Сведения о встроенной инициативе по соответствию нормативным требованиям SWIFT CSP-CSCF версии 2022
В следующей статье описано, как Политика Azure встроенное определение инициативы соответствия нормативным требованиям сопоставляется с доменами соответствия требованиям и элементами управления в SWIFT CSP-CSCF версии 2022. Дополнительные сведения об этом стандарте соответствия см. в разделе SWIFT CSP-CSCF версии 2022. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.
Следующие сопоставления относятся к элементам управления SWIFT CSP-CSCF версии 2022. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы SWIFT CSP-CSCF версии 20222 по соответствию нормативным требованиям.
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды
Обеспечьте защиту локальной инфраструктуры SWIFT пользователя от потенциально скомпрометированных элементов общей ИТ-среды и внешней среды.
Идентификатор: СВИФТ CSCF версии 2022 1.1 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
Приложения Службы приложений Azure должны использовать конечную точку службы для виртуальной сети | Используйте конечные точки службы для виртуальной сети, чтобы ограничить доступ к приложению из выбранных подсетей виртуальной сети Azure. Дополнительные сведения о конечных точках службы для Службы приложений см. по адресу https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 3.2.1 |
Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | CMA_0053. Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | Вручную, отключено | 1.1.0 |
Обеспечение постоянного соответствия внешним поставщикам интересов клиентов | CMA_C1592. Обеспечение постоянного соответствия внешним поставщикам интересов клиентов | Вручную, отключено | 1.1.0 |
Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
Служба Key Vault должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех Key Vault, не настроенных на использование конечной точки службы виртуальной сети. | Audit, Disabled | 1.0.0 |
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Проверка соответствия поставщиков облачных служб политикам и соглашениям | CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям | Вручную, отключено | 1.1.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Учетная запись хранения должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. | Audit, Disabled | 1.0.0 |
Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Ограничить и контролировать выделение и использование учетных записей операционной системы уровня администратора.
Идентификатор: СВИФТ CSCF версии 2022 1.2 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Определение и применение условий для общих и групповых учетных записей | CMA_0117. Определение и применение условий для общих и групповых учетных записей | Вручную, отключено | 1.1.0 |
Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Мониторинг действий учетной записи | CMA_0377. Мониторинг действий учетной записи | Вручную, отключено | 1.1.0 |
Мониторинг назначения привилегированной роли | CMA_0378 — Мониторинг назначения привилегированной роли | Вручную, отключено | 1.1.0 |
Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Использование Privileged Identity Management | CMA_0533 — Использование Privileged Identity Management | Вручную, отключено | 1.1.0 |
Защитите платформу виртуализации и виртуальные машины , на которых размещаются компоненты, связанные с SWIFT, на том же уровне, что и физические системы.
Идентификатор: СВИФТ CSCF версии 2022 1.3 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит виртуальных машин, которые не используют управляемые диски | Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. | audit | 1.0.0 |
Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
Управление и защита доступа к Интернету с компьютеров и систем оператора в безопасной зоне.
Идентификатор: СВИФТ CSCF версии 2022 1.4 Владение: shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Документирование и реализация рекомендаций по беспроводному доступу | CMA_0190 . Документируйте и реализуйте рекомендации по беспроводному доступу | Вручную, отключено | 1.1.0 |
Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Защита беспроводного доступа | CMA_0411 — защита беспроводного доступа | Вручную, отключено | 1.1.0 |
Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Обеспечьте защиту инфраструктуры подключения клиента от внешней среды и потенциально скомпрометированных элементов общей ИТ-среды.
Идентификатор: SWIFT CSCF версии 2022 1.5A Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
Приложения Службы приложений Azure должны использовать конечную точку службы для виртуальной сети | Используйте конечные точки службы для виртуальной сети, чтобы ограничить доступ к приложению из выбранных подсетей виртуальной сети Azure. Дополнительные сведения о конечных точках службы для Службы приложений см. по адресу https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
Защита от атак DDoS Azure должна быть включена | Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. | AuditIfNotExists, Disabled | 3.0.1 |
У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 3.2.1 |
Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
Использование защиты границ для изоляции информационных систем | CMA_C1639. Использование защиты границ для изоляции информационных систем | Вручную, отключено | 1.1.0 |
Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
Использование ограничений на взаимодействие внешней системы | CMA_C1155. Использование ограничений на взаимодействие внешней системы | Вручную, отключено | 1.1.0 |
Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
Реализация управляемого интерфейса для каждой внешней службы | CMA_C1626. Реализация управляемого интерфейса для каждой внешней службы | Вручную, отключено | 1.1.0 |
Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
Служба Key Vault должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех Key Vault, не настроенных на использование конечной точки службы виртуальной сети. | Audit, Disabled | 1.0.0 |
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Учетная запись хранения должна использовать конечную точку службы виртуальной сети | Эта политика выполняет аудит всех учетных записей хранения, не настроенных на использование конечной точки службы виртуальной сети. | Audit, Disabled | 1.0.0 |
Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
2. Уменьшение поверхности атак и уязвимостей
Обеспечение конфиденциальности, целостности и подлинности потоков данных приложения между локальными компонентами, связанными с SWIFT.
