Dettagli dell'iniziativa predefinita Swift CSP-CSCF v2022 Per la conformità alle normative
L'articolo seguente illustra in dettaglio il mapping della definizione dell'iniziativa predefinita conformità alle normative Criteri di Azure ai domini di conformità e ai controlli in SWIFT CSP-CSCF v2022. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP-CSCF v2022. Per informazioni sulla Proprietà, vedere Struttura delle definizioni di criteri in Criteri di Azure e Responsabilità condivisa nel cloud.
I mapping seguenti sono relativi ai controlli SWIFT CSP-CSCF v2022 . Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Individuare e selezionare quindi la definizione dell'iniziativa predefinita Swift CSP-CSCF v2022 Per la conformità alle normative.
Importante
Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.
1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale
Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno.
ID: SWIFT CSCF v2022 1.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
servizio app le app devono usare un endpoint servizio di rete virtuale | Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sui servizio app endpoint di servizio, visitare https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Verificare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne | CMA_0053 - Verificare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne | Manuale, Disabilitato | 1.1.0 |
Garantire che i provider esterni soddisfino costantemente gli interessi dei clienti | CMA_C1592 - Garantire che i provider esterni soddisfino costantemente gli interessi dei clienti | Manuale, Disabilitato | 1.1.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Esaminare la conformità del provider di servizi cloud con i criteri e i contratti | CMA_0469 - Esaminare la conformità del provider di servizi cloud con i criteri e i contratti | Manuale, Disabilitato | 1.1.0 |
Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Gli account di archiviazione devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
Sottoposto a revisione della sicurezza indipendente | CMA_0515 - Sottoposto a revisione della sicurezza indipendente | Manuale, Disabilitato | 1.1.0 |
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Limitare e controllare l'allocazione e l'utilizzo degli account del sistema operativo a livello di amministratore.
ID: SWIFT CSCF v2022 1.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Definire e applicare le condizioni per gli account condivisi e di gruppo | CMA_0117 - Definire e applicare le condizioni per gli account condivisi e di gruppo | Manuale, Disabilitato | 1.1.0 |
Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
Sviluppare e definire un piano di sicurezza del sistema | CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema | Manuale, Disabilitato | 1.1.0 |
Sviluppare criteri e procedure di sicurezza delle informazioni | CMA_0158 - Sviluppare criteri e procedure di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di privacy | CMA_0257 - Stabilire un programma di privacy | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi | Manuale, Disabilitato | 1.1.0 |
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Implementare i principi di progettazione della sicurezza dei sistemi informativi | CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi | Manuale, Disabilitato | 1.1.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
Monitorare l'assegnazione di ruolo con privilegi | CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
Usare privileged identity management | CMA_0533 - Usare Privileged Identity Management | Manuale, Disabilitato | 1.1.0 |
Proteggere la piattaforma di virtualizzazione e le macchine virtuali che ospitano componenti correlati a SWIFT allo stesso livello dei sistemi fisici.
ID: SWIFT CSCF v2022 1.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Controllare/proteggere l'accesso a Internet da PC e sistemi dell'operatore all'interno della zona sicura.
ID: SWIFT CSCF v2022 1.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Definire l'uso crittografico | CMA_0120 - Definire l'uso crittografico | Manuale, Disabilitato | 1.1.0 |
Documentare e implementare linee guida per l'accesso wireless | CMA_0190 - Documentare e implementare linee guida per l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Documentare il training sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
Documentare le linee guida per l'accesso remoto | CMA_0196 - Documentare le linee guida per l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Proteggere l'accesso wireless | CMA_0411 - Proteggere l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale.
ID: SWIFT CSCF v2022 1.5A Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
servizio app le app devono usare un endpoint servizio di rete virtuale | Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sui servizio app endpoint di servizio, visitare https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
Protezione DDoS di Azure deve essere abilitata | La protezione DDoS deve essere abilitata per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | AuditIfNotExists, Disabled | 3.0.1 |
Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Usare la protezione dei limiti per isolare i sistemi informativi | CMA_C1639 - Usare la protezione dei limiti per isolare i sistemi informativi | Manuale, Disabilitato | 1.1.0 |
Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Impiegare restrizioni sulle interconnessioni del sistema esterno | CMA_C1155 - Impiegare restrizioni sulle interconnessioni del sistema esterno | Manuale, Disabilitato | 1.1.0 |
Stabilire gli standard di configurazione del firewall e del router | CMA_0272 - Stabilire gli standard di configurazione del firewall e del router | Manuale, Disabilitato | 1.1.0 |
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda | Manuale, Disabilitato | 1.1.0 |
Identificare e gestire scambi di informazioni downstream | CMA_0298 - Identificare e gestire scambi di informazioni downstream | Manuale, Disabilitato | 1.1.0 |
Implementare l'interfaccia gestita per ogni servizio esterno | CMA_C1626 - Implementare l'interfaccia gestita per ogni servizio esterno | Manuale, Disabilitato | 1.1.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
Gli account di archiviazione devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
2. Ridurre la superficie di attacco e le vulnerabilità
Garantire la riservatezza, l'integrità e l'autenticità dei flussi di dati dell'applicazione tra i componenti locali correlati a SWIFT.
ID: SWIFT CSCF v2022 2.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
L'autenticazione nei computer Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
Configurare le azioni per i dispositivi non conformi | CMA_0062 - Configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
Definire l'uso crittografico | CMA_0120 - Definire l'uso crittografico | Manuale, Disabilitato | 1.1.0 |
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche | Manuale, Disabilitato | 1.1.0 |
Determinare i requisiti di asserzione | CMA_0136 - Determinare i requisiti di asserzione | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire configurazioni di base | CMA_0153 - Sviluppare e gestire configurazioni di base | Manuale, Disabilitato | 1.1.0 |
Usare la protezione dei limiti per isolare i sistemi informativi | CMA_C1639 - Usare la protezione dei limiti per isolare i sistemi informativi | Manuale, Disabilitato | 1.1.0 |
Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Applicare identificatori di sessione univoci casuali | CMA_0247 - Applicare identificatori di sessione univoci casuali | Manuale, Disabilitato | 1.1.0 |
Applicare le impostazioni di configurazione della sicurezza | CMA_0249 - Applicare le impostazioni di configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Stabilire una scheda di controllo della configurazione | CMA_0254 - Stabilire una scheda di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
Stabilire una procedura di gestione della perdita di dati | CMA_0255 - Stabilire una procedura di gestione della perdita di dati | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare un piano di gestione della configurazione | CMA_0264 - Stabilire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Stabilire criteri e procedure di backup | CMA_0268 - Stabilire criteri e procedure di backup | Manuale, Disabilitato | 1.1.0 |
Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza | CMA_C1029 - Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza | Manuale, Disabilitato | 1.1.0 |
Isolare i sistemi SecurID, i sistemi di gestione degli eventi imprevisti di sicurezza | CMA_C1636 - Isolare i sistemi SecurID, i sistemi di gestione degli eventi imprevisti di sicurezza | Manuale, Disabilitato | 1.1.0 |
Rilasciare certificati a chiave pubblica | CMA_0347 - Rilasciare certificati a chiave pubblica | Manuale, Disabilitato | 1.1.0 |
Mantenere la disponibilità delle informazioni | CMA_C1644 - Mantenere la disponibilità delle informazioni | Manuale, Disabilitato | 1.1.0 |
Gestire le chiavi crittografiche simmetriche | CMA_0367 - Gestire chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
Notificare agli utenti l'accesso o l'accesso al sistema | CMA_0382 - Notificare agli utenti l'accesso o l'accesso al sistema | Manuale, Disabilitato | 1.1.0 |
Produrre, controllare e distribuire chiavi crittografiche asimmetriche | CMA_C1646 - Produrre, controllare e distribuire chiavi crittografiche asimmetriche | Manuale, Disabilitato | 1.1.0 |
Produrre, controllare e distribuire chiavi crittografiche simmetriche | CMA_C1645 - Produrre, controllare e distribuire chiavi crittografiche simmetriche | Manuale, Disabilitato | 1.1.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso alle chiavi private | CMA_0445 - Limitare l'accesso alle chiavi private | Manuale, Disabilitato | 1.1.0 |
Proteggere l'interfaccia ai sistemi esterni | CMA_0491 - Proteggere l'interfaccia ai sistemi esterni | Manuale, Disabilitato | 1.1.0 |
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
Ridurre al minimo l'occorrenza di vulnerabilità tecniche note nei PC degli operatori e all'interno dell'infrastruttura SWIFT locale assicurando il supporto del fornitore, applicando aggiornamenti software obbligatori e applicando aggiornamenti della sicurezza tempestivi allineati al rischio valutato.
