Szczegóły wbudowanej inicjatywy SWIFT CSP-CSCF v2022 Regulatory Compliance

Poniższy artykuł zawiera szczegółowe informacje na temat sposobu mapowania wbudowanej definicji inicjatywy zgodności usługi Azure Policy na domeny zgodności i mechanizmy kontroli w programie SWIFT CSP-CSCF v2022. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz SWIFT CSP-CSCF v2022. Aby zrozumieć własność, zobacz Definicje zasad usługi Azure Policy i Wspólna odpowiedzialność w chmurze.

Poniższe mapowania dotyczą kontrolek SWIFT CSP-CSCF v2022 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy SWIFT CSP-CSCF v2022 Regulatory Compliance.

Ważne

Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.

1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT

Zapewnij ochronę lokalnej infrastruktury SWIFT użytkownika przed potencjalnie naruszonym zabezpieczeniami elementów ogólnego środowiska IT i środowiska zewnętrznego.

Id: SWIFT CSCF v2022 1.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall	Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji	AuditIfNotExists, Disabled	3.0.0-preview
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux	Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe.	AuditIfNotExists, Disabled	1.0.2—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows	Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe.	AuditIfNotExists, Disabled	1.0.2—wersja zapoznawcza
Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach	Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych.	AuditIfNotExists, Disabled	3.0.0
Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu	Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków	AuditIfNotExists, Disabled	3.0.0
Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną	Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów.	AuditIfNotExists, Disabled	3.0.0
Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane	Monitoruj zmiany zachowania grup maszyn skonfigurowanych do inspekcji przez adaptacyjne mechanizmy kontroli aplikacji usługi Azure Security Center. Usługa Security Center używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami.	AuditIfNotExists, Disabled	3.0.0
Aplikacje usługi App Service powinny używać punktu końcowego usługi sieci wirtualnej	Użyj punktów końcowych usługi sieci wirtualnej, aby ograniczyć dostęp do aplikacji z wybranych podsieci z sieci wirtualnej platformy Azure. Aby dowiedzieć się więcej o punktach końcowych usługi App Service, odwiedź stronę https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, Disabled	2.0.1
Usługa Azure Key Vault powinna mieć włączoną zaporę	Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security	Inspekcja, Odmowa, Wyłączone	3.2.1
Sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych	CMA_0053 — sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych	Ręczne, wyłączone	1.1.0
Zapewnianie, że zewnętrzni dostawcy spójnie spełniają interesy klientów	CMA_C1592 — zapewnienie, że zewnętrzni dostawcy konsekwentnie spełniają interesy klientów	Ręczne, wyłączone	1.1.0
Implementowanie ochrony granic systemu	CMA_0328 — implementowanie ochrony granic systemu	Ręczne, wyłączone	1.1.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń	Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone	Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci.	AuditIfNotExists, Disabled	3.0.0
Usługa Key Vault powinna używać punktu końcowego usługi sieci wirtualnej	Te zasady sprawdzają, czy usługa Key Vault nie jest skonfigurowana do używania punktu końcowego usługi sieci wirtualnej.	Inspekcja, wyłączone	1.0.0
Usługa Network Watcher powinna być włączona	Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie.	AuditIfNotExists, Disabled	3.0.0
Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami	CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami	Ręczne, wyłączone	1.1.0
Konta magazynu powinny ograniczać dostęp sieciowy	Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych	Inspekcja, Odmowa, Wyłączone	1.1.1
Konta magazynu powinny używać punktu końcowego usługi sieci wirtualnej	Te zasady sprawdzają, czy żadne konto magazynu nie zostało skonfigurowane do używania punktu końcowego usługi sieci wirtualnej.	Inspekcja, wyłączone	1.0.0
Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń	Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci.	AuditIfNotExists, Disabled	3.0.0
Poddawanie niezależnemu przeglądowi zabezpieczeń	CMA_0515 — przechodzi niezależny przegląd zabezpieczeń	Ręczne, wyłączone	1.1.0
Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego	Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Inspekcja, Wyłączone, Odmowa	1.1.0

Ogranicz i kontroluj alokację i użycie kont systemu operacyjnego na poziomie administratora.

Id: SWIFT CSCF v2022 1.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli	Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela.	AuditIfNotExists, Disabled	3.0.0
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte	Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania.	AuditIfNotExists, Disabled	1.0.0
Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte	Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania.	AuditIfNotExists, Disabled	1.0.0
Definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych	CMA_0117 — definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych	Ręczne, wyłączone	1.1.0
Projektowanie modelu kontroli dostępu	CMA_0129 — projektowanie modelu kontroli dostępu	Ręczne, wyłączone	1.1.0
Opracowywanie i ustanawianie planu zabezpieczeń systemu	CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu	Ręczne, wyłączone	1.1.0
Opracowywanie zasad i procedur zabezpieczeń informacji	CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji	Ręczne, wyłączone	1.1.0
Stosowanie dostępu z najniższymi uprawnieniami	CMA_0212 — stosowanie dostępu do najniższych uprawnień	Ręczne, wyłączone	1.1.0
Ustanawianie programu ochrony prywatności	CMA_0257 — ustanawianie programu ochrony prywatności	Ręczne, wyłączone	1.1.0
Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń	CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń	Ręczne, wyłączone	1.1.0
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć	Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte	Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte	Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych	CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych	Ręczne, wyłączone	1.1.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time	Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami	AuditIfNotExists, Disabled	3.0.0
Monitorowanie aktywności konta	CMA_0377 — monitorowanie aktywności konta	Ręczne, wyłączone	1.1.0
Monitorowanie przypisywania ról uprzywilejowanych	CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do uprzywilejowanych kont	CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych	Ręczne, wyłączone	1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami	CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Do subskrypcji powinien być przypisany więcej niż jeden właściciel	Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora.	AuditIfNotExists, Disabled	3.0.0
Korzystanie z usługi Privileged Identity Management	CMA_0533 — używanie usługi Privileged Identity Management	Ręczne, wyłączone	1.1.0