Идентификатор: СВИФТ CSCF версии 2022 2.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
Настройка действий для несоответствующих устройств | CMA_0062 — Настройка действий для несоответствующих устройств | Вручную, отключено | 1.1.0 |
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
Разработка и настройка базовых конфигураций | CMA_0153 — Разработка и настройка базовых конфигураций | Вручную, отключено | 1.1.0 |
Использование защиты границ для изоляции информационных систем | CMA_C1639. Использование защиты границ для изоляции информационных систем | Вручную, отключено | 1.1.0 |
Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
Принудительное применение идентификаторов случайных уникальных сеансов | CMA_0247. Принудительное применение случайных уникальных идентификаторов сеанса | Вручную, отключено | 1.1.0 |
Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
Создание совета по контролю за конфигурацией | CMA_0254 — Создание совета по контролю за конфигурацией | Вручную, отключено | 1.1.0 |
Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
Определение и документирование плана управления конфигурацией | CMA_0264 — Определение и документирование плана управления конфигурацией | Вручную, отключено | 1.1.0 |
Установка политик резервного копирования и процедур | CMA_0268. Создание политик резервного копирования и процедур | Вручную, отключено | 1.1.0 |
Реализация средства автоматизированного управления конфигурацией | CMA_0311 — Реализация средства автоматизированного управления конфигурацией | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
Управление потоком информации с помощью фильтров политик безопасности | CMA_C1029 — управление потоком информации с помощью фильтров политик безопасности | Вручную, отключено | 1.1.0 |
Изоляция систем SecurID, систем управления инцидентами безопасности | CMA_C1636 — изоляция систем SecurID, систем управления инцидентами безопасности | Вручную, отключено | 1.1.0 |
Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
Поддержание доступности информации | CMA_C1644 — Поддержание доступности информации | Вручную, отключено | 1.1.0 |
Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
Уведомление пользователей о входе в систему или доступе | CMA_0382. Уведомление пользователей о входе в систему или доступе | Вручную, отключено | 1.1.0 |
Создание, управление и распространение асимметричных ключей шифрования | CMA_C1646. Создание, управление и распространение асимметричных ключей шифрования | Вручную, отключено | 1.1.0 |
Создание, управление и распространение симметричные криптографические ключи | CMA_C1645— создание, управление и распространение симметрических ключей шифрования | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
Защита интерфейса во внешних системах | CMA_0491 . Защита интерфейса для внешних систем | Вручную, отключено | 1.1.0 |
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
Свести к минимуму наличие известных технических уязвимостей на компьютерах операторов и в локальной инфраструктуре SWIFT путем обеспечения поддержки поставщиков, применения обязательных обновлений программного обеспечения и применения своевременных обновлений безопасности, согласованных с оцененным риском.
Id: SWIFT CSCF версии 2022 2.2 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Аудит виртуальных машин Windows с отложенной перезагрузкой | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если находятся в состоянии ожидания перезагрузки по любой из следующих причин: обслуживание на основе компонентов, обновление Windows, ожидание переименования файлов, ожидание переименования компьютера, ожидание перезагрузки диспетчера конфигураций. Каждое обнаружение имеет уникальный путь реестра. | auditIfNotExists | 2.0.0 |
Корреляция сведений об проверке уязвимостей | CMA_C1558 . Сопоставление сведений об проверке уязвимостей | Вручную, отключено | 1.1.1 |
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Распространение оповещений системы безопасности персоналу | CMA_C1705 . Распространение оповещений системы безопасности персоналу | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Использование автоматизированных механизмов для оповещений системы безопасности | CMA_C1707. Использование автоматизированных механизмов для оповещений системы безопасности | Вручную, отключено | 1.1.0 |
Уменьшите поверхность кибер-атак компонентов, связанных с SWIFT, за счет применения системной защиты.
Идентификатор: СВИФТ CSCF версии 2022 2.3 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, Disabled | 3.1.0 |
Аудит компьютеров Windows с сертификатами, срок действия которых истекает в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если срок действия сертификатов в указанном хранилище не входит в диапазон числа дней, заданных в качестве параметра. Также эта политика позволяет проверять только конкретные сертификаты или исключать из проверки конкретные сертификаты, а также сообщать о сертификатах с истекшим сроком действия. | auditIfNotExists | 2.0.0 |
Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, Disabled | 2.0.0 |
Автоматизация предлагаемых документированных изменений | CMA_C1191. Автоматизация предлагаемых документированных изменений | Вручную, отключено | 1.1.0 |
Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
Настройка действий для несоответствующих устройств | CMA_0062 — Настройка действий для несоответствующих устройств | Вручную, отключено | 1.1.0 |
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
Разработка и настройка базовых конфигураций | CMA_0153 — Разработка и настройка базовых конфигураций | Вручную, отключено | 1.1.0 |
Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
Создание совета по контролю за конфигурацией | CMA_0254 — Создание совета по контролю за конфигурацией | Вручную, отключено | 1.1.0 |
Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
Определение и документирование плана управления конфигурацией | CMA_0264 — Определение и документирование плана управления конфигурацией | Вручную, отключено | 1.1.0 |
Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
Реализация средства автоматизированного управления конфигурацией | CMA_0311 — Реализация средства автоматизированного управления конфигурацией | Вручную, отключено | 1.1.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
Сохранение предыдущих версий базовых конфигураций | CMA_C1181. Сохранение предыдущих версий базовых конфигураций | Вручную, отключено | 1.1.0 |
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Обеспечьте конфиденциальность, целостность и взаимную подлинность потоков данных между локальными или удаленными компонентами инфраструктуры SWIFT и первым прыжками серверного офиса, к которому они подключаются.
Id: SWIFT CSCF версии 2022 2.4 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание резервного копирования документации по информационной системе | CMA_C1289. Создание резервного копирования документации по информационной системе | Вручную, отключено | 1.1.0 |
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Установка политик резервного копирования и процедур | CMA_0268. Создание политик резервного копирования и процедур | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Уведомление пользователей о входе в систему или доступе | CMA_0382. Уведомление пользователей о входе в систему или доступе | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Безопасность Потока данных операционных отделов организации
Идентификатор: SWIFT CSCF версии 2022 2.4A Ownership: Customer
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
Защита конфиденциальности передаваемых или хранящихся за пределами безопасной зоны в рамках операционных процессов.
Идентификатор: СВИФТ CSCF версии 2022 2.5 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание резервного копирования документации по информационной системе | CMA_C1289. Создание резервного копирования документации по информационной системе | Вручную, отключено | 1.1.0 |
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Установка политик резервного копирования и процедур | CMA_0268. Создание политик резервного копирования и процедур | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита внешних передаваемых данных
Идентификатор: SWIFT CSCF версии 2022 2.5A Ownership: Customer
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Аудит виртуальных машин, которые не используют управляемые диски | Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. | audit | 1.0.0 |
Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Учетные записи хранения должны использовать геоизбыточное хранилище | Использование геоизбыточности для создания высокодоступных приложений | Audit, Disabled | 1.0.0 |
Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
Защита конфиденциальности и целостности интерактивных сеансов операторов, которые подключаются к локальной или удаленной инфраструктуре SWIFT или приложениям, связанным с поставщиком услуг, или приложениям, связанным с поставщиком услуг.
