מעקב אחרי מסגרות כדי לוודא שהן עומדות בדרישות

אחרי שמחילים מסגרת על המשאבים, אפשר לראות לוחות בקרה של מעקב שמציגים את סטטוס התאימות של הסביבה למסגרת. במרכזי הבקרה של המעקב יש גם הנחיות שיעזרו לכם להתאים את הסביבה שלכם לסטנדרטים הרלוונטיים בתחום ולדרישות הרגולטוריות. אתם יכולים להשתמש בלוחות הבקרה של המעקב כדי להעריך את התאימות של עומסי העבודה למסגרות שונות לאורך זמן. מומחי תאימות וצוותי פרטיות יכולים להשתמש בלוח הבקרה כדי לעקוב אחרי בעיות, לנטר אותן ולספק ייעוץ לגביהן.

לוח הבקרה של סיכום המעקב ב-Compliance Manager מספק סקירה כללית של:

• אם הסביבה שלכם עומדת בדרישות של מסגרות שהוחלו.
• רשימת הממצאים הנוכחיים, עם המסגרות שיצרו אותם.
• תצוגות מסוננות של משאבים באפליקציה ספציפית ב-App Hub. זמין ברמות השירות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise.

בלוח הבקרה של המסגרת המפורטת מוצגים הפרטים הבאים שקשורים למסגרת מסוימת שהופעלה:

• אם הסביבה שלכם עומדת בדרישות של אמצעי הבקרה שהוחלו. הניקוד של התאימות מבוסס רק על אמצעי הבקרה הרגולטוריים שמהווים חלק מהמסגרת. אם המסגרת לא כוללת אמצעי בקרה רגולטוריים (לדוגמה, המסגרת 'יסודות אבטחת מידע ופרטיות'), הניקוד מבוסס על אמצעי הבקרה בענן.
• מידע על דרכים לתיקון הפרות.
• מיפוי מידע בין אמצעי בקרה בענן לבין אמצעי בקרה רגולטוריים.
• סטטוס של אחריות משותפת לגבי אמצעי בקרה בענן.
• סטטוס התאימות הנוכחי, וגם מגמות של סטטוס התאימות לאורך זמן.
• אפשרות להוריד דוח בפורמט CSV.
• רשימת הממצאים העיקריים שקשורים למסגרת.
• תצוגות מסוננות של משאבים באפליקציה ספציפית ב-App Hub. התכונה זמינה ברמות השירות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise.

לפני שמתחילים

• כדי לקבל את ההרשאות שנדרשות למעקב אחרי מסגרות, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Compliance Manager Viewer (‏roles/cloudsecuritycompliance.viewer) בארגון. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

  יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

• מחילים את המסגרות שרוצים לעקוב אחריהן על הארגון, התיקיות והפרויקטים המתאימים.

מעקב אחר המסגרת

1. נכנסים לדף Compliance במסוף.

   לתאימות

2. בוחרים את הארגון.

3. לוחצים על מעקב (חדש).

   יופיע לוח הבקרה של הסיכום. במרכז הבקרה הזה מוצג סיכום של המסגרות שהוחלו, ואחוז הבקרות בענן והבקרות הרגולטוריות שלא משויכות להן ממצאים.

4. רק ברמות השירות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise: כדי להציג רק נתונים שקשורים למשאבים באפליקציה ספציפית ב-App Hub, משתמשים בתפריט בחירת אפליקציה. האפשרות ללא מציגה נתונים של משאבים שלא קשורים לאפליקציה.

5. כדי לראות פרטים על מסגרת, לוחצים על המסגרת.

