вы добавляете новую оценку в существующую группу, общая информация об оценках в этой группе копируется в новую оценку. Дополнительные сведения см. в разделе Копирование информации из существующих оценок.

  3. Нажмите кнопку Next (Далее) и выполните одно из указанных ниже действий.

    • Выберите облачную службу Майкрософт для оценки соответствия требованиям в раскрывающемся списке Select a product (Выбор продукта).

    • Выберите сертификацию для оценки выбранной облачной службы в раскрывающемся списке Select a certification (Выбор сертификации).

  4. Нажмите кнопку Add to Dashboard (Добавить на панель мониторинга) для создания оценки. Оценка появится на новой плитке (после существующих).

    На плитке оценки показаны группа оценки, ее название (автоматически созданное на основе имени службы и выбранной сертификации), даты создания и последнего изменения, а также общий рейтинг соответствия требованиям (сумма значений всех средств контроля, которые были реализованы и успешно прошли тестирование). Кроме того, внизу плитки есть индикаторы, которые показывают количество средств контроля, прошедших оценку.

  5. Щелкните название оценки, чтобы открыть ее и просмотреть подробные сведения.

  6. Щелкните меню Actions (Действия), чтобы просмотреть назначенные вам поручения, переименовать группу оценки, экспортировать отчет или заархивировать оценку.

Диспетчер соответствия требованиям: плитка оценки

К началу

Как было сказано выше, при создании группы оценок вы можете скопировать информацию об оценках из существующей группы в новую оценку. Это позволяет применить оценку и выполненную работу по тестированию для таких же средств контроля, управляемых клиентом, в новой оценке. Например, если у вас есть группа для всех оценок в организации, связанных со стандартом GDPR, вы можете скопировать общую информацию из существующих сведений об оценке во время добавления новой оценки в группу.

В новую оценку вы можете скопировать указанные ниже сведения от клиента.

  • Пользователи оценки. Пользователь оценки — это пользователь, которому назначается средство контроля.

  • Статус, дата и результаты тестирования.

  • Сведения о реализации и плане тестирования.

Аналогичным образом синхронизируется информация из общих средств контроля, управляемых клиентом, в одной группе оценок. Также синхронизируется информация в связанных средствах контроля, управляемых клиентом, в той же оценке.

К началу

  1. Найдите плитку нужной оценки, а затем щелкните название оценки, чтобы открыть ее и посмотреть для нее средства контроля, управляемые Майкрософт или клиентом, а также список облачных служб, которых она касается. Ниже представлен пример оценки для Office 365 и GDPR.

    Представление оценки в диспетчере соответствия требованиям: весь экран с выносками

    1. В этом разделе выводятся общие сведения об оценке, включая названия группы, продукта, оценки, а также количество средств контроля.

    2. Здесь находятся фильтры оценок. Дополнительные сведения о том, как их использовать, см. в разделе Управление процессом оценки.

    3. В этом разделе указаны отдельные облачные службы, к которым относится оценка.

    4. Этот раздел содержит средства контроля, управляемые Майкрософт. Связанные средства контроля сгруппированы в семейства. Щелкните семейство, чтобы развернуть его и отобразить отдельные средства контроля.

    5. Этот раздел содержит клиентские средства контроля, которые также организованы в семейства. Щелкните семейство, чтобы развернуть его и отобразить отдельные средства контроля.

    6. Общее число средств контроля в семействе и количество оцениваемых средств. Диспетчер соответствия требованиям позволяет отслеживать ход оценки средств контроля, управляемых клиентом. Дополнительные сведения см. в разделе Сведения о рейтинге соответствия требованиям.

К началу

Создатель оценки изначально является ее единственным пользователем. Для каждого клиентского средства контроля можно назначить поручение сотруднику организации, чтобы он стал пользователем оценки и смог выполнять рекомендуемые действия, а также собирать и добавлять доказательства. При назначении поручения вы можете отправить сообщение электронной почты, в котором указаны рекомендуемые действия и приоритет. Уведомление включает ссылку на панель мониторинга Action Items (Поручения), где перечислены все поручения, назначенные этому человеку.

Ниже приведен список задач, которые можно выполнять с помощью средств рабочего процесса в диспетчере соответствия требованиям.

Рабочий процесс оценки в диспетчере соответствия требованиям с выносками
  1. Поиск определенных средств контроля с помощью фильтра.   Параметры фильтрации диспетчера позволяют детально задавать условия для отображения средств контроля, чтобы фокусировать свои усилия на тех или иных областях.  