Id: SWIFT CSCF версии 2022 2.6 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Документирование и реализация рекомендаций по беспроводному доступу | CMA_0190 . Документируйте и реализуйте рекомендации по беспроводному доступу | Вручную, отключено | 1.1.0 |
Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита беспроводного доступа | CMA_0411 — защита беспроводного доступа | Вручную, отключено | 1.1.0 |
Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Повторная авторизация или завершение сеанса пользователя | CMA_0421 — повторное выполнение проверки подлинности или завершение сеанса пользователя | Вручную, отключено | 1.1.0 |
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Интерактивный вход" | Компьютеры под управлением Windows должны иметь указанные параметры групповой политики в категории "Параметры безопасности — Интерактивный вход" для отображения последнего имени пользователя и требования нажать клавиши CTRL+ALT+DEL. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Определите известные уязвимости в локальной среде SWIFT, реализуя обычный процесс сканирования уязвимостей и действуя по результатам.
Id: SWIFT CSCF версии 2022 2.7 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Корреляция сведений об проверке уязвимостей | CMA_C1558 . Сопоставление сведений об проверке уязвимостей | Вручную, отключено | 1.1.1 |
Реализация привилегированного доступа для выполнения действий сканирования уязвимостей | CMA_C1555. Реализация привилегированного доступа для выполнения действий сканирования уязвимостей | Вручную, отключено | 1.1.0 |
Включение исправления ошибок в управление конфигурацией | CMA_C1671. Включение исправления ошибок в управление конфигурацией | Вручную, отключено | 1.1.0 |
Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
Наблюдение и сообщить о слабых местах безопасности | CMA_0384. Наблюдение и отчет о слабых местах безопасности | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Выполнение моделирования угроз | CMA_0392. Выполнение моделирования угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
Обеспечение согласованного и эффективного подхода к мониторингу обмена сообщениями клиентов.
Идентификатор: СВИФТ CSCF версии 2022 2.8.5 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оценка риска в отношениях сторонних производителей | CMA_0014. Оценка риска в отношениях сторонних производителей | Вручную, отключено | 1.1.0 |
Определение и документирование надзора за правительством | CMA_C1587. Определение и документирование надзора за правительством | Вручную, отключено | 1.1.0 |
Определение требований к поставке товаров и услуг | CMA_0126. Определение требований к поставке товаров и услуг | Вручную, отключено | 1.1.0 |
Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
Установка политик для управления рисками цепочки поставок | CMA_0275. Создание политик для управления рисками цепочки поставок | Вручную, отключено | 1.1.0 |
Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | Вручную, отключено | 1.1.0 |
Проверка соответствия поставщиков облачных служб политикам и соглашениям | CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям | Вручную, отключено | 1.1.0 |
Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Обеспечение защиты локальной инфраструктуры SWIFT от рисков, предоставляемых аутсорсингом критически важных действий.
Идентификатор: SWIFT CSCF версии 2022 2.8A Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
Документируйте защиту данных заполнителей карт в сторонних контрактах | CMA_0207 . Документируйте защиту данных заполнителей карт в сторонних контрактах | Вручную, отключено | 1.1.0 |
Обеспечьте действие исходящей транзакции в ожидаемых границах нормального бизнеса.
Идентификатор: СВИФТ CSCF версии 2022 2.9 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация, мониторинг и управление voip | CMA_0025 . Авторизация, мониторинг и управление voip | Вручную, отключено | 1.1.0 |
Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Маршрутизация трафика через точки доступа к управляемой сети | CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети | Вручную, отключено | 1.1.0 |
Ограничить действие транзакции проверяемой и утвержденной бизнес-коллегами.
Идентификатор: SWIFT CSCF версии 2022 2.11A Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Переназначение или удаление привилегий пользователя при необходимости | CMA_C1040 — Переназначение или удаление привилегий пользователя при необходимости | Вручную, отключено | 1.1.0 |
Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Проверка привилегий пользователя | CMA_C1039 — Проверка привилегий пользователя | Вручную, отключено | 1.1.0 |
3. Физически безопасная среда
Предотвращение неавторизованного физического доступа к конфиденциальному оборудованию, рабочим средам, сайтам размещения и хранилищу.
Идентификатор: СВИФТ CSCF версии 2022 3.1 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит виртуальных машин, которые не используют управляемые диски | Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. | audit | 1.0.0 |
Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
Создание и обслуживание инвентаризации активов | CMA_0266. Создание и обслуживание инвентаризации активов | Вручную, отключено | 1.1.0 |
Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
Установка системы сигнализации | CMA_0338. Установка системы сигнализации | Вручную, отключено | 1.1.0 |
Управление системой безопасной камеры наблюдения | CMA_0354 . Управление безопасной системой камеры наблюдения | Вручную, отключено | 1.1.0 |
Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
4. Предотвращение компрометации учетных данных
Убедитесь, что пароли достаточно устойчивы к общим атакам паролей путем реализации и применения эффективной политики паролей.
Идентификатор: СВИФТ CSCF версии 2022 4.1 Ответственность: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, Disabled | 3.1.0 |
Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, Disabled | 3.1.0 |
Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists, Disabled | 2.1.0 |
Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет максимального возраста пароля, установленного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней | AuditIfNotExists, Disabled | 2.1.0 |
Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет минимального возраста пароля, установленного на указанное количество дней. Значение по умолчанию для минимального возраста пароля — 1 день | AuditIfNotExists, Disabled | 2.1.0 |
Аудит компьютеров Windows без включенного параметра сложности пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. | AuditIfNotExists, Disabled | 2.0.0 |
Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists, Disabled | 2.1.0 |
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
Установка политики паролей | CMA_0256. Установка политики паролей | Вручную, отключено | 1.1.0 |
Установка типов и процессов аутентификатора | CMA_0267. Установка типов и процессов аутентификатора | Вручную, отключено | 1.1.0 |
Реализация параметров для запоминающихся проверяющих секретов | CMA_0321. Реализация параметров для запоминаемых проверяющих секретов | Вручную, отключено | 1.1.0 |
Управление временем существования и повторное использование средства проверки подлинности | CMA_0355. Управление временем существования и повторное использование средства проверки подлинности | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Предотвращение того, что компрометация одного фактора проверки подлинности разрешает доступ к системам или приложениям, связанным с SWIFT, путем реализации многофакторной проверки подлинности.
Идентификатор: СВИФТ CSCF версии 2022 4.2 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
5. Управление удостоверениями и правами разделения
Применение принципов безопасности для доступа, минимальных привилегий и разделения обязанностей для учетных записей операторов.