   בדף פרטי המסגרת, אפשר לראות את הפרטים הבאים:

   • השעה שבה המסגרת הוחלה, לפי אזור הזמן שלכם.
   • הגרסאות של המסגרת שמוחלות. מידע נוסף על האופן שבו Compliance Manager מעריך את הניקוד כשמחילים כמה גרסאות של מסגרת זמין במאמר מעקב בכמה מהדורות של מסגרת שהופעלה.
   • הארגון, התיקיות או הפרויקטים שהמסגרת חלה עליהם.
   • ציר זמן שמוצגות בו מגמות של העברת בקרות.
   • סקירה כללית של אמצעי הבקרה במסגרת, כולל המיפוי בין אמצעי בקרה רגולטוריים לאמצעי בקרה בענן. בטבלה Overview by Controls (סקירה כללית לפי אמצעי בקרה) מוצגים אמצעי בקרה רגולטוריים במתג Control (אמצעי בקרה) ואמצעי בקרה בענן במתג Cloud Control (אמצעי בקרה בענן). במסגרות שאין בהן קבוצות בקרה בענן או אמצעי בקרה רגולטוריים, מזהי בקרת הענן נחשבים לקבוצות.
   • הממצאים שמשויכים לאמצעי הבקרה בענן.

   יכול להיות שיעבור זמן מה עד שהממצאים בדף הזה יתעדכנו. כדי לקבל את המידע העדכני ביותר על הממצאים, אפשר להיעזר בדף ממצאים. בכרטיסייה סיכום של הממצאים מוצגים המסגרות והאמצעים להגנה על הענן שרלוונטיים לממצא.

6. רק ברמות השירות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise: כדי להציג רק נתונים שקשורים למשאבים באפליקציה ספציפית במרכז האפליקציות, צריך להשתמש באפשרות בחירת אפליקציה. האפשרות ללא מציגה נתונים של משאבים שלא קשורים לאפליקציה.

7. כדי לראות מידע מתאריך מוקדם יותר, משתמשים בכלי לבחירת תאריך.

8. כדי להוריד דוח על המסגרת, לוחצים על הורדת הדוח. הדוח יורד בפורמט CSV. שם הקובץ הוא framework-name_yyyy-mm-dd.csv.

מעקב אחרי כמה גרסאות של מסגרת פריסה

בתרחישים מסוימים, יכול להיות שלארגון שלכם יש כמה גרסאות של מסגרת שמוטמעות בפרויקטים ובתיקיות שונים בסביבה שלכם. לדוגמה, אפשר לפרוס את גרסה 5 של מסגרת בפרויקט בדיקה, ולהשאיר את גרסה 4 של המסגרת בפרויקט ייצור.

בתרחיש הזה, Compliance Manager צובר את הציונים של אמצעי הבקרה הרגולטוריים כדי ליצור את תצוגת הסיכום של אמצעי הבקרה שעברו את הבדיקה ואמצעי הבקרה שעברו את הבדיקה לאורך זמן. אם המסגרת שלכם לא כוללת אמצעי בקרה רגולטוריים, הציון של התאימות מבוסס על אמצעי בקרה בענן. הלוגיקה של הצבירה היא כזו:

• אם אמצעי בקרה עובר בכל הגרסאות שהוקצו של המסגרת, אמצעי הבקרה נספר כעובר.
• אם אמצעי בקרה נכשל באחת או יותר מהגרסאות שהוקצו למסגרת, הוא נספר כנכשל.

הציון מחושב כך:

TOTAL_UNIQUE_PASSING_CONTROLS / TOTAL_UNIQUE_CONTROLS = FRAMEWORK_SCORE

בלוח הבקרה של סיכום המעקב מוצג רק הציון המצטבר של המסגרת. לוח הבקרה המפורט למעקב אחרי מסגרות כולל גם את המידע הבא:

• הגרסאות של המסגרת שהוחלו

• בטבלה סקירה כללית של אמצעי הבקרה:

  • הגרסאות של המסגרת שבהן נכלל אמצעי הבקרה
  • הגרסאות של אמצעי הבקרה בענן שמוחלות
  • היכולת לבדוק ממצאים שקשורים לגרסאות שונות של אמצעי בקרה
  • רשימה של כל קבוצות הבקרה הייחודיות לכל הגרסאות שהופעלו
  • לכל קבוצת בקרה, רשימה של כל אמצעי הבקרה בענן והגרסאות שהוחלו

המאמרים הבאים

• ליצור מסגרת מותאמת אישית שתתאים יותר ליעדי האבטחה והתאימות של הארגון.
• יוצרים דוח ביקורת לסביבה שלכם.