    Щелкните значок воронки в правой части страницы, чтобы показать или скрыть параметры фильтрации. Укажите условия фильтрации, и ниже будут выведены только средства контроля, которые соответствуют им. Оценки в диспетчере соответствия требованиям: фильтрация средств контроля

    • Articles (Статьи): фильтрует данные по названию статьи и возвращает только средства контроля, связанные с ней. Например, если ввести "Article (5)", появится список статей, названия которых включают в себя эту строку, например Article (5)(1)(a), Article (5)(1)(b), Article (5)(1)(c) и т. д. При выборе статьи Article (5)(1)(c) будут выведены средства контроля, связанные с этой статьей. Это поле множественного выбора, в котором значения соединяются с помощью оператора OR, то есть если выбрать статью Article (5)(1)(a) и добавить Article (5)(1)(c), фильтр вернет средства контроля, связанные с любой из этих статей.

      Представление оценки в диспетчере соответствия требованиям: фильтрация по названию статьи

    • Controls (Средства контроля): возвращает список средств контроля, названия которых соответствуют условию фильтра. Например, при вводе 7.3 возвращаются средства 7.3.1, 7.3.4, 7.3.5 и т. д. Это поле множественного выбора, в котором значения соединяются с помощью оператора OR, то есть если выбрать 7.3.1 и добавить 7.3.4, фильтр вернет средства контроля с любым из этих номеров.

      Представление оценки в диспетчере соответствия требованиям: фильтрация средств контроля, множественный выбор

    • Assigned Users (Назначенные пользователи): возвращает список средств контроля, которые назначены выбранному пользователю.

    • Status (Статус): возвращает список средств контроля с указанным статусом.

    • Test Result (Результат тестирования): возвращает список средств контроля с выбранным результатом тестирования.

    При применении условий фильтра в представлении выводятся соответствующие средства контроля.  Разверните семейства средств контроля, чтобы отобразить подробные сведения о средствах контроля ниже.  

    Представление оценки в диспетчере соответствия требованиям: результаты фильтрации статей

  2. Если после выбора фильтров не выводятся результаты, это означает, что нет средств контроля, которые соответствуют указанным условиям. Например, если выбрать определенного пользователя в поле Assigned User, а затем в поле Control указать средство контроля, которое не назначено этому пользователю, оценки показаны не будут.

  3. Назначение поручения пользователю.    Вы можете назначать поручения сотрудникам, чтобы они обеспечили соответствие требованиям сертификации или нормативного акта либо протестировали, проверили и задокументировали требования организации к внедрению. При назначении поручения вы можете отправить сообщение электронной почты, в котором указаны рекомендуемые действия и приоритет. Вы также можете отменить поручение или переназначить его другому пользователю.

  4. Управление документами.    Для клиентских средств контроля также можно управлять документами, которые относятся к задачам реализации, тестирования и проверки. Любой пользователь с разрешением на изменение данных в диспетчере соответствия требованиям может добавить документы, нажав кнопку Manage Documents (Управление документами). После добавления документа можно нажать эту кнопку, чтобы просмотреть или скачать файлы.

  5. Добавление сведений о реализации и тестировании.    У каждого средства контроля, управляемого клиентом, есть редактируемое поле, в которое пользователи могут добавлять подробные сведения о реализации, чтобы документировать действия, выполненные в организации для обеспечения или проверки соответствия конкретной сертификации или нормативному акту.

  6. Задание статуса.    Можно указать статус для каждого элемента в процессе оценки. Доступны следующие значения: Implemented (Реализовано), Alternative Implementation (Внедрена альтернатива), Planned (Запланировано) и Not in Scope (Не входит в область действия).

  7. Ввод даты и результатов тестирования.    Пользователь с ролью аудитора может подтвердить правильность тестирования, изучить сведения о реализации, план тестирования, результаты тестирования и все добавленные доказательства, а затем указать дату и результат тестирования. Доступные результаты тестирования: Passed (Пройдено), Failed-Low Risk (Не пройдено, низкий риск), Failed-Medium Risk (Не пройдено, средний риск) и Failed-High Risk (Не пройдено, высокий риск).

К началу

Сотрудники, которые участвуют в процессе оценки, могут просматривать в диспетчере клиентские средства контроля для всех оценок, пользователями которых они являются. Когда пользователь входит в диспетчер соответствия требованиям и открывает панель мониторинга Action Items (Поручения), отображается список поручений, назначенных ему. В зависимости от роли пользователя он может ввести сведения о реализации или тестировании, обновить статус или назначить поручения.