Идентификатор: СВИФТ CSCF версии 2022 5.1: совместное владение
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Назначение диспетчеров учетных записей | CMA_0015. Назначение диспетчеров учетных записей | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Аудит компьютеров Windows с сертификатами, срок действия которых истекает в течение указанного числа дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если срок действия сертификатов в указанном хранилище не входит в диапазон числа дней, заданных в качестве параметра. Также эта политика позволяет проверять только конкретные сертификаты или исключать из проверки конкретные сертификаты, а также сообщать о сертификатах с истекшим сроком действия. | auditIfNotExists | 2.0.0 |
Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Определение авторизации доступа для поддержки разделения обязанностей | CMA_0116. Определение авторизации доступа для поддержки разделения обязанностей | Вручную, отключено | 1.1.0 |
Определение типов учетных записей информационной системы | CMA_0121. Определение типов учетных записей информационной системы | Вручную, отключено | 1.1.0 |
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
Отключение структур проверки подлинности при удалении | CMA_0169 — Отключение структур проверки подлинности при удалении | Вручную, отключено | 1.1.0 |
Права доступа к документам | CMA_0186 . Права доступа к документам | Вручную, отключено | 1.1.0 |
Разделение обязанностей | CMA_0204 . Разделение обязанностей в документе | Вручную, отключено | 1.1.0 |
Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
Создание условий для членства в роли | CMA_0269. Создание условий для членства в роли | Вручную, отключено | 1.1.0 |
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
Мониторинг действий учетной записи | CMA_0377. Мониторинг действий учетной записи | Вручную, отключено | 1.1.0 |
Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
Защита данных аудита | CMA_0401 — Защита данных аудита | Вручную, отключено | 1.1.0 |
Переназначение или удаление привилегий пользователя при необходимости | CMA_C1040 — Переназначение или удаление привилегий пользователя при необходимости | Вручную, отключено | 1.1.0 |
Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
Проверка учетных записей пользователей | CMA_0480 — Проверка учетных записей пользователей | Вручную, отключено | 1.1.0 |
Проверка привилегий пользователя | CMA_C1039 — Проверка привилегий пользователя | Вручную, отключено | 1.1.0 |
Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
Отдельные обязанности отдельных лиц | CMA_0492 - Отдельные обязанности отдельных лиц | Вручную, отключено | 1.1.0 |
Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Убедитесь, что правильное управление, отслеживание и использование подключенной и отключенной аппаратной проверки подлинности или личных маркеров (когда используются маркеры).
Идентификатор: СВИФТ CSCF версии 2022 5.2 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Распространение аутентификаторов | CMA_0184 . Распространение аутентификаторов | Вручную, отключено | 1.1.0 |
Установка типов и процессов аутентификатора | CMA_0267. Установка типов и процессов аутентификатора | Вручную, отключено | 1.1.0 |
Создание процедур для первоначального распространения аутентификатора | CMA_0276. Создание процедур для начального распространения аутентификатора | Вручную, отключено | 1.1.0 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Проверка удостоверения перед распространением аутентификаторов | CMA_0538. Проверка удостоверения перед распространением аутентификаторов | Вручную, отключено | 1.1.0 |
В той степени, в которой разрешено и возможно, обеспечить надежность сотрудников, работающих в локальной среде SWIFT, путем проведения регулярного скрининга персонала.
Идентификатор: SWIFT CSCF версии 2022 5.3A Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Очистка персонала с доступом к секретной информации | CMA_0054 . Очистка персонала с доступом к секретной информации | Вручную, отключено | 1.1.0 |
Убедитесь, что соглашения о доступе подписаны или уволены своевременно | CMA_C1528. Убедитесь, что соглашения о доступе подписаны или уволены своевременно | Вручную, отключено | 1.1.0 |
Реализация проверки персонала | CMA_0322 . Реализация скрининга персонала | Вручную, отключено | 1.1.0 |
Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
Перепросмотр отдельных лиц с определенной частотой | CMA_C1512 — повторно экранировать отдельных лиц с определенной частотой | Вручную, отключено | 1.1.0 |
Защитите физически и логически репозиторий записанных паролей.
Id: SWIFT CSCF версии 2022 5.4 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, Disabled | 2.0.0 |
Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
Установка политики паролей | CMA_0256. Установка политики паролей | Вручную, отключено | 1.1.0 |
Реализация параметров для запоминающихся проверяющих секретов | CMA_0321. Реализация параметров для запоминаемых проверяющих секретов | Вручную, отключено | 1.1.0 |
В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Audit, Deny, Disabled | 2.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
6. Обнаружение аномальной активности в системах или записях транзакций
Убедитесь, что локальная инфраструктура SWIFT защищена от вредоносных программ и действует по результатам.
Идентификатор: СВИФТ CSCF версии 2022 6.1 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Сопоставление записей аудита | CMA_0087 — сопоставление записей аудита | Вручную, отключено | 1.1.0 |
Корреляция сведений об проверке уязвимостей | CMA_C1558 . Сопоставление сведений об проверке уязвимостей | Вручную, отключено | 1.1.1 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Создание требований для проверки аудита и создания отчетов | CMA_0277. Создание требований для проверки и отчетности аудита | Вручную, отключено | 1.1.0 |
Реализация привилегированного доступа для выполнения действий сканирования уязвимостей | CMA_C1555. Реализация привилегированного доступа для выполнения действий сканирования уязвимостей | Вручную, отключено | 1.1.0 |
Интеграция аудита, анализа и отчетности | CMA_0339 . Интеграция проверки аудита, анализа и отчетности | Вручную, отключено | 1.1.0 |
Интеграция облачной безопасности приложений с siem | CMA_0340. Интеграция облачной безопасности приложений с siem | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). | AuditIfNotExists, Disabled | 1.1.0 |
Наблюдение и сообщить о слабых местах безопасности | CMA_0384. Наблюдение и отчет о слабых местах безопасности | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Выполнение моделирования угроз | CMA_0392. Выполнение моделирования угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
Еженедельная проверка назначений администраторов | CMA_0461. Просмотр назначений администраторов еженедельно | Вручную, отключено | 1.1.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Обзор отчета об идентификации облака | CMA_0468. Обзор отчета об идентификации облака | Вручную, отключено | 1.1.0 |
Просмотр событий доступа к управляемым папкам | CMA_0471. Просмотр событий доступа к управляемым папкам | Вручную, отключено | 1.1.0 |
Просмотр событий защиты от эксплойтов | CMA_0472. Проверка событий защиты от эксплойтов | Вручную, отключено | 1.1.0 |
Просмотр действия файлов и папок | CMA_0473 . Просмотр действия файлов и папок | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка изменений группы ролей | CMA_0476. Просмотр еженедельных изменений группы ролей | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Проверка программного обеспечения, встроенного ПО и целостности данных | CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных | Вручную, отключено | 1.1.0 |
Обеспечение целостности программного обеспечения компонентов, связанных с SWIFT, и действовать в зависимости от результатов.
Идентификатор: СВИФТ CSCF версии 2022 6.2 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Использование автоматического завершения работы и перезапуска при обнаружении нарушений | CMA_C1715. Использование автоматического завершения работы и перезапуска при обнаружении нарушений | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Проверка программного обеспечения, встроенного ПО и целостности данных | CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных | Вручную, отключено | 1.1.0 |
Просмотр и настройка системных диагностических данных | CMA_0544. Просмотр и настройка системных диагностических данных | Вручную, отключено | 1.1.0 |
Убедитесь в целостности записей базы данных для интерфейса обмена сообщениями SWIFT или соединителя клиента и действовать по результатам.
Идентификатор: СВИФТ CSCF версии 2022 6.3 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Проверка программного обеспечения, встроенного ПО и целостности данных | CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных | Вручную, отключено | 1.1.0 |
Просмотр и настройка системных диагностических данных | CMA_0544. Просмотр и настройка системных диагностических данных | Вручную, отключено | 1.1.0 |
Записывайте события безопасности и обнаруживайте аномальные действия и операции в локальной среде SWIFT.
Идентификатор: СВИФТ CSCF версии 2022 6.4 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1-preview |
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
Журнал действий должен храниться как минимум один год | Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). | AuditIfNotExists, Disabled | 1.0.0 |
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
Все ресурсы журнала потоков должны быть включены в состоянии | Выполните аудит ресурсов журнала потоков, чтобы проверить, включено ли состояние журнала потоков. Включение журналов потоков позволяет регистрировать сведения о потоке IP-трафика. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Audit, Disabled | 1.0.1 |
В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" | Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). | AuditIfNotExists, Disabled | 1.0.0 |
Кластеры журналов Azure Monitor должны быть созданы с включенным шифрованием инфраструктуры (двойным шифрованием) | Чтобы обеспечить безопасное шифрование данных на уровне службы и на уровне инфраструктуры с применением двух разных алгоритмов шифрования и двух разных ключей, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если поддерживается в регионе (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview). | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Кластеры журналов Azure Monitor должны использовать шифрование с ключами, управляемыми клиентом | Создайте кластер журналов Azure Monitor с шифрованием с ключами, управляемыми клиентом. По умолчанию данные журналов шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключ, управляемый клиентом, в Azure Monitor предоставляет более полный контроль над доступом к данным (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys). | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Журналы Azure Monitor для Application Insights должны быть связаны с рабочей областью Log Analytics | Свяжите компонент Application Insights с рабочей областью Log Analytics для шифрования журналов. Ключи, управляемые клиентом, обычно требуются для соблюдения нормативных требований и усиления контроля за доступом к данным в Azure Monitor. Связывание компонента с рабочей областью Log Analytics, которая использует ключ, управляемый клиентом, гарантирует соответствие ваших журналов Application Insights этим нормативным требованиям (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys). | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Azure Monitor должен собирать журналы действий из всех регионов | Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. | AuditIfNotExists, Disabled | 2.0.0 |
Сопоставление записей аудита | CMA_0087 — сопоставление записей аудита | Вручную, отключено | 1.1.0 |
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Создание требований для проверки аудита и создания отчетов | CMA_0277. Создание требований для проверки и отчетности аудита | Вручную, отключено | 1.1.0 |
Журналы потоков должны быть настроены для каждой группы безопасности сети | Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого. | Audit, Disabled | 1.1.0 |
Интеграция аудита, анализа и отчетности | CMA_0339 . Интеграция проверки аудита, анализа и отчетности | Вручную, отключено | 1.1.0 |
Интеграция облачной безопасности приложений с siem | CMA_0340. Интеграция облачной безопасности приложений с siem | Вручную, отключено | 1.1.0 |
Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1 |
Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
В журналах потоков Наблюдателя за сетями должна быть включена аналитика трафика | Аналитика трафика анализирует журналы потоков для предоставления аналитических сведений о потоке трафика в облаке Azure. Ее можно использовать для визуализации сетевых операций в подписках Azure и выявления активных зон, выявления угроз безопасности, анализа тенденций в потоке трафика, определения проблем с сетью и т. д. | Audit, Disabled | 1.0.1 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Предоставление оповещений в режиме реального времени для сбоев событий аудита | CMA_C1114. Предоставление оповещений в режиме реального времени для сбоев событий аудита | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.1.0 |
В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
Еженедельная проверка назначений администраторов | CMA_0461. Просмотр назначений администраторов еженедельно | Вручную, отключено | 1.1.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Обзор отчета об идентификации облака | CMA_0468. Обзор отчета об идентификации облака | Вручную, отключено | 1.1.0 |
Просмотр событий доступа к управляемым папкам | CMA_0471. Просмотр событий доступа к управляемым папкам | Вручную, отключено | 1.1.0 |
Просмотр событий защиты от эксплойтов | CMA_0472. Проверка событий защиты от эксплойтов | Вручную, отключено | 1.1.0 |
Просмотр действия файлов и папок | CMA_0473 . Просмотр действия файлов и папок | Вручную, отключено | 1.1.0 |
Еженедельная проверка изменений группы ролей | CMA_0476. Просмотр еженедельных изменений группы ролей | Вручную, отключено | 1.1.0 |
Сохраненные запросы в Azure Monitor должны быть сохранены в учетной записи хранения клиента для шифрования журналов | Свяжите учетную запись хранения с рабочей областью Log Analytics, чтобы защитить сохраненные запросы с помощью шифрования учетной записи хранения. Ключи, управляемые клиентом, обычно требуются для соблюдения нормативных требований и усиления контроля за доступом к сохраненным запросам в Azure Monitor. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин | Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
На виртуальных машинах должно быть установлено расширение Log Analytics | Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
Обнаружение и аномальное сетевое действие в локальной или удаленной среде SWIFT.
Идентификатор: SWIFT CSCF версии 2022 6.5A Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Авторизация, мониторинг и управление voip | CMA_0025 . Авторизация, мониторинг и управление voip | Вручную, отключено | 1.1.0 |
Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Маршрутизация трафика через точки доступа к управляемой сети | CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
7. Планирование реагирования на инциденты и совместного использования информации
Обеспечение согласованного и эффективного подхода к управлению кибер-инцидентами.
Идентификатор: СВИФТ CSCF версии 2022 7.1 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Устранение проблем с безопасностью информации | CMA_C1742. Устранение проблем с безопасностью информации | Вручную, отключено | 1.1.0 |
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.2.0 |
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
Определение классов инцидентов и действий, выполненных | CMA_C1365. Определение классов инцидентов и действий, выполненных | Вручную, отключено | 1.1.0 |
Включение имитированных событий в обучение реагирования на инциденты | CMA_C1356. Включение имитированных событий в обучение реагирования на инциденты | Вручную, отключено | 1.1.0 |
Предоставление обучения утечки информации | CMA_0413. Предоставление обучения утечки информации | Вручную, отключено | 1.1.0 |
Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Убедитесь, что все сотрудники знают и выполняют свои обязанности по обеспечению безопасности, выполняя регулярные действия осведомленности и сохраняя знания о безопасности сотрудников с привилегированным доступом.
Идентификатор: СВИФТ CSCF версии 2022 7.2 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
Предоставление периодического обучения безопасности на основе ролей | CMA_C1095. Предоставление периодического обучения безопасности на основе ролей | Вручную, отключено | 1.1.0 |
Предоставление периодической подготовки по обеспечению осведомленности о безопасности | CMA_C1091. Предоставление периодической подготовки по повышению осведомленности о безопасности | Вручную, отключено | 1.1.0 |
Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Предоставление практических упражнений на основе ролей | CMA_C1096. Предоставление практических упражнений на основе ролей | Вручную, отключено | 1.1.0 |
Предоставление обучения безопасности на основе ролей | CMA_C1094. Предоставление обучения безопасности на основе ролей | Вручную, отключено | 1.1.0 |
Предоставление обучения на основе ролей для подозрительных действий | CMA_C1097. Предоставление обучения на основе ролей для подозрительных действий | Вручную, отключено | 1.1.0 |
Предоставление обучения осведомленности о безопасности для угроз предварительной оценки | CMA_0417. Предоставление обучения осведомленности о безопасности для внутренних угроз | Вручную, отключено | 1.1.0 |
Предоставьте обучение безопасности перед предоставлением доступа | CMA_0418. Предоставьте обучение безопасности перед предоставлением доступа | Вручную, отключено | 1.1.0 |
Предоставление обучения безопасности для новых пользователей | CMA_0419. Предоставление обучения безопасности для новых пользователей | Вручную, отключено | 1.1.0 |
Предоставление обновленной подготовки по повышению осведомленности о безопасности | CMA_C1090. Предоставление обновленной подготовки по повышению осведомленности о безопасности | Вручную, отключено | 1.1.0 |
Проверьте конфигурацию операционной безопасности и определите пробелы в безопасности, выполнив тестирование на проникновение.
Идентификатор: SWIFT CSCF версии 2022 7.3A Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Использование независимой команды для тестирования на проникновение | CMA_C1171 . Использование независимой команды для тестирования на проникновение | Вручную, отключено | 1.1.0 |
Требовать от разработчиков сборки архитектуры безопасности | CMA_C1612. Требовать от разработчиков сборки архитектуры безопасности | Вручную, отключено | 1.1.0 |
Оцените риск и готовность организации на основе вероятных сценариев кибератак.
Идентификатор: SWIFT CSCF версии 2022 7.4A Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
Проведение оценки рисков и распространение результатов | CMA_C1544. Проведение оценки рисков и распространение результатов | Вручную, отключено | 1.1.0 |
Проведение оценки рисков и документирование результатов | CMA_C1542. Проведение оценки рисков и документирование результатов | Вручную, отключено | 1.1.0 |
Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
8. Установка и мониторинг производительности
Обеспечение доступности путем официального задания и мониторинга целей, которые необходимо достичь
Id: SWIFT CSCF версии 2022 8.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
Разработка плана на непредвиденные случаи | CMA_C1244 . Разработка плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
Получение юридического мнения для мониторинга системных действий | CMA_C1688 . Получение юридического мнения для мониторинга системных действий | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Планирование непрерывности основных бизнес-функций | CMA_C1255 . Планирование непрерывности основных бизнес-функций | Вручную, отключено | 1.1.0 |
Планирование возобновления основных бизнес-функций | CMA_C1253 . Планирование возобновления основных бизнес-функций | Вручную, отключено | 1.1.0 |
Укажите сведения о мониторинге по мере необходимости | CMA_C1689. Предоставление сведений о мониторинге по мере необходимости | Вручную, отключено | 1.1.0 |
Возобновление всех миссий и бизнес-функций | CMA_C1254 — возобновление всех миссий и бизнес-функций | Вручную, отключено | 1.1.0 |
Обеспечение доступности, емкости и качества услуг клиентам
Id: SWIFT CSCF v2022 8.4 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Планирование емкости | CMA_C1252 . Планирование емкости | Вручную, отключено | 1.1.0 |
Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
Создание альтернативных действий для определенных аномалий | CMA_C1711. Создание альтернативных действий для определенных аномалий | Вручную, отключено | 1.1.0 |
Разработка плана на непредвиденные случаи | CMA_C1244 . Разработка плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
Уведомление персонала о любых неудачных тестах проверки безопасности | CMA_C1710. Уведомление персонала о любых неудачных тестах проверки безопасности | Вручную, отключено | 1.1.0 |
Выполнение проверки функции безопасности с определенной частотой | CMA_C1709. Выполнение проверки функции безопасности с определенной частотой | Вручную, отключено | 1.1.0 |
Планирование непрерывности основных бизнес-функций | CMA_C1255 . Планирование непрерывности основных бизнес-функций | Вручную, отключено | 1.1.0 |
Прежде чем вы будете жить, убедитесь в ранней доступности выпусков SWIFTNet и стандартов FIN для надлежащего тестирования клиентом.
Идентификатор: СВИФТ CSCF версии 2022 8.5: совместное владение
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Уязвимости в кодировании адресов | CMA_0003 . Уязвимости в кодировании адресов | Вручную, отключено | 1.1.0 |
Разработка и документирование требований к безопасности приложений | CMA_0148. Разработка и документирование требований к безопасности приложений | Вручную, отключено | 1.1.0 |
Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
Создание программы разработки безопасного программного обеспечения | CMA_0259. Создание программы разработки безопасного программного обеспечения | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | CMA_C1597. Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | Вручную, отключено | 1.1.0 |
Требовать от разработчиков реализации только утвержденных изменений | CMA_C1596. Требовать от разработчиков реализации только утвержденных изменений | Вручную, отключено | 1.1.0 |
Требовать от разработчиков управлять целостностью изменений | CMA_C1595. Требовать от разработчиков управления целостностью изменений | Вручную, отключено | 1.1.0 |
Требовать от разработчиков получения доказательств выполнения плана оценки безопасности | CMA_C1602. Требовать от разработчиков получения доказательств выполнения плана оценки безопасности | Вручную, отключено | 1.1.0 |
Проверка программного обеспечения, встроенного ПО и целостности данных | CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных | Вручную, отключено | 1.1.0 |
9. Обеспечение доступности с помощью устойчивости
Поставщики должны убедиться, что служба остается доступной для клиентов в случае локального нарушения или сбоя.
Идентификатор: СВИФТ CSCF версии 2022 9.1 Ответственность: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Проведение тестирования реагирования на инциденты | CMA_0060. Проведение тестирования реагирования на инциденты | Вручную, отключено | 1.1.0 |
Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
Разработка плана на непредвиденные случаи | CMA_C1244 . Разработка плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
Разработка политик и процедур планирования непредвиденных обстоятельств | CMA_0156 . Разработка политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
Распространение политик и процедур | CMA_0185. Распространение политик и процедур | Вручную, отключено | 1.1.0 |
Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
Предоставление обучения на непредвиденные случаи | CMA_0412. Предоставление обучения на непредвиденные случаи | Вручную, отключено | 1.1.0 |
Запуск атак имитации | CMA_0486. Выполнение атак имитации | Вручную, отключено | 1.1.0 |
Поставщики должны убедиться, что служба остается доступной для клиентов в случае аварии сайта.
Id: SWIFT CSCF версии 2022 9.2 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание резервного копирования документации по информационной системе | CMA_C1289. Создание резервного копирования документации по информационной системе | Вручную, отключено | 1.1.0 |
Создание отдельных альтернативных и первичных сайтов хранения | CMA_C1269. Создание отдельных альтернативных и первичных сайтов хранения | Вручную, отключено | 1.1.0 |
Убедитесь, что альтернативные гарантии сайта хранилища эквивалентны первичному сайту | CMA_C1268. Убедитесь, что альтернативные меры защиты сайта хранилища эквивалентны первичному сайту | Вручную, отключено | 1.1.0 |
Создание альтернативного сайта хранилища, упрощающего операции восстановления | CMA_C1270. Создание альтернативного сайта хранилища, упрощающего операции восстановления | Вручную, отключено | 1.1.0 |
Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании | CMA_C1267. Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании | Вручную, отключено | 1.1.0 |
Создание альтернативного сайта обработки | CMA_0262. Создание альтернативного сайта обработки | Вручную, отключено | 1.1.0 |
Установка требований для поставщиков услуг Интернета | CMA_0278. Создание требований для поставщиков услуг Интернета | Вручную, отключено | 1.1.0 |
Выявление и устранение потенциальных проблем на альтернативном сайте хранилища | CMA_C1271. Выявление и устранение потенциальных проблем на альтернативном сайте хранилища | Вручную, отключено | 1.1.0 |
Подготовка альтернативного сайта обработки для использования в качестве рабочего сайта | CMA_C1278 . Подготовка альтернативного сайта обработки для использования в качестве рабочего сайта | Вручную, отключено | 1.1.0 |
Восстановление и восстановление ресурсов после каких-либо нарушений | CMA_C1295 — восстановление и восстановление ресурсов после каких-либо нарушений | Вручную, отключено | 1.1.1 |
Восстановление ресурсов в рабочее состояние | CMA_C1297— восстановление ресурсов в рабочем состоянии | Вручную, отключено | 1.1.1 |
Отдельно хранить сведения о резервном копировании | CMA_C1293 — отдельно хранить сведения о резервном копировании | Вручную, отключено | 1.1.0 |
Передача сведений о резервном копировании на альтернативный сайт хранилища | CMA_C1294. Передача сведений о резервном копировании на альтернативный сайт хранилища | Вручную, отключено | 1.1.0 |
Бюро обслуживания должно гарантировать, что служба остается доступной для своих клиентов в случае нарушения, опасности или инцидента.
Идентификатор: СВИФТ CSCF версии 2022 9.3 Ответственность: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления | CMA_0146. Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления | Вручную, отключено | 1.1.0 |
Разработка плана на непредвиденные случаи | CMA_C1244 . Разработка плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
Использование автоматического аварийного освещения | CMA_0209 . Использование автоматического аварийного освещения | Вручную, отключено | 1.1.0 |
Реализация методологии тестирования на проникновение | CMA_0306 . Реализация методологии тестирования на проникновение | Вручную, отключено | 1.1.0 |
Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
Запуск атак имитации | CMA_0486. Выполнение атак имитации | Вручную, отключено | 1.1.0 |
Доступность и качество обслуживания поставщиков обеспечивается с помощью рекомендуемых пакетов подключения SWIFT и соответствующей пропускной способности линии.
Id: SWIFT CSCF версии 2022 9.4 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация, мониторинг и управление voip | CMA_0025 . Авторизация, мониторинг и управление voip | Вручную, отключено | 1.1.0 |
Планирование емкости | CMA_C1252 . Планирование емкости | Вручную, отключено | 1.1.0 |
Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Маршрутизация трафика через точки доступа к управляемой сети | CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети | Вручную, отключено | 1.1.0 |
10. Быть готовым в случае крупной аварии
Непрерывность бизнес-процессов обеспечивается с помощью документированного плана, переданного потенциальным пострадавшим сторонам (бюро услуг и клиентам).
