CyberGRX
Методология оценки CyberGRX определяет как присущий, так и остаточный риск и использует анализ угроз практически в реальном времени и независимую проверку доказательств, чтобы предоставить клиентам целостное представление о своих сторонних кибер-рисках.
CyberGRX является первым и крупнейшим в мире совместным обменом рисками. Аналитическая методология CyberGRX создает аналитику угроз и сложные модели риска на основе только одной проверенной оценки. Благодаря аналитическим сведениям о рисках, связанных с безопасностью и конфиденциальностью данных, оценка CyberGRX предоставляет не только подробные аналитические сведения об остаточных рисках, но и объединяет моделирование сценариев атак и цепочку ATT MITRE&CK для мониторинга развивающихся тактик и методов в ландшафте угроз.
Microsoft и CyberGRX
CyberGRX, используя своих стратегических партнеров Deloitte, Touche и KPMG, проверил и сообщил об оценке Microsoft Cloud, которая состоит из более чем 1000 контрольных вопросов и соответствующих ответов Майкрософт. CyberGRX решает присущие ей риски, отраслевые аналитики угроз и сценарии реальных атак. Это дает клиентам возможность проверить состояние безопасности Майкрософт с помощью внешних доказательств, чтобы получить результаты, ориентированные на риски, а не простое соответствие требованиям.
Корпорация Майкрософт понимает необходимость использования нашим клиентами эффективных средств, которые помогут их организации быстро оценивать риски, включая оценку потенциальных рисков, которые они могут предполагать из-за использования сторонних поставщиков для ключевых служб, таких как мы. Корпорация Майкрософт, являющаяся одним из крупнейших поставщиков облачных услуг в мире, понимает, что наша клиентская база обширна и разнообразна, и что эти клиенты имеют различные приоритеты и приходят из различных отраслей. Масштабирование в соответствии с этими разнообразными потребностями требует, чтобы корпорация Майкрософт искала эффективные методы для расширения и расширения нашей способности делиться ключевыми знаниями, которые помогут всем клиентам с их приоритетами в области безопасности и независимо от того, какие облачные службы Майкрософт они используют. Сотрудничество со сторонними оценочными фирмами, такими как CyberGRX, является одним из способов помочь нашим клиентам быть проворными в их стремлении к оценке рисков.
Модель CyberGRX предоставляет организациям, заинтересованным в реализации управления безопасностью Microsoft Cloud, возможность выбирать элементы управления, которые они больше всего интересуют, и предоставляет проверенные ответы для их проверки. Корпорация Майкрософт использует эту модель, так как мы также можем быть ловкими в нашей способности предоставлять обновления, а наши ответы доступны любому участнику обмена CyberGRX, предоставляя клиентам больше доступа к этой ключевой информации. Короче говоря, CyberGRX помогает корпорации Майкрософт охватить больше клиентов с потребностями оценки рисков и подчеркивает нашу приверженность прозрачности и безопасности.
Кроме того, клиенты могут использовать функцию Mapper Платформы CyberGRX для сопоставления наших средств оценки и ответов с известными отраслевыми стандартами и платформами, такими как NIST 800-53, NIST Cybersecurity Framework (CSF),ISO 27001, PCI DSS, HIPAA, которые могут значительно снизить нагрузку на тщательную осмотрительность.
Область облачные платформы Майкрософт & службы в область
- Azure
- Dynamics 365
- Microsoft 365
- Power Platform
Полный список веб-службы Майкрософт в область аудита CyberGRX см. в следующих разделах:
- Предложения соответствия требованиям Microsoft Azure или отчет об аттестации Azure SOC 2 типа 2.
- Azure DevOps Services,
- Office 365 документации по SOC 2.
Office 365 и CyberGRX
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Кортана, защищенное хранилище клиентов, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Kaizala Pro, Microsoft Bookings Microsoft Forms, Microsoft MyAnalytics, Планировщик (Майкрософт), Microsoft StaffHub, Microsoft Stream, Microsoft Teams (включая Bookings, Списки и Shifts), Microsoft To-Do, Microsoft Defender для Office 365, видео Office 365, Office для Интернета, OneDrive для бизнеса, Project, SharePoint Online, Skype для бизнеса Online, Sway, доска, Viva Engage |
Аудит, отчеты и сертификаты
Чтобы получить доступ к бесплатному отчету об оценке CyberGRX в Microsoft Cloud, заполните эту форму.
Методика реализации
- Варианты использования финансовых средств. Обзор вариантов использования, учебники и другие ресурсы для создания облачных решений Microsoft для финансовых служб.
- Регулирование рынка финансовых услуг США: насколько сетевые службы Майкрософт соответствуют основным ожиданиям финансовых учреждений США с точки зрения соответствия нормативным требованиям.
Вопросы и ответы
Дополнительные сведения о методологии проверки CyberGRX, модели оценки зрелости и других связанных областях см. в разделе Часто задаваемые вопросы об оценке безопасности.