Zabezpieczanie platformy wirtualizacji i maszyn wirtualnych hostujących składniki związane z usługą SWIFT na tym samym poziomie co systemy fizyczne.

Id: SWIFT CSCF v2022 1.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych	Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych	inspekcje	1.0.0
Implementowanie ochrony granic systemu	CMA_0328 — implementowanie ochrony granic systemu	Ręczne, wyłączone	1.1.0

Kontrolowanie/ochrona dostępu do Internetu przed komputerami i systemami operatora w strefie zabezpieczonej.

Id: SWIFT CSCF v2022 1.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall	Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji	AuditIfNotExists, Disabled	3.0.0-preview
Autoryzowanie dostępu zdalnego	CMA_0024 — autoryzowanie dostępu zdalnego	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego	CMA_0190 — dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego	Ręczne, wyłączone	1.1.0
Szkolenie mobilności dokumentów	CMA_0191 — szkolenie mobilności dokumentów	Ręczne, wyłączone	1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego	CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	Ręczne, wyłączone	1.1.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń	Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń	Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Ochrona dostępu bezprzewodowego	CMA_0411 — ochrona dostępu bezprzewodowego	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia w zakresie prywatności	CMA_0415 — zapewnianie szkolenia w zakresie prywatności	Ręczne, wyłączone	1.1.0

Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT.

ID: SWIFT CSCF v2022 1.5A Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall	Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji	AuditIfNotExists, Disabled	3.0.0-preview
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux	Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe.	AuditIfNotExists, Disabled	1.0.2—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows	Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe.	AuditIfNotExists, Disabled	1.0.2—wersja zapoznawcza
Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach	Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na poszczególnych maszynach i sugerowania listy znanych aplikacji bezpiecznych.	AuditIfNotExists, Disabled	3.0.0
Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu	Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków	AuditIfNotExists, Disabled	3.0.0
Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną	Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów.	AuditIfNotExists, Disabled	3.0.0
Aplikacje usługi App Service powinny używać punktu końcowego usługi sieci wirtualnej	Użyj punktów końcowych usługi sieci wirtualnej, aby ograniczyć dostęp do aplikacji z wybranych podsieci z sieci wirtualnej platformy Azure. Aby dowiedzieć się więcej o punktach końcowych usługi App Service, odwiedź stronę https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, Disabled	2.0.1
Usługa Azure DDoS Protection powinna być włączona	Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP.	AuditIfNotExists, Disabled	3.0.1
Usługa Azure Key Vault powinna mieć włączoną zaporę	Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security	Inspekcja, Odmowa, Wyłączone	3.2.1
Przepływ informacji sterujących	CMA_0079 — przepływ informacji sterujących	Ręczne, wyłączone	1.1.0
Stosowanie ochrony granic w celu izolowania systemów informacyjnych	CMA_C1639 — stosowanie ochrony granic w celu izolowania systemów informacyjnych	Ręczne, wyłączone	1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	Ręczne, wyłączone	1.1.0
Stosowanie ograniczeń dotyczących połączeń między systemami zewnętrznymi	CMA_C1155 — stosowanie ograniczeń dotyczących połączeń między systemami zewnętrznymi	Ręczne, wyłączone	1.1.0
Ustanawianie standardów konfiguracji zapory i routera	CMA_0272 — ustanawianie standardów konfiguracji zapory i routera	Ręczne, wyłączone	1.1.0
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty	CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart	Ręczne, wyłączone	1.1.0
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	Ręczne, wyłączone	1.1.0
Implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej	CMA_C1626 — implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej	Ręczne, wyłączone	1.1.0
Implementowanie ochrony granic systemu	CMA_0328 — implementowanie ochrony granic systemu	Ręczne, wyłączone	1.1.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń	Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone	Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci.	AuditIfNotExists, Disabled	3.0.0
Usługa Key Vault powinna używać punktu końcowego usługi sieci wirtualnej	Te zasady sprawdzają, czy usługa Key Vault nie jest skonfigurowana do używania punktu końcowego usługi sieci wirtualnej.	Inspekcja, wyłączone	1.0.0
Usługa Network Watcher powinna być włączona	Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie.	AuditIfNotExists, Disabled	3.0.0
Konta magazynu powinny ograniczać dostęp sieciowy	Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych	Inspekcja, Odmowa, Wyłączone	1.1.1
Konta magazynu powinny używać punktu końcowego usługi sieci wirtualnej	Te zasady sprawdzają, czy żadne konto magazynu nie zostało skonfigurowane do używania punktu końcowego usługi sieci wirtualnej.	Inspekcja, wyłączone	1.0.0
Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń	Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci.	AuditIfNotExists, Disabled	3.0.0
Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego	Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Inspekcja, Wyłączone, Odmowa	1.1.0

2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach

Zapewnij poufność, integralność i autentyczność przepływów danych aplikacji między lokalnymi składnikami związanymi z usługą SWIFT.