Идентификатор: СВИФТ CSCF версии 2022 10.1 Ответственность: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
Разработка плана на непредвиденные случаи | CMA_C1244 . Разработка плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
Планирование непрерывности основных бизнес-функций | CMA_C1255 . Планирование непрерывности основных бизнес-функций | Вручную, отключено | 1.1.0 |
Планирование возобновления основных бизнес-функций | CMA_C1253 . Планирование возобновления основных бизнес-функций | Вручную, отключено | 1.1.0 |
Возобновление всех миссий и бизнес-функций | CMA_C1254 — возобновление всех миссий и бизнес-функций | Вручную, отключено | 1.1.0 |
11. Мониторинг в случае крупной аварии
Обеспечение согласованного и эффективного подхода к мониторингу и эскалации событий.
Идентификатор: SWIFT CSCF версии 2022 11.1 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
Получение юридического мнения для мониторинга системных действий | CMA_C1688 . Получение юридического мнения для мониторинга системных действий | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Укажите сведения о мониторинге по мере необходимости | CMA_C1689. Предоставление сведений о мониторинге по мере необходимости | Вручную, отключено | 1.1.0 |
Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
Обеспечение согласованного и эффективного подхода к управлению инцидентами (управление проблемами).
Идентификатор: СВИФТ CSCF версии 2022 11.2 Ответственность: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оценка событий информационной безопасности | CMA_0013. Оценка событий информационной безопасности | Вручную, отключено | 1.1.0 |
Проведение тестирования реагирования на инциденты | CMA_0060. Проведение тестирования реагирования на инциденты | Вручную, отключено | 1.1.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Разработка гарантий безопасности | CMA_0161. Разработка гарантий безопасности | Вручную, отключено | 1.1.0 |
Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
Включение защиты сети | CMA_0238. Включение защиты сети | Вручную, отключено | 1.1.0 |
Искоренение загрязненной информации | CMA_0253 . Искоренение загрязненной информации | Вручную, отключено | 1.1.0 |
Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
Выполнение действий в ответ на утечки информации | CMA_0281. Выполнение действий в ответ на утечки информации | Вручную, отключено | 1.1.0 |
Определение классов инцидентов и действий, выполненных | CMA_C1365. Определение классов инцидентов и действий, выполненных | Вручную, отключено | 1.1.0 |
Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
Включение имитированных событий в обучение реагирования на инциденты | CMA_C1356. Включение имитированных событий в обучение реагирования на инциденты | Вручную, отключено | 1.1.0 |
Сохранение записей о нарушении данных | CMA_0351. Сохранение записей о нарушении данных | Вручную, отключено | 1.1.0 |
Обслуживание плана реагирования на инциденты | CMA_0352 — обслуживание плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Защита плана реагирования на инциденты | CMA_0405 . Защита плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Предоставление обучения утечки информации | CMA_0413. Предоставление обучения утечки информации | Вручную, отключено | 1.1.0 |
Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
Запуск атак имитации | CMA_0486. Выполнение атак имитации | Вручную, отключено | 1.1.0 |
Просмотр и исследование ограниченных пользователей | CMA_0545 . Просмотр и исследование ограниченных пользователей | Вручную, отключено | 1.1.0 |
Обеспечение адекватной эскалации операционных сбоев в случае влияния клиента.
Идентификатор: СВИФТ CSCF версии 2022 11.4 Ответственность: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Автоматизация процесса для документирования реализованных изменений | CMA_C1195. Автоматизация процесса для документирования реализованных изменений | Вручную, отключено | 1.1.0 |
Автоматизация процесса для выделения неосмотренных предложений об изменениях | CMA_C1193 . Автоматизация процесса для выделения неразознаованных предложений об изменениях | Вручную, отключено | 1.1.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
Включение защиты сети | CMA_0238. Включение защиты сети | Вручную, отключено | 1.1.0 |
Искоренение загрязненной информации | CMA_0253 . Искоренение загрязненной информации | Вручную, отключено | 1.1.0 |
Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
Установление связи между возможностями реагирования на инциденты и внешними поставщиками | CMA_C1376. Создание связи между возможностями реагирования на инциденты и внешними поставщиками | Вручную, отключено | 1.1.0 |
Выполнение действий в ответ на утечки информации | CMA_0281. Выполнение действий в ответ на утечки информации | Вручную, отключено | 1.1.0 |
Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
Просмотр и исследование ограниченных пользователей | CMA_0545 . Просмотр и исследование ограниченных пользователей | Вручную, отключено | 1.1.0 |
Эффективная поддержка предлагается клиентам в случае, если они сталкиваются с проблемами в течение рабочих часов.
Идентификатор: СВИФТ CSCF версии 2022 11.5 Ответственность: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
Включение защиты сети | CMA_0238. Включение защиты сети | Вручную, отключено | 1.1.0 |
Искоренение загрязненной информации | CMA_0253 . Искоренение загрязненной информации | Вручную, отключено | 1.1.0 |
Установление связи между возможностями реагирования на инциденты и внешними поставщиками | CMA_C1376. Создание связи между возможностями реагирования на инциденты и внешними поставщиками | Вручную, отключено | 1.1.0 |
Выполнение действий в ответ на утечки информации | CMA_0281. Выполнение действий в ответ на утечки информации | Вручную, отключено | 1.1.0 |
Определение персонала реагирования на инциденты | CMA_0301. Определение персонала реагирования на инциденты | Вручную, отключено | 1.1.0 |
Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Просмотр и исследование ограниченных пользователей | CMA_0545 . Просмотр и исследование ограниченных пользователей | Вручную, отключено | 1.1.0 |
12. Обеспечение доступности знаний
Обеспечение качества обслуживания клиентам через сертифицированных сотрудников SWIFT.
Идентификатор: СВИФТ CSCF версии 2022 12.1 Владение: общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Предоставление периодического обучения безопасности на основе ролей | CMA_C1095. Предоставление периодического обучения безопасности на основе ролей | Вручную, отключено | 1.1.0 |
Предоставление обучения безопасности на основе ролей | CMA_C1094. Предоставление обучения безопасности на основе ролей | Вручную, отключено | 1.1.0 |
Предоставьте обучение безопасности перед предоставлением доступа | CMA_0418. Предоставьте обучение безопасности перед предоставлением доступа | Вручную, отключено | 1.1.0 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправлять несоответствующие ресурсы.