ID: SWIFT CSCF v2022 2.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Controlla le macchine virtuali Windows in attesa di riavvio | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il computer è in attesa di riavvio per uno dei motivi seguenti: manutenzione basata su componenti, Windows Update, ridenominazione file in sospeso, ridenominazione computer in sospeso, Gestione configurazione in attesa di riavvio. Per ogni rilevamento è presente un percorso del Registro di sistema univoco. | auditIfNotExists | 2.0.0 |
Correlare le informazioni sull'analisi della vulnerabilità | CMA_C1558 - Correlare le informazioni sull'analisi della vulnerabilità | Manuale, Disabilitato | 1.1.1 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Diffondere gli avvisi di sicurezza al personale | CMA_C1705 - Distribuire avvisi di sicurezza al personale | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | Controlla se devono essere installati aggiornamenti critici e aggiornamenti della sicurezza del sistema mancanti per garantire che i set di scalabilità di macchine virtuali Windows e Linux siano sicuri. | AuditIfNotExists, Disabled | 3.0.0 |
Gli aggiornamenti di sistema devono essere installati nelle macchine | Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 4.0.0 |
Usare meccanismi automatizzati per gli avvisi di sicurezza | CMA_C1707 - Usare meccanismi automatizzati per gli avvisi di sicurezza | Manuale, Disabilitato | 1.1.0 |
Ridurre la superficie di attacco informatico dei componenti correlati a SWIFT eseguendo la protezione avanzata del sistema.
ID: SWIFT CSCF v2022 2.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | AuditIfNotExists, Disabled | 3.1.0 |
Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. | auditIfNotExists | 2.0.0 |
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 2.0.0 |
Automatizzare le modifiche documentate proposte | CMA_C1191 - Automatizzare le modifiche documentate proposte | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi dell'impatto sulla sicurezza | CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
Configurare le azioni per i dispositivi non conformi | CMA_0062 - Configurare le azioni per i dispositivi non conformi | Manuale, Disabilitato | 1.1.0 |
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Sviluppare e gestire uno standard gestione delle vulnerabilità | CMA_0152 - Sviluppare e gestire uno standard gestione delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Sviluppare e gestire configurazioni di base | CMA_0153 - Sviluppare e gestire configurazioni di base | Manuale, Disabilitato | 1.1.0 |
Applicare le impostazioni di configurazione della sicurezza | CMA_0249 - Applicare le impostazioni di configurazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Stabilire una scheda di controllo della configurazione | CMA_0254 - Stabilire una scheda di controllo della configurazione | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare un piano di gestione della configurazione | CMA_0264 - Stabilire e documentare un piano di gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di gestione della configurazione per gli sviluppatori | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
Implementare uno strumento di gestione della configurazione automatizzato | CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato | Manuale, Disabilitato | 1.1.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Eseguire una valutazione dell'impatto sulla privacy | CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire il controllo per il controllo delle modifiche della configurazione | CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione | Manuale, Disabilitato | 1.1.0 |
Mantenere le versioni precedenti delle configurazioni di base | CMA_C1181 - Mantenere le versioni precedenti delle configurazioni di base | Manuale, Disabilitato | 1.1.0 |
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Garantire la riservatezza, l'integrità e l'autenticità reciproca dei flussi di dati tra i componenti dell'infrastruttura SWIFT locale o remota e gli hop iniziali del back-office a cui si connettono.
ID: SWIFT CSCF v2022 2.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire il backup della documentazione del sistema informativo | CMA_C1289 - Eseguire il backup della documentazione del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
Stabilire criteri e procedure di backup | CMA_0268 - Stabilire criteri e procedure di backup | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Notificare agli utenti l'accesso o l'accesso al sistema | CMA_0382 - Notificare agli utenti l'accesso o l'accesso al sistema | Manuale, Disabilitato | 1.1.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Back-office Flusso di dati Security
ID: SWIFT CSCF v2022 2.4A Proprietà: Customer
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
L'autenticazione nei computer Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
Proteggere la riservatezza dei dati correlati a SWIFT trasmessi o archiviati all'esterno della zona sicura come parte dei processi operativi.
ID: SWIFT CSCF v2022 2.5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire il backup della documentazione del sistema informativo | CMA_C1289 - Eseguire il backup della documentazione del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
Stabilire criteri e procedure di backup | CMA_0268 - Stabilire criteri e procedure di backup | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere tutti i supporti | CMA_0314 - Implementare controlli per proteggere tutti i supporti | Manuale, Disabilitato | 1.1.0 |
Gestire il trasporto delle risorse | CMA_0370 - Gestire il trasporto delle risorse | Manuale, Disabilitato | 1.1.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Protezione dei dati personali dalla trasmissione esterna
ID: SWIFT CSCF v2022 2.5A Proprietà: Customer
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usare la ridondanza geografica per creare applicazioni a disponibilità elevata | Audit, Disabled | 1.0.0 |
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Proteggere la riservatezza e l'integrità delle sessioni di operatori interattive che si connettono all'infrastruttura SWIFT o al provider di servizi SWIFT (gestito da un provider di servizi)
ID: SWIFT CSCF v2022 2.6 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Autorizzare l'accesso remoto | CMA_0024 - Autorizzare l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Documentare e implementare linee guida per l'accesso wireless | CMA_0190 - Documentare e implementare linee guida per l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Documentare il training sulla mobilità | CMA_0191 - Documentare la formazione sulla mobilità | Manuale, Disabilitato | 1.1.0 |
Documentare le linee guida per l'accesso remoto | CMA_0196 - Documentare le linee guida per l'accesso remoto | Manuale, Disabilitato | 1.1.0 |
Identificare ed autenticare i dispositivi di rete | CMA_0296 - Identificare ed autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
Implementare controlli per proteggere i siti di lavoro alternativi | CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi | Manuale, Disabilitato | 1.1.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere l'accesso wireless | CMA_0411 - Proteggere l'accesso wireless | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
Ripetere o terminare una sessione utente | CMA_0421 - Ripetere o terminare una sessione utente | Manuale, Disabilitato | 1.1.0 |
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' | I computer Windows devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso interattivo' per visualizzare il cognome utente e richiedere ctrl-alt-canc. Questo criterio richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati.
ID: SWIFT CSCF v2022 2.7 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Correlare le informazioni sull'analisi della vulnerabilità | CMA_C1558 - Correlare le informazioni sull'analisi della vulnerabilità | Manuale, Disabilitato | 1.1.1 |
Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità | CMA_C1555 - Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Integrare la correzione dei difetti nella gestione della configurazione | CMA_C1671 - Incorpora correzione dei difetti nella gestione della configurazione | Manuale, Disabilitato | 1.1.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
Osservare e segnalare i punti deboli della sicurezza | CMA_0384 - Osservare e segnalare i punti deboli della sicurezza | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire la modellazione delle minacce | CMA_0392 - Eseguire la modellazione delle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. | AuditIfNotExists, Disabled | 3.0.0 |
Garantire un approccio coerente ed efficace per il monitoraggio della messaggistica dei clienti.
ID: SWIFT CSCF v2022 2.8.5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare il rischio nelle relazioni di terze parti | CMA_0014 - Valutare il rischio nelle relazioni di terze parti | Manuale, Disabilitato | 1.1.0 |
Definire e documentare la supervisione degli enti pubblici | CMA_C1587 - Definire e documentare la supervisione governativa | Manuale, Disabilitato | 1.1.0 |
Definire i requisiti per fornire beni e servizi | CMA_0126 - Definire i requisiti per la fornitura di beni e servizi | Manuale, Disabilitato | 1.1.0 |
Determinare gli obblighi del contratto fornitore | CMA_0140 - Determinare gli obblighi del contratto fornitore | Manuale, Disabilitato | 1.1.0 |
Stabilire criteri per la gestione dei rischi della supply chain | CMA_0275 - Stabilire criteri per la gestione dei rischi della supply chain | Manuale, Disabilitato | 1.1.0 |
Richiedere ai provider di servizi esterni di rispettare i requisiti di sicurezza | CMA_C1586 - Richiedere ai provider di servizi esterni di rispettare i requisiti di sicurezza | Manuale, Disabilitato | 1.1.0 |
Esaminare la conformità del provider di servizi cloud con i criteri e i contratti | CMA_0469 - Esaminare la conformità del provider di servizi cloud con i criteri e i contratti | Manuale, Disabilitato | 1.1.0 |
Sottoposto a revisione della sicurezza indipendente | CMA_0515 - Sottoposto a revisione della sicurezza indipendente | Manuale, Disabilitato | 1.1.0 |
Garantire la protezione dell'infrastruttura SWIFT locale dai rischi esposti dall'esternalizzazione delle attività critiche.
ID: SWIFT CSCF v2022 2.8A Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Determinare gli obblighi del contratto fornitore | CMA_0140 - Determinare gli obblighi del contratto fornitore | Manuale, Disabilitato | 1.1.0 |
Criteri di accettazione del contratto di acquisizione documenti | CMA_0187 - Criteri di accettazione del contratto di acquisizione documenti | Manuale, Disabilitato | 1.1.0 |
Protezione dei dati personali nei contratti di acquisizione | CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Protezione dei documenti delle informazioni di sicurezza nei contratti di acquisizione | CMA_0195 - Protezione documentale delle informazioni di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Requisiti dei documenti per l'uso dei dati condivisi nei contratti | CMA_0197 - Documentare i requisiti per l'uso dei dati condivisi nei contratti | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | CMA_0199 - Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti della documentazione sulla sicurezza nel contratto di acquisizione | CMA_0200 - Documentare i requisiti della documentazione di sicurezza nel contratto di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | CMA_0201 - Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare i requisiti di sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti | Manuale, Disabilitato | 1.1.0 |
Verificare l'attività delle transazioni in uscita entro i limiti previsti del normale business.
ID: SWIFT CSCF v2022 2.9 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Autorizzare, monitorare e controllare voip | CMA_0025 - Autorizzare, monitorare e controllare voip | Manuale, Disabilitato | 1.1.0 |
Flusso di informazioni di controllo | CMA_0079 - Flusso di informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Usare meccanismi di controllo del flusso di informazioni crittografate | CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate | Manuale, Disabilitato | 1.1.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Instradare il traffico attraverso i punti di accesso alla rete gestita | CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita | Manuale, Disabilitato | 1.1.0 |
Limitare l'attività delle transazioni alle controparti aziendali convalidate e approvate.
ID: SWIFT CSCF v2022 2.11A Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Autorizzare e gestire l'accesso | CMA_0023 - Autorizzare e gestire l'accesso | Manuale, Disabilitato | 1.1.0 |
Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
Applicare l'accesso logico | CMA_0245 - Applicare l'accesso logico | Manuale, Disabilitato | 1.1.0 |
Applicare criteri di controllo di accesso obbligatori e discrezionali | CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali | Manuale, Disabilitato | 1.1.0 |
Riassegnare o rimuovere i privilegi utente in base alle esigenze | CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili | Manuale, Disabilitato | 1.1.0 |
Esaminare i privilegi utente | CMA_C1039 - Esaminare i privilegi utente | Manuale, Disabilitato | 1.1.0 |
3. Proteggere fisicamente l'ambiente
Impedire l'accesso fisico non autorizzato a apparecchiature sensibili, ambienti di lavoro, siti di hosting e archiviazione.
ID: SWIFT CSCF v2022 3.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
Controllare l'accesso fisico | CMA_0081 - Controllare l'accesso fisico | Manuale, Disabilitato | 1.1.0 |
Definire un processo di gestione delle chiavi fisiche | CMA_0115 - Definire un processo di gestione delle chiavi fisiche | Manuale, Disabilitato | 1.1.0 |
Stabilire e gestire un inventario degli asset | CMA_0266 - Stabilire e gestire un inventario degli asset | Manuale, Disabilitato | 1.1.0 |
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Installare un sistema di allarme | CMA_0338 - Installare un sistema di allarme | Manuale, Disabilitato | 1.1.0 |
Gestire un sistema di telecamere di sorveglianza sicuro | CMA_0354 - Gestire un sistema di telecamera di sorveglianza sicura | Manuale, Disabilitato | 1.1.0 |
Esaminare e aggiornare criteri e procedure fisici e ambientali | CMA_C1446 - Rivedere e aggiornare criteri e procedure fisiche e ambientali | Manuale, Disabilitato | 1.1.0 |
4. Impedire la compromissione delle credenziali
Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci.
ID: SWIFT CSCF v2022 4.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | AuditIfNotExists, Disabled | 3.1.0 |
Controlla i computer Linux in cui sono presenti account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password | AuditIfNotExists, Disabled | 3.1.0 |
Controlla i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche. Il valore predefinito per le password univoche è 24 | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows che non hanno la validità minima della password impostata sul numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno | AuditIfNotExists, Disabled | 2.1.0 |
Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password | AuditIfNotExists, Disabled | 2.0.0 |
Controlla i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri. Il valore predefinito per la lunghezza minima della password è di 14 caratteri | AuditIfNotExists, Disabled | 2.1.0 |
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Documentare i requisiti di sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Stabilire un criterio password | CMA_0256 - Stabilire un criterio password | Manuale, Disabilitato | 1.1.0 |
Stabilire tipi e processi di autenticazione | CMA_0267 - Stabilire tipi e processi di autenticazione | Manuale, Disabilitato | 1.1.0 |
Implementare i parametri per i verificatori segreti memorizzati | CMA_0321 - Implementare i parametri per i verificatori segreti memorizzati | Manuale, Disabilitato | 1.1.0 |
Gestire la durata e il riutilizzo dell'autenticatore | CMA_0355 - Gestire la durata e il riutilizzo dell'autenticatore | Manuale, Disabilitato | 1.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Impedire che una compromissione di un singolo fattore di autenticazione consenta l'accesso a sistemi o applicazioni correlati a SWIFT implementando l'autenticazione a più fattori.
ID: SWIFT CSCF v2022 4.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
Adottare meccanismi di autenticazione biometrica | CMA_0005 - Adottare meccanismi di autenticazione biometrica | Manuale, Disabilitato | 1.1.0 |
Identificare ed autenticare i dispositivi di rete | CMA_0296 - Identificare ed autenticare i dispositivi di rete | Manuale, Disabilitato | 1.1.0 |
5. Gestire le identità e separare i privilegi
Applicare i principi di sicurezza dell'accesso, dei privilegi minimi e della separazione dei compiti per gli account degli operatori.
ID: SWIFT CSCF v2022 5.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Assegnare responsabili account | CMA_0015 - Assegnare responsabili account | Manuale, Disabilitato | 1.1.0 |
Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. | auditIfNotExists | 2.0.0 |
Automatizzare la gestione degli account | CMA_0026 - Automatizzare la gestione degli account | Manuale, Disabilitato | 1.1.0 |
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
Definire le autorizzazioni di accesso per supportare la separazione dei compiti | CMA_0116 - Definire le autorizzazioni di accesso per supportare la separazione dei compiti | Manuale, Disabilitato | 1.1.0 |
Definire i tipi di account del sistema informativo | CMA_0121 - Definire i tipi di account del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Progettare un modello di controllo di accesso | CMA_0129 - Progettare un modello di controllo di accesso | Manuale, Disabilitato | 1.1.0 |
Disabilitare gli autenticatori al termine | CMA_0169 - Disabilitare gli autenticatori al termine | Manuale, Disabilitato | 1.1.0 |
Privilegi di accesso ai documenti | CMA_0186 - Privilegi di accesso ai documenti | Manuale, Disabilitato | 1.1.0 |
Separazione dei compiti in documenti | CMA_0204 - Separazione dei compiti | Manuale, Disabilitato | 1.1.0 |
Usare l'accesso con privilegi minimi | CMA_0212 - Usare l'accesso con privilegi minimi | Manuale, Disabilitato | 1.1.0 |
Stabilire condizioni per l'appartenenza ai ruoli | CMA_0269 - Stabilire condizioni per l'appartenenza ai ruoli | Manuale, Disabilitato | 1.1.0 |
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
Gestire gli account di sistema e amministratore | CMA_0368 - Gestire gli account di sistema e amministratore | Manuale, Disabilitato | 1.1.0 |
Monitorare l'accesso all'intera organizzazione | CMA_0376 - Monitorare l'accesso all'intera organizzazione | Manuale, Disabilitato | 1.1.0 |
Monitorare l'attività dell'account | CMA_0377 - Monitorare l'attività dell'account | Manuale, Disabilitato | 1.1.0 |
Notifica quando l'account non è necessario | CMA_0383 - Notifica quando l'account non è necessario | Manuale, Disabilitato | 1.1.0 |
Proteggere le informazioni di controllo | CMA_0401 - Proteggere le informazioni di controllo | Manuale, Disabilitato | 1.1.0 |
Riassegnare o rimuovere i privilegi utente in base alle esigenze | CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Richiedere l'approvazione per la creazione dell'account | CMA_0431 - Richiedi approvazione per la creazione dell'account | Manuale, Disabilitato | 1.1.0 |
Limitare l'accesso agli account con privilegi | CMA_0446 - Limitare l'accesso agli account con privilegi | Manuale, Disabilitato | 1.1.0 |
Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
Esaminare gli account utente | CMA_0480 - Esaminare gli account utente | Manuale, Disabilitato | 1.1.0 |
Esaminare i privilegi utente | CMA_C1039 - Esaminare i privilegi utente | Manuale, Disabilitato | 1.1.0 |
Revocare i ruoli con privilegi in base alle esigenze | CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Compiti separati delle persone | CMA_0492 - Compiti separati delle persone | Manuale, Disabilitato | 1.1.0 |
Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
Verificare la corretta gestione, il rilevamento e l'uso dell'autenticazione hardware connessa e disconnessa o dei token personali (quando vengono usati i token).
ID: SWIFT CSCF v2022 5.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Distribuire autenticatori | CMA_0184 - Distribuire autenticatori | Manuale, Disabilitato | 1.1.0 |
Stabilire tipi e processi di autenticazione | CMA_0267 - Stabilire tipi e processi di autenticazione | Manuale, Disabilitato | 1.1.0 |
Stabilire procedure per la distribuzione iniziale dell'autenticatore | CMA_0276 - Stabilire procedure per la distribuzione iniziale dell'autenticatore | Manuale, Disabilitato | 1.1.0 |
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Verificare l'identità prima di distribuire gli autenticatori | CMA_0538 - Verificare l'identità prima di distribuire gli autenticatori | Manuale, Disabilitato | 1.1.0 |
Nella misura consentita e praticabile, garantire l'affidabilità del personale che opera l'ambiente SWIFT locale eseguendo regolarmente lo screening del personale.
ID: SWIFT CSCF v2022 5.3A Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Cancellare il personale con accesso alle informazioni classificate | CMA_0054 - Cancellare il personale con accesso alle informazioni classificate | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che i contratti di accesso siano firmati o riassegnati tempestivamente | CMA_C1528 - Assicurarsi che i contratti di accesso siano firmati o riassegnati tempestivamente | Manuale, Disabilitato | 1.1.0 |
Implementare lo screening del personale | CMA_0322 - Implementare lo screening del personale | Manuale, Disabilitato | 1.1.0 |
Proteggere informazioni speciali | CMA_0409 - Proteggere informazioni speciali | Manuale, Disabilitato | 1.1.0 |
Rielaborare i singoli utenti a una frequenza definita | CMA_C1512 - Rielaborare gli utenti a una frequenza definita | Manuale, Disabilitato | 1.1.0 |
Proteggere fisicamente e logicamente il repository di password registrate.
ID: SWIFT CSCF v2022 5.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 2.0.0 |
Documentare i requisiti di sicurezza nei contratti di acquisizione | CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Stabilire un criterio password | CMA_0256 - Stabilire un criterio password | Manuale, Disabilitato | 1.1.0 |
Implementare i parametri per i verificatori segreti memorizzati | CMA_0321 - Implementare i parametri per i verificatori segreti memorizzati | Manuale, Disabilitato | 1.1.0 |
È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
6. Rilevare attività anomale a sistemi o record delle transazioni
Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati.