Id: SWIFT CSCF v2022 2.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH	Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Disabled	3.2.0
Zmienne konta usługi Automation powinny być szyfrowane	Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych	Inspekcja, Odmowa, Wyłączone	1.1.0
Konfigurowanie akcji dla niezgodnych urządzeń	CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń	Ręczne, wyłączone	1.1.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Przepływ informacji sterujących	CMA_0079 — przepływ informacji sterujących	Ręczne, wyłączone	1.1.0
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Opracowywanie i obsługa konfiguracji punktów odniesienia	CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej	Ręczne, wyłączone	1.1.0
Stosowanie ochrony granic w celu izolowania systemów informacyjnych	CMA_C1639 — stosowanie ochrony granic w celu izolowania systemów informacyjnych	Ręczne, wyłączone	1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	Ręczne, wyłączone	1.1.0
Wymuszanie losowych unikatowych identyfikatorów sesji	CMA_0247 — wymuszanie losowych unikatowych identyfikatorów sesji	Ręczne, wyłączone	1.1.0
Wymuszanie ustawień konfiguracji zabezpieczeń	CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń	Ręczne, wyłączone	1.1.0
Ustanawianie tablicy sterowania konfiguracji	CMA_0254 — ustanawianie tablicy sterowania konfiguracji	Ręczne, wyłączone	1.1.0
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie planu zarządzania konfiguracją	CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją	Ręczne, wyłączone	1.1.0
Ustanawianie zasad i procedur tworzenia kopii zapasowych	CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych	Ręczne, wyłączone	1.1.0
Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją	CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Implementowanie ochrony granic systemu	CMA_0328 — implementowanie ochrony granic systemu	Ręczne, wyłączone	1.1.0
Sterowanie przepływem informacji przy użyciu filtrów zasad zabezpieczeń	CMA_C1029 — kontrola przepływu informacji przy użyciu filtrów zasad zabezpieczeń	Ręczne, wyłączone	1.1.0
Izolowanie systemów SecurID, systemów zarządzania zdarzeniami zabezpieczeń	CMA_C1636 — izolowanie systemów SecurID, systemów zarządzania zdarzeniami zabezpieczeń	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Utrzymywanie dostępności informacji	CMA_C1644 — utrzymywanie dostępności informacji	Ręczne, wyłączone	1.1.0
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Powiadamianie użytkowników o logowaniu lub dostępie systemu	CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu	Ręczne, wyłączone	1.1.0
Tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych	CMA_C1646 — tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych	Ręczne, wyłączone	1.1.0
Tworzenie, kontrolowanie i dystrybuowanie symetrycznych kluczy kryptograficznych	CMA_C1645 — tworzenie, kontrolowanie i dystrybuowanie symetrycznych kluczy kryptograficznych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0
Zabezpieczanie interfejsu z systemami zewnętrznymi	CMA_0491 — zabezpieczanie interfejsu z systemami zewnętrznymi	Ręczne, wyłączone	1.1.0
Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych	Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami.	AuditIfNotExists, Disabled	4.1.1

Zminimalizuj występowanie znanych luk technicznych na komputerach operatorów i lokalnej infrastruktury SWIFT, zapewniając obsługę dostawcy, stosowanie obowiązkowych aktualizacji oprogramowania i stosowanie aktualizacji zabezpieczeń w odpowiednim czasie dopasowanych do ocenianego ryzyka.

Id: SWIFT CSCF v2022 2.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Przeprowadzanie inspekcji maszyn wirtualnych z systemem Windows z oczekującym ponownym uruchomieniem	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna oczekuje na ponowny rozruch z dowolnego z następujących powodów: obsługa oparta na składnikach, Windows Update, oczekiwanie na zmianę nazwy pliku, oczekiwanie na zmianę nazwy komputera, menedżer konfiguracji oczekuje na ponowny rozruch. Każde wykrywanie ma unikatową ścieżkę rejestru.	auditIfNotExists	2.0.0
Korelowanie informacji o skanowaniu luk w zabezpieczeniach	CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach	Ręczne, wyłączone	1.1.1
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows	Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Rozpowszechnianie alertów zabezpieczeń dla personelu	CMA_C1705 — rozpowszechnianie alertów zabezpieczeń dla personelu	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych	Przeprowadź inspekcję sprawdzającą, czy nie brakuje żadnych aktualizacji zabezpieczeń systