Общие недостатки и риски соответствия требованиям NIST в управлении документами Dynamics 365

Обеспечение Соответствие требованиям NIST становится все более важным для организаций, работающих с конфиденциальными данными и документами, особенно по мере того, как соблюдение требований часто является обязательным условием для получения контракта.

Прошел год с момента выхода в свет книги NIST Cybersecurity Framework v. 2.0, который, согласно Кевин СтайнРуководитель отдела прикладной кибербезопасности NIST, "был разработан в тесном сотрудничестве с заинтересованными сторонами и отражает самые последние проблемы кибербезопасности и методы управления", и "поможет организациям, секторам и даже целым странам лучше понять и управлять рисками кибербезопасности".

Тем не менее, многие организации, использующие Dynamics 365 для управления документами, все еще сталкиваются с проблемами при выполнении ключевых требований NIST, особенно тех, которые изложены в NIST SP 800-171 и SP 800-53.

Основная причина такого несоответствия заключается в том, что стандартные конфигурации Dynamics 365 не всегда отвечают стандартам соответствия NIST. Это проблема не только с точки зрения соответствия, но и потому, что организации могут неосознанно иметь пробелы в системе безопасности.

Почему эти конфигурации не соответствуют требованиям NIST? Сайт ключевые вопросы в Dynamics 365 среды являются:

• Чрезмерные разрешения на доступ, приводящие к неконтролируемый доступ к файлам
• Слабые механизмы аутентификации предоставление документов неавторизованным пользователям
• Отсутствие надлежащей регистрации аудитачто затрудняет обнаружение и расследование инцидентов

Хорошая новость заключается в том, что компании могут эффективно избежать этих рисков с помощью проактивной конфигурации и скоординированных усилий команд по безопасности, соблюдению нормативных требований и ИТ.

В этой статье мы рассмотрим, как это сделать в среде Dynamics 365.. Мы рассмотрим следующие темы:

NIST устанавливает руководящие принципы кибербезопасности для Защита контролируемой несекретной информации (CUI) и для организаций, которые работают с этой информацией.

Если ваша организация использует Microsoft Dynamics 365 для управления документами, вам следует обратить внимание на следующее:

• NIST SP 800-171 (Безопасная работа с несекретными правительственными данными)
• NIST SP 800-53 (Контроль безопасности и конфиденциальности для федеральных и частных корпоративных систем)
• NIST SP 800-207 (Zero Trust Architecture - ZTA - Обеспечение непрерывной аутентификации и доступа с наименьшими привилегиями)

Как мы уже говорили, несмотря на встроенные параметры безопасности Microsoft, многие готовые конфигурации в Dynamics 365 не полностью соответствуют контролю NIST, что приводит к потенциальным рискам соответствия.

Ниже приведены основные комплаенс-риски в Dynamics 365:

• Сверхразрешенный доступ- Роли пользователей предоставляют чрезмерные привилегии, нарушая Наименьшие привилегии (NIST SP 800-53 AC-6 "Используйте принцип наименьших привилегий, разрешая пользователям только те авторизованные доступы, которые необходимы для выполнения поставленных организационных задач"). Кроме того, вызывает беспокойство отсутствие обновления привилегий при необходимости, поскольку это нарушает AC-6 (7) "Необходимость в определенных назначенных привилегиях пользователя может меняться со временем".