ID: SWIFT CSCF v2022 6.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
Bloccare processi non attendibili e non firmati eseguiti da USB | CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB | Manuale, Disabilitato | 1.1.0 |
Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
Correlare le informazioni sull'analisi della vulnerabilità | CMA_C1558 - Correlare le informazioni sull'analisi della vulnerabilità | Manuale, Disabilitato | 1.1.1 |
Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
Stabilire i requisiti per la revisione e la creazione di report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e la creazione di report di controllo | Manuale, Disabilitato | 1.1.0 |
Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità | CMA_C1555 - Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Integrare la revisione, l'analisi e la creazione di report di controllo | CMA_0339 - Integrare la revisione di controllo, l'analisi e la creazione di report | Manuale, Disabilitato | 1.1.0 |
Integrare Cloud App Security con una soluzione siem | CMA_0340 - Integrare Cloud App Security con una soluzione siem | Manuale, Disabilitato | 1.1.0 |
Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. | AuditIfNotExists, Disabled | 1.1.0 |
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
Osservare e segnalare i punti deboli della sicurezza | CMA_0384 - Osservare e segnalare i punti deboli della sicurezza | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire la modellazione delle minacce | CMA_0392 - Eseguire la modellazione delle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
Esaminare le assegnazioni di amministratore ogni settimana | CMA_0461 - Esaminare le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Esaminare la panoramica del report sull'identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare gli eventi di protezione dagli exploit | CMA_0472 - Esaminare gli eventi di protezione dagli exploit | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività di file e cartelle | CMA_0473 - Esaminare l'attività di file e cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare il report rilevamenti malware settimanalmente | CMA_0475 - Esaminare il report rilevamenti malware settimanalmente | Manuale, Disabilitato | 1.1.0 |
Esaminare le modifiche al gruppo di ruoli ogni settimana | CMA_0476 - Esaminare le modifiche al gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
Aggiornare le definizioni antivirus | CMA_0517 - Aggiornare le definizioni antivirus | Manuale, Disabilitato | 1.1.0 |
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
Verificare l'integrità software dei componenti correlati a SWIFT e agire sui risultati.
ID: SWIFT CSCF v2022 6.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Configurare le workstation per verificare la presenza di certificati digitali | CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali | Manuale, Disabilitato | 1.1.0 |
Usare l'arresto/riavvio automatico quando vengono rilevate violazioni | CMA_C1715 - Usare l'arresto/riavvio automatico quando vengono rilevate violazioni | Manuale, Disabilitato | 1.1.0 |
Proteggere i dati in transito tramite la crittografia | CMA_0403 - Proteggere i dati in transito tramite la crittografia | Manuale, Disabilitato | 1.1.0 |
Proteggere le password con la crittografia | CMA_0408 - Proteggere le password con la crittografia | Manuale, Disabilitato | 1.1.0 |
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
Verificare l'integrità dei record di database per l'interfaccia di messaggistica SWIFT o il connettore del cliente e agire sui risultati.
ID: SWIFT CSCF v2022 6.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
Visualizzare e configurare i dati di diagnostica del sistema | CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema | Manuale, Disabilitato | 1.1.0 |
Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale.
ID: SWIFT CSCF v2022 6.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. | AuditIfNotExists, Disabled | 2.0.1-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
Il log attività deve essere conservato per almeno un anno | Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0). | AuditIfNotExists, Disabled | 1.0.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
Controllare le funzioni con privilegi | CMA_0019 - Controllare le funzioni con privilegi | Manuale, Disabilitato | 1.1.0 |
Controllare lo stato dell'account utente | CMA_0020 - Controllare lo stato dell'account utente | Manuale, Disabilitato | 1.1.0 |
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Il profilo di log di Monitoraggio di Azure deve raccogliere i log per le categorie 'scrittura', 'eliminazione' e 'azione' | Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione' | AuditIfNotExists, Disabled | 1.0.0 |
I cluster di log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) | Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
I cluster di log di Monitoraggio di Azure devono essere crittografati con la chiave gestita dal cliente | Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
I log di Monitoraggio di Azure per Application Insights devono essere collegati a un'area di lavoro Log Analytics | Collegare il componente Application Insights a un'area di lavoro Log Analytics per la crittografia dei log. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso ai dati in Monitoraggio di Azure. Il collegamento del componente a un'area di lavoro Log Analytics abilitata con una chiave gestita dal cliente garantisce che i log di Application Insights soddisfino questo requisito di conformità, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
Monitoraggio di Azure deve raccogliere i log attività da tutte le aree | Questo criterio controlla il profilo del log di Monitoraggio di Azure che non esporta le attività da tutte le aree supportate da Azure, incluse quelle globali. | AuditIfNotExists, Disabled | 2.0.0 |
La soluzione 'Sicurezza e controllo' di Monitoraggio di Azure deve essere distribuita | Questo criterio garantisce che il servizio Sicurezza e controllo sia distribuito. | AuditIfNotExists, Disabled | 1.0.0 |
Correlare i record di controllo | CMA_0087 - Correlare i record di controllo | Manuale, Disabilitato | 1.1.0 |
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Determinare gli eventi controllabili | CMA_0137 - Determinare gli eventi controllabili | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti per la revisione e la creazione di report di controllo | CMA_0277 - Stabilire i requisiti per la revisione e la creazione di report di controllo | Manuale, Disabilitato | 1.1.0 |
I log dei flussi devono essere configurati per ogni gruppo di sicurezza di rete | Controllare che i gruppi di sicurezza di rete verifichino se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.1.0 |
Integrare la revisione, l'analisi e la creazione di report di controllo | CMA_0339 - Integrare la revisione di controllo, l'analisi e la creazione di report | Manuale, Disabilitato | 1.1.0 |
Integrare Cloud App Security con una soluzione siem | CMA_0340 - Integrare Cloud App Security con una soluzione siem | Manuale, Disabilitato | 1.1.0 |
L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. | AuditIfNotExists, Disabled | 2.0.1 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
I log dei flussi di Network Watcher devono avere l'analisi del traffico abilitata | Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni di Azure e identificare le aree sensibili, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora. | Audit, Disabled | 1.0.1 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Fornire avvisi in tempo reale per gli errori degli eventi di controllo | CMA_C1114 - Fornire avvisi in tempo reale per gli errori degli eventi di controllo | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Esaminare i log di provisioning degli account | CMA_0460 - Esaminare i log di provisioning degli account | Manuale, Disabilitato | 1.1.0 |
Esaminare le assegnazioni di amministratore ogni settimana | CMA_0461 - Esaminare le assegnazioni degli amministratori ogni settimana | Manuale, Disabilitato | 1.1.0 |
Esaminare i dati di controllo | CMA_0466 - Esaminare i dati di controllo | Manuale, Disabilitato | 1.1.0 |
Esaminare la panoramica del report sull'identità cloud | CMA_0468 - Esaminare la panoramica del report sulle identità cloud | Manuale, Disabilitato | 1.1.0 |
Esaminare gli eventi di accesso controllato alle cartelle | CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare gli eventi di protezione dagli exploit | CMA_0472 - Esaminare gli eventi di protezione dagli exploit | Manuale, Disabilitato | 1.1.0 |
Esaminare l'attività di file e cartelle | CMA_0473 - Esaminare l'attività di file e cartelle | Manuale, Disabilitato | 1.1.0 |
Esaminare le modifiche al gruppo di ruoli ogni settimana | CMA_0476 - Esaminare le modifiche al gruppo di ruoli ogni settimana | Manuale, Disabilitato | 1.1.0 |
Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log | Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK | Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | Questo criterio controlla qualsiasi set di scalabilità di macchine virtuali Windows/Linux se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1 |
Per le macchine virtuali deve essere installata l'estensione Log Analytics | Questo criterio controlla le macchine virtuali Windows/Linux se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1 |
Rilevare e contenere attività di rete anomale in e all'interno dell'ambiente SWIFT locale o remoto.