Так как средства контроля для сертификации обычно внедряются одним человеком, а тестируются другим, поручение можно сначала назначить пользователю, отвечающему за реализацию, а затем он сможет переназначить его коллеге для тестирования средства контроля и добавления доказательств. Назначать и переназначать поручения могут все пользователи, у которых есть роль менеджера по соответствию требованиям и достаточные разрешения. Это позволяет централизованно управлять назначением средств контроля или же передавать поручения в частном порядке от того, кто внедряет средства контроля, к тому, кто их тестирует.

Чтобы назначить поручение:

  1. На панели мониторинга диспетчера соответствия требованиям найдите плитку нужной оценки и щелкните название оценки, чтобы перейти на страницу ее сведений.

  2. Вы можете нажать кнопку Filter (Фильтр) и задать условия фильтрации, чтобы найти определенное средство контроля.

  3. Кроме того, можно прокрутить экран до раздела Customer Managed Controls (Управляемые клиентом средства контроля), развернуть нужное семейство и найти средство в списке.

  4. В столбце Assigned User (Назначенный пользователь) нажмите синюю кнопку Assign (Назначить).

  5. В диалоговом окне Assign Action Item (Назначение поручения) щелкните поле Assign To (Кому), чтобы заполнить список пользователей. Чтобы найти нужное имя, можно пролистать список или начать вводить его в поле.

  6. Щелкните пользователя, чтобы назначить ему поручение.

  7. Если вы хотите отправить пользователю уведомление по электронной почте, убедитесь, что флажок Send Email Notification (Отправить уведомление по электронной почте) установлен.

  8. При необходимости введите заметки для пользователя и нажмите кнопку Assign (Назначить).

  9. Пользователь получит уведомление о поручении вместе с вашими заметками.

Заметки, связанные с поручением, сохранятся в разделе заметок и будут доступны при следующем назначении поручения. Пользователь, назначающий поручение, может их редактировать, заменять и удалять.

К началу

Оценку можно экспортировать в файл Excel, предназначенный для заинтересованных лиц в вашей организации, а также аудиторов и контролирующих органов. Такой отчет, представляющий собой моментальный снимок оценки на дату и время его создания, содержит сведения о средствах контроля, управляемых Майкрософт и клиентом, в том числе о состоянии их реализации, дате и результатах тестирования, а также ссылки на добавленные документы доказательств. Рекомендуется экспортировать отчет об оценке перед ее архивацией, так как в архивированных оценках не сохраняются ссылки на добавленные документы.

Чтобы экспортировать отчет:

  1. На панели мониторинга диспетчера соответствия требованиям щелкните ссылку Actions (Действия) на плитке нужной оценки, а затем выберите Export to Excel (Экспортировать в Excel).

  2. Если вы просматриваете страницу сведений об оценке, нажмите кнопку Export to Excel (Экспортировать в Excel), которая находится в правом верхнем углу страницы над рейтингом соответствия требованиям.

Отчет будет скачан в браузере. Если вы не увидите всплывающее окно с уведомлением о скачивании, просмотрите папку загрузок браузера.

К началу

Если завершенная оценка больше не нужна, ее можно заархивировать. При архивации оценка удаляется с панели мониторинга.

Примечание: заархивированную оценку нельзя восстановить или сделать активной.  Обратите внимание на то, что в архивированных оценках не сохраняются ссылки на добавленные документы доказательств, поэтому настоятельно рекомендуется экспортировать оценку перед ее архивацией, чтобы иметь доступ к документам.

Архивация оценки

  1. На плитке нужной оценки нажмите кнопку Actions (Действия).

  2. Выберите Archive Assessment (Архивировать оценку).

  3. Появится диалоговое окно Archive Assessments (Архивация оценок), в котором предлагается подтвердить действие.

  4. Если вы хотите выполнить архивацию, нажмите кнопку Archive (Архивировать). В противном случае нажмите Cancel (Отмена).

Чтобы просмотреть архивированные оценки:

  1. На панели мониторинга диспетчера соответствия требованиям установите флажок Show Archived (Показать архивированные).

  2. Архивированные оценки будут отображены в новом разделе Archived Assessments под активными оценками.

  3. Щелкните имя оценки, которую вы хотите просмотреть.

  4. При просмотре архивированной оценки поля, которые обычно можно изменять (Implementation, Test Results), будет неактивны, а кнопка Managed Documents (Управляемые документы) будет отсутствовать.