• Отсутствие микросегментации - Микросегментация - важнейшая мера безопасности в интеграциях Dynamics 365 и SharePoint. Без микросегментации пользователи часто получают ненужный доступ к документам, выходящим за рамки их предназначения. Чтобы узнать больше об этом, мы рекомендуем прочитать эта статья о микросегментации в интеграции Dynamics 365 и SharePoint.
• Сохранение данных - Хотя NIST не устанавливает точных сроков, контроль NIST SP 800-53 SI-12 "Ведение журнала информационной системы" требует, чтобы организации "управляли и хранили информацию в системе и информацию, выводимую из системы, в соответствии с применимыми законами, приказами, директивами и правилами".
• Отсутствие многофакторной аутентификации (MFA) - Многие среды Dynamics 365 все еще полагаются исключительно на аутентификацию с помощью пароля. Однако, NIST SP 800-171 (3.5.3) обязательное использование MFA для административного доступа и удаленного входа в систему, в то время как NIST SP 800-53 IA-2 MFA требуется для усиления проверки личности в различных системах. МФА также является основной элемент системы безопасности Zero Trust.
• Неполные журналы аудита - Отсутствие комплексное отслеживание активности файлов в Dynamics 365 затрудняет выполнение NIST AU-2, AU-12 и AU-14 (Контроль ведения журналов аудита) и создает бреши в системе безопасности, которые могут привести к незамеченным нарушениям и штрафам за несоблюдение нормативных требований. Контрольный список NIST 1169 требует автоматического ведения журнала для всех попыток доступа, модификаций и неудачных событий авторизации. Чтобы обеспечить целостность журналов аудита, организациям следует внедрить такие передовые решения, как Truth Enforcer. Такие решения должны иметь механизмы проверки подлинности.

Отсутствие решения этих проблем увеличивает риски безопасности в Dynamics 365 и приводит к пробелам в соответствии требованиям NIST.

Следующий сценарий иллюстрирует распространенные нарушения соответствия, связанные с Dynamics 365 и контролем доступа к документам:

Сценарий: Контроль доступа для финансовых компаний

• Компания, предоставляющая финансовые услуги, используя Dynamics 365 и SharePoint, не применяла микросегментацию, что позволило обеспечить широкий внутренний доступ к конфиденциальным данным.
• Финансовые документы были доступны сотрудникам, не входящим в бухгалтерский и юридический отделы.
• Компания провалила аудит на соответствие требованиям NIST.
• Результат: Компания потерял федеральный контракт стоимостью в несколько миллионов долларов из-за несоблюдения требований.

Этот сценарий является гипотетическим, но отражает реальные проблемы и почему защита доступа к документам в Dynamics 365 имеет решающее значение для предприятий, занимающихся регулируемые или конфиденциальные данные. Помимо потери контрактов, неспособность защитить доступ к документам в Dynamics 365 может привести к репутационному ущербу и финансовые штрафы в соответствии с другими нормативными актами, такими как GDPR.  

Обеспечение Безопасность Dynamics 365 соответствует требованиям NIST требует проактивного снижения рисков.

Ключевые решения для соответствия требованиям NIST в Dynamics 365

Осуществляя эти решенияорганизации могут снизить риски и защитить контролируемую несекретную информацию (CUI) в Dynamics 365.

Хотя Dynamics 365 предлагает мощные возможности, его стандартные конфигурации не полностью соответствуют системе контроля безопасности NIST. Без проактивного надзора организации сталкиваются с реальными рисками - утечкой данных, неудачным аудитом и потерей федеральных контрактов.

Хорошая новость: с помощью правильных инструментов и координации действий между командами вполне возможно устранить пробелы, снизить риски и уверенно соответствовать требованиям NIST к управлению документами в Dynamics 365.

Ключевыми аспектами, которые необходимо учитывать, являются:

• Жесткий контроль доступа, обеспечиваемый за счет применения минимальных привилегий, микросегментации и многофакторной аутентификации для предотвращения несанкционированного доступа к данным. Обеспечение согласованного контроля доступа в Dynamics 365 и Microsoft 365, снижение риска несоответствия требованиям из-за неправильное распределение разрешений.
• Наглядность и отслеживаемость, достигаемые благодаря надежному протоколированию аудита, последовательной классификации и автоматизированным политикам хранения.

Соответствует ли конфигурация защиты документов Dynamics 365 требованиям NIST? Если нет, то первым делом воспользуйтесь нашим контрольным списком, чтобы выявить возможные проблемы.