ID: SWIFT CSCF v2022 6.5A Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
Avvisare il personale della fuga di informazioni | CMA_0007 - Avvisare il personale della fuga di informazioni | Manuale, Disabilitato | 1.1.0 |
Autorizzare, monitorare e controllare voip | CMA_0025 - Autorizzare, monitorare e controllare voip | Manuale, Disabilitato | 1.1.0 |
Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
Rilevare i servizi di rete che non sono stati autorizzati o approvati | CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
Instradare il traffico attraverso i punti di accesso alla rete gestita | CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita | Manuale, Disabilitato | 1.1.0 |
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione | Manuale, Disabilitato | 1.1.0 |
Attivare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
7. Pianificare la risposta agli eventi imprevisti e la condivisione delle informazioni
Garantire un approccio coerente ed efficace per la gestione degli incidenti informatici.
ID: SWIFT CSCF v2022 7.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Risolvere i problemi di sicurezza delle informazioni | CMA_C1742 - Risolvere i problemi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.1.0 |
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
Identificare le classi di eventi imprevisti e azioni eseguite | CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite | Manuale, Disabilitato | 1.1.0 |
Incorporare eventi simulati nel training di risposta agli eventi imprevisti | CMA_C1356 - Incorporare eventi simulati in formazione sulla risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla perdita di informazioni | CMA_0413 - Fornire formazione sulla perdita di informazioni | Manuale, Disabilitato | 1.1.0 |
Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti | CMA_C1352 - Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
Assicurarsi che tutti i membri del personale siano consapevoli e soddisfino le proprie responsabilità di sicurezza eseguendo attività di sensibilizzazione regolari e mantenendo la conoscenza della sicurezza del personale con accesso con privilegi.
ID: SWIFT CSCF v2022 7.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Documentare le attività di formazione sulla sicurezza e sulla privacy | CMA_0198 - Documentare le attività di formazione sulla sicurezza e sulla privacy | Manuale, Disabilitato | 1.1.0 |
Fornire formazione periodica sulla sicurezza basata sui ruoli | CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione periodica sulla sensibilizzazione sulla sicurezza | CMA_C1091 - Fornire una formazione periodica di sensibilizzazione sulla sicurezza | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla privacy | CMA_0415 - Fornire formazione sulla privacy | Manuale, Disabilitato | 1.1.0 |
Fornire esercizi pratici basati sui ruoli | CMA_C1096 - Fornire esercizi pratici basati sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza basata sui ruoli | CMA_C1094 - Fornire formazione sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione basata sui ruoli sulle attività sospette | CMA_C1097 - Fornire formazione basata sui ruoli sulle attività sospette | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla consapevolezza della sicurezza per le minacce interne | CMA_0417 - Fornire formazione sulla consapevolezza della sicurezza per le minacce interne | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza prima di fornire l'accesso | CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza per i nuovi utenti | CMA_0419 - Fornire formazione sulla sicurezza per i nuovi utenti | Manuale, Disabilitato | 1.1.0 |
Fornire formazione aggiornata sulla consapevolezza della sicurezza | CMA_C1090 - Fornire formazione aggiornata sulla consapevolezza della sicurezza | Manuale, Disabilitato | 1.1.0 |
Convalidare la configurazione della sicurezza operativa e identificare le lacune di sicurezza eseguendo test di penetrazione.
ID: SWIFT CSCF v2022 7.3A Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Impiegare un team indipendente per i test di penetrazione | CMA_C1171 - Impiegare un team indipendente per i test di penetrazione | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di compilare l'architettura di sicurezza | CMA_C1612 - Richiedere agli sviluppatori di creare un'architettura di sicurezza | Manuale, Disabilitato | 1.1.0 |
Valutare il rischio e l'idoneità dell'organizzazione in base a scenari di attacchi informatici plausibili.
ID: SWIFT CSCF v2022 7.4A Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire la valutazione dei rischi | CMA_C1543 - Eseguire la valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire la valutazione dei rischi e distribuirne i risultati | CMA_C1544 - Eseguire la valutazione dei rischi e distribuirne i risultati | Manuale, Disabilitato | 1.1.0 |
Condurre la valutazione dei rischi e documentarne i risultati | CMA_C1542 - Eseguire la valutazione dei rischi e documentarne i risultati | Manuale, Disabilitato | 1.1.0 |
Definire una strategia di gestione dei rischi | CMA_0258 - Stabilire una strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Implementare la strategia di gestione dei rischi | CMA_C1744 - Implementare la strategia di gestione dei rischi | Manuale, Disabilitato | 1.1.0 |
Eseguire una valutazione dei rischi | CMA_0388 - Eseguire una valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
Esaminare e aggiornare criteri e procedure di valutazione dei rischi | CMA_C1537 - Esaminare e aggiornare i criteri e le procedure di valutazione dei rischi | Manuale, Disabilitato | 1.1.0 |
8. Impostare e monitorare le prestazioni
Garantire la disponibilità impostando e monitorando formalmente gli obiettivi da raggiungere
ID: SWIFT CSCF v2022 8.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di emergenza | CMA_C1244 - Sviluppare un piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Ottenere un parere legale per le attività del sistema di monitoraggio | CMA_C1688 - Ottenere un parere legale per le attività del sistema di monitoraggio | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Pianificare la continuazione delle funzioni aziendali essenziali | CMA_C1255 - Pianificare la continuazione delle funzioni aziendali essenziali | Manuale, Disabilitato | 1.1.0 |
Pianificare la ripresa delle funzioni aziendali essenziali | CMA_C1253 - Pianificare la ripresa delle funzioni aziendali essenziali | Manuale, Disabilitato | 1.1.0 |
Fornire informazioni di monitoraggio in base alle esigenze | CMA_C1689 - Fornire informazioni di monitoraggio in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Riprendere tutte le funzioni aziendali e di missione | CMA_C1254 - Riprendere tutte le funzioni aziendali e di missione | Manuale, Disabilitato | 1.1.0 |
Garantire disponibilità, capacità e qualità dei servizi ai clienti
ID: SWIFT CSCF v2022 8.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Pianificare la capacità | CMA_C1252 - Pianificare la capacità | Manuale, Disabilitato | 1.1.0 |
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Creare azioni alternative per le anomalie identificate | CMA_C1711 - Creare azioni alternative per le anomalie identificate | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di emergenza | CMA_C1244 - Sviluppare un piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Notificare al personale eventuali test di verifica della sicurezza non superati | CMA_C1710 - Notificare al personale eventuali test di verifica della sicurezza non superati | Manuale, Disabilitato | 1.1.0 |
Eseguire la verifica delle funzioni di sicurezza a una frequenza definita | CMA_C1709 - Eseguire la verifica della funzione di sicurezza a una frequenza definita | Manuale, Disabilitato | 1.1.0 |
Pianificare la continuazione delle funzioni aziendali essenziali | CMA_C1255 - Pianificare la continuazione delle funzioni aziendali essenziali | Manuale, Disabilitato | 1.1.0 |
Garantire la disponibilità anticipata delle versioni SWIFTNet e degli standard FIN per il test corretto da parte del cliente prima di procedere in tempo reale.