К началу

Журнал изменений средств контроля под управлением клиента

Диспетчер соответствия требованиям регулярно обновляется в соответствии с нормативными требованиями и изменениями в наших облачных службах. Эти обновления также отражают изменения средств контроля под управлением клиента. Журнал изменений позволяет понимать, какое влияние они оказывают, а также содержит подробные сведения о добавленном или измененном содержимом и влиянии этих изменений на существующие оценки. Обычно выделяют два типа изменений:

  • Существенные изменения — это значительные изменения действий клиентов, например добавление или удаление средства контроля или определенных этапов или изменение положений, касающихся обязанностей, рекомендаций или доказательств. При наличии существенных изменений мы рекомендуем повторно оценить свою реализацию и/или оценку соответствующего средства контроля.

  • Несущественными считаются незначительные изменения действий клиентов, такие как исправление опечатки или форматирования, обновление или исправление гиперссылок. Они обычно не требуют повторной оценки средств контроля, но мы рекомендуем вам быть в курсе изменений.

 

Журнал изменений средств контроля под управлением клиента для Office 365 (июль 2018 г.)

Средства контроля

Изменение и рекомендации

Код средства контроля

Оценка

Тип изменения

Описание изменения

Рекомендуемые действия

45 C.F.R. § 164.308(a)(7)(ii)(A)

Office 365: HIPAA

Существенное

В оценку HIPAA для Office 365 добавлены средства контроля HITECH.

Ознакомьтесь с добавленными средствами контроля и рекомендуемыми действиями клиентов.

45 C.F.R. § 164.312(a)(6)(ii)

Office 365: HIPAA

Существенное

В оценку HIPAA для Office 365 добавлены средства контроля HITECH.

Ознакомьтесь с добавленными средствами контроля и рекомендуемыми действиями клиентов.

45 C.F.R. § 164.312(c)(1)

Office 365: HIPAA

Существенное

В оценку HIPAA для Office 365 добавлены средства контроля HITECH.

Ознакомьтесь с добавленными средствами контроля и рекомендуемыми действиями клиентов.

45 C.F.R.  § 164.316(b)(2)(iii)

Office 365: HIPAA

Существенное

В оценку HIPAA для Office 365 добавлены средства контроля HITECH.

Ознакомьтесь с добавленными средствами контроля и рекомендуемыми действиями клиентов.

 

Журнал изменений средств контроля под управлением клиента для Office 365 (апрель 2018 г.)

Средства контроля

Изменение и рекомендации

GDPR

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

Тип изменения

Описание изменения

Рекомендуемые действия

6.13.2

C.16.1.1

Существенное

Ранее имело номер 6.12.1.1.

Рекомендации дополнены.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

3.1.6

Существенное

Добавлены инструкции, в том числе по включению аудита и поиску в журналах аудита.

Изучите новые рекомендации в разделе Customer Actions (Действия клиентов).

6.8.2

A.10.2

Существенное

Ранее имело номер 6.7.2.9.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

Существенное

Ранее имело номер 6.5.2.3.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

Существенное

Ранее имело номер 6.12.1.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.7

Существенное

Ранее имело номер 6.6.1.1.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.6.5

A.10.8

IA-3

3.5.2

Существенное

Ранее имело номер 6.5.4.2.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.15.1

Существенное

Ранее имело номер 6.14.1.3.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

AC-2(h)(2)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(7)(b)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(h)(1)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(12)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(4)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

3.1.7

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

A.16.1.7

C.12.4.2, часть 2

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(h)(3)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

A.12.4.2

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

A.7.2.8

Несущественное

Добавлены ссылки на раздел Content Search (Поиск контента) и портал DSR.

Действия не требуются.

45 C.F.R. § 164.308(a)(3)(ii)(C)

Несущественное

Добавлены ссылки на раздел Enable Auditing (Включение аудита) и разделы справки о роли администратора Office 365.

Действия не требуются.

5.2.1

Несущественное

Ранее имело номер 5.2.2.

Уточнены обязанности клиентов.

Изучите новые рекомендации в разделе Customer Actions (Действия клиентов).

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

Несущественное

Ранее имело номер 6.10.1.2.

Исправлена опечатка.

Действия не требуются.

7.5.1

Несущественное

Ранее имело номер A.7.4.1.

Исправлена опечатка.

Действия не требуются.

A.8.2.3

3.1.3

Несущественное

Удалено ненужное предложение.

Действия не требуются.

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

Несущественное

Добавлены рекомендации и поручения.

Изучите новые рекомендации в разделе Customer Actions (Действия клиентов).

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

Несущественное

Ссылка на раздел справки по службе импорта заменена короткой ссылкой (FWlink).

Действия не требуются.

 

Изменения идентификаторов средств контроля для оценки GDPR, журнал изменений (февраль 2018 г.)

Предыдущий идентификатор (предварительный выпуск в ноябре 2017 г.)

Новый идентификатор (общедоступный выпуск в феврале 2018 г.)

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

К началу

См. также

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×