ID: SWIFT CSCF v2022 8.5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Risolvere le vulnerabilità di codifica | CMA_0003 - Risolvere le vulnerabilità di codifica | Manuale, Disabilitato | 1.1.0 |
Sviluppare e documentare i requisiti di sicurezza delle applicazioni | CMA_0148 - Sviluppare e documentare i requisiti di sicurezza delle applicazioni | Manuale, Disabilitato | 1.1.0 |
Documentare l'ambiente del sistema informativo nei contratti di acquisizione | CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di sviluppo software sicuro | CMA_0259 - Stabilire un programma di sviluppo software sicuro | Manuale, Disabilitato | 1.1.0 |
Eseguire analisi delle vulnerabilità | CMA_0393 - Eseguire analisi delle vulnerabilità | Manuale, Disabilitato | 1.1.0 |
Correggere i difetti del sistema informativo | CMA_0427 - Correggere i difetti del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di documentare le modifiche approvate e il potenziale impatto | CMA_C1597 - Richiedere agli sviluppatori di documentare le modifiche approvate e il potenziale impatto | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di implementare solo le modifiche approvate | CMA_C1596 - Richiedere agli sviluppatori di implementare solo le modifiche approvate | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di gestire l'integrità delle modifiche | CMA_C1595 - Richiedere agli sviluppatori di gestire l'integrità delle modifiche | Manuale, Disabilitato | 1.1.0 |
Richiedere agli sviluppatori di produrre prove di esecuzione del piano di valutazione della sicurezza | CMA_C1602 - Richiedere agli sviluppatori di produrre prove di esecuzione del piano di valutazione della sicurezza | Manuale, Disabilitato | 1.1.0 |
Verificare l'integrità del software, del firmware e delle informazioni | CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni | Manuale, Disabilitato | 1.1.0 |
9. Garantire la disponibilità tramite resilienza
I provider devono garantire che il servizio rimanga disponibile per i clienti in caso di disturbo o malfunzionamento locale.
ID: SWIFT CSCF v2022 9.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire test di risposta agli eventi imprevisti | CMA_0060 - Eseguire test di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di emergenza | CMA_C1244 - Sviluppare un piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Sviluppare criteri e procedure di pianificazione dell'emergenza | CMA_0156 - Sviluppare criteri e procedure di pianificazione dell'emergenza | Manuale, Disabilitato | 1.1.0 |
Distribuire criteri e procedure | CMA_0185 - Distribuire criteri e procedure | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di sicurezza delle informazioni | CMA_0263 - Stabilire un programma di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Fornire formazione per l'emergenza | CMA_0412 - Fornire formazione per l'emergenza | Manuale, Disabilitato | 1.1.0 |
Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
I provider devono assicurarsi che il servizio rimanga disponibile per i clienti in caso di emergenza del sito.
ID: SWIFT CSCF v2022 9.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Eseguire il backup della documentazione del sistema informativo | CMA_C1289 - Eseguire il backup della documentazione del sistema informativo | Manuale, Disabilitato | 1.1.0 |
Creare siti di archiviazione alternativi e primari separati | CMA_C1269 - Creare siti di archiviazione alternativi e primari separati | Manuale, Disabilitato | 1.1.0 |
Assicurarsi che le misure di sicurezza del sito di archiviazione alternative siano equivalenti al sito primario | CMA_C1268 - Assicurarsi che le misure di sicurezza alternative del sito di archiviazione siano equivalenti al sito primario | Manuale, Disabilitato | 1.1.0 |
Stabilire un sito di archiviazione alternativo che facilita le operazioni di ripristino | CMA_C1270 : stabilire un sito di archiviazione alternativo che facilita le operazioni di ripristino | Manuale, Disabilitato | 1.1.0 |
Stabilire un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup | CMA_C1267 : stabilire un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup | Manuale, Disabilitato | 1.1.0 |
Stabilire un sito di elaborazione alternativo | CMA_0262 - Stabilire un sito di elaborazione alternativo | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti per i provider di servizi Internet | CMA_0278 - Stabilire i requisiti per i provider di servizi Internet | Manuale, Disabilitato | 1.1.0 |
Identificare e attenuare potenziali problemi in un sito di archiviazione alternativo | CMA_C1271 - Identificare e attenuare potenziali problemi in un sito di archiviazione alternativo | Manuale, Disabilitato | 1.1.0 |
Preparare il sito di elaborazione alternativo per l'uso come sito operativo | CMA_C1278 - Preparare il sito di elaborazione alternativo da usare come sito operativo | Manuale, Disabilitato | 1.1.0 |
Ripristinare e ricostituire le risorse dopo eventuali interruzioni | CMA_C1295 - Ripristinare e ricostituire le risorse dopo qualsiasi interruzione | Manuale, Disabilitato | 1.1.1 |
Ripristinare lo stato operativo delle risorse | CMA_C1297 - Ripristinare le risorse allo stato operativo | Manuale, Disabilitato | 1.1.1 |
Archiviare separatamente le informazioni di backup | CMA_C1293 - Archiviare separatamente le informazioni di backup | Manuale, Disabilitato | 1.1.0 |
Trasferire le informazioni di backup in un sito di archiviazione alternativo | CMA_C1294 - Trasferire le informazioni di backup in un sito di archiviazione alternativo | Manuale, Disabilitato | 1.1.0 |
L'ufficio di servizio deve garantire che il servizio rimanga disponibile per i clienti in caso di disturbo, pericolo o incidente.
ID: SWIFT CSCF v2022 9.3 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza | CMA_0146 - Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di emergenza | CMA_C1244 - Sviluppare un piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Impiegare l'illuminazione automatica di emergenza | CMA_0209 - Usare l'illuminazione automatica di emergenza | Manuale, Disabilitato | 1.1.0 |
Implementare una metodologia di test di penetrazione | CMA_0306 - Implementare una metodologia di test di penetrazione | Manuale, Disabilitato | 1.1.0 |
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure | Manuale, Disabilitato | 1.1.0 |
Esaminare e aggiornare criteri e procedure fisici e ambientali | CMA_C1446 - Rivedere e aggiornare criteri e procedure fisiche e ambientali | Manuale, Disabilitato | 1.1.0 |
Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
La disponibilità e la qualità del servizio dei provider vengono assicurate tramite l'utilizzo dei pacchetti di connettività SWIFT consigliati e la larghezza di banda linea appropriata
ID: SWIFT CSCF v2022 9.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Autorizzare, monitorare e controllare voip | CMA_0025 - Autorizzare, monitorare e controllare voip | Manuale, Disabilitato | 1.1.0 |
Pianificare la capacità | CMA_C1252 - Pianificare la capacità | Manuale, Disabilitato | 1.1.0 |
Implementare la protezione dei limiti di sistema | CMA_0328 - Implementare la protezione dei limiti del sistema | Manuale, Disabilitato | 1.1.0 |
Gestire i gateway | CMA_0363 - Gestire i gateway | Manuale, Disabilitato | 1.1.0 |
Instradare il traffico attraverso i punti di accesso alla rete gestita | CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita | Manuale, Disabilitato | 1.1.0 |
10. Essere pronti in caso di grave emergenza
La continuità aziendale viene garantita tramite un piano documentato comunicato alle parti potenzialmente interessate (service bureau e clienti).
ID: SWIFT CSCF v2022 10.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Coordinare i piani di emergenza con i piani correlati | CMA_0086 - Coordinare i piani di emergenza con i piani correlati | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di emergenza | CMA_C1244 - Sviluppare un piano di emergenza | Manuale, Disabilitato | 1.1.0 |
Pianificare la continuazione delle funzioni aziendali essenziali | CMA_C1255 - Pianificare la continuazione delle funzioni aziendali essenziali | Manuale, Disabilitato | 1.1.0 |
Pianificare la ripresa delle funzioni aziendali essenziali | CMA_C1253 - Pianificare la ripresa delle funzioni aziendali essenziali | Manuale, Disabilitato | 1.1.0 |
Riprendere tutte le funzioni aziendali e di missione | CMA_C1254 - Riprendere tutte le funzioni aziendali e di missione | Manuale, Disabilitato | 1.1.0 |
11. Monitorare in caso di grave emergenza
Garantire un approccio coerente ed efficace per il monitoraggio e l'escalation degli eventi.
ID: SWIFT CSCF v2022 11.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Ottenere un parere legale per le attività del sistema di monitoraggio | CMA_C1688 - Ottenere un parere legale per le attività del sistema di monitoraggio | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Fornire informazioni di monitoraggio in base alle esigenze | CMA_C1689 - Fornire informazioni di monitoraggio in base alle esigenze | Manuale, Disabilitato | 1.1.0 |
Attivare i sensori per la soluzione di sicurezza degli endpoint | CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint | Manuale, Disabilitato | 1.1.0 |
Garantire un approccio coerente ed efficace per la gestione degli eventi imprevisti (Gestione dei problemi).
ID: SWIFT CSCF v2022 11.2 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Valutare gli eventi di sicurezza delle informazioni | CMA_0013 - Valutare gli eventi di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Eseguire test di risposta agli eventi imprevisti | CMA_0060 - Eseguire test di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Sviluppare misure di sicurezza | CMA_0161 - Sviluppare misure di sicurezza | Manuale, Disabilitato | 1.1.0 |
Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Abilitare la protezione di rete | CMA_0238 - Abilitare la protezione di rete | Manuale, Disabilitato | 1.1.0 |
Eradicare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
Stabilire un programma di sicurezza delle informazioni | CMA_0263 - Stabilire un programma di sicurezza delle informazioni | Manuale, Disabilitato | 1.1.0 |
Eseguire azioni in risposta alla perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a spill di informazioni | Manuale, Disabilitato | 1.1.0 |
Identificare le classi di eventi imprevisti e azioni eseguite | CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite | Manuale, Disabilitato | 1.1.0 |
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Incorporare eventi simulati nel training di risposta agli eventi imprevisti | CMA_C1356 - Incorporare eventi simulati in formazione sulla risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Gestire i record di violazione dei dati | CMA_0351 - Gestire i record di violazione dei dati | Manuale, Disabilitato | 1.1.0 |
Gestire il piano di risposta agli eventi imprevisti | CMA_0352 - Gestire il piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Proteggere il piano di risposta agli eventi imprevisti | CMA_0405 - Proteggere il piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla perdita di informazioni | CMA_0413 - Fornire formazione sulla perdita di informazioni | Manuale, Disabilitato | 1.1.0 |
Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti | CMA_C1352 - Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Eseguire attacchi di simulazione | CMA_0486 - Eseguire attacchi di simulazione | Manuale, Disabilitato | 1.1.0 |
Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
Garantire un'escalation adeguata dei malfunzionamenti operativi in caso di impatto sul cliente.
ID: SWIFT CSCF v2022 11.4 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Automatizzare il processo per documentare le modifiche implementate | CMA_C1195 - Automatizzare il processo per documentare le modifiche implementate | Manuale, Disabilitato | 1.1.0 |
Automatizzare il processo per evidenziare le proposte di modifica non presentate | CMA_C1193 - Automatizzare il processo per evidenziare le proposte di modifica non presentate | Manuale, Disabilitato | 1.1.0 |
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Abilitare la protezione di rete | CMA_0238 - Abilitare la protezione di rete | Manuale, Disabilitato | 1.1.0 |
Eradicare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
Stabilire e documentare i processi di controllo delle modifiche | CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche | Manuale, Disabilitato | 1.1.0 |
Stabilire i requisiti di gestione della configurazione per gli sviluppatori | CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori | Manuale, Disabilitato | 1.1.0 |
Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni | CMA_C1376 - Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni | Manuale, Disabilitato | 1.1.0 |
Eseguire azioni in risposta alla perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a spill di informazioni | Manuale, Disabilitato | 1.1.0 |
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Eseguire il controllo per il controllo delle modifiche della configurazione | CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione | Manuale, Disabilitato | 1.1.0 |
Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
Un supporto efficace viene offerto ai clienti in caso di problemi durante l'orario di ufficio.
ID: SWIFT CSCF v2022 11.5 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Sviluppare un piano di risposta agli eventi imprevisti | CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Operazioni di sicurezza dei documenti | CMA_0202 - Documentare le operazioni di sicurezza | Manuale, Disabilitato | 1.1.0 |
Abilitare la protezione di rete | CMA_0238 - Abilitare la protezione di rete | Manuale, Disabilitato | 1.1.0 |
Eradicare le informazioni contaminate | CMA_0253 - Eliminare le informazioni contaminate | Manuale, Disabilitato | 1.1.0 |
Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni | CMA_C1376 - Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni | Manuale, Disabilitato | 1.1.0 |
Eseguire azioni in risposta alla perdita di informazioni | CMA_0281 - Eseguire azioni in risposta a spill di informazioni | Manuale, Disabilitato | 1.1.0 |
Identificare il personale di risposta agli eventi imprevisti | CMA_0301 - Identificare il personale di risposta agli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Implementare la gestione degli eventi imprevisti | CMA_0318 - Implementare la gestione degli eventi imprevisti | Manuale, Disabilitato | 1.1.0 |
Eseguire un'analisi delle tendenze sulle minacce | CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce | Manuale, Disabilitato | 1.1.0 |
Visualizzare e analizzare gli utenti con restrizioni | CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni | Manuale, Disabilitato | 1.1.0 |
12. Verificare che le informazioni siano disponibili
Garantire la qualità del servizio ai clienti tramite dipendenti certificati SWIFT.
ID: SWIFT CSCF v2022 12.1 Proprietà: Condiviso
Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
---|---|---|---|
Fornire formazione periodica sulla sicurezza basata sui ruoli | CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza basata sui ruoli | CMA_C1094 - Fornire formazione sulla sicurezza basata sui ruoli | Manuale, Disabilitato | 1.1.0 |
Fornire formazione sulla sicurezza prima di fornire l'accesso | CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso | Manuale, Disabilitato | 1.1.0 |
Passaggi successivi
Articoli aggiuntivi su Criteri di Azure:
- Panoramica della Conformità con le normative.
- Vedere la struttura della definizione dell'iniziativa.
- Vedere altri esempi in Esempi di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.
- Informazioni su come correggere le risorse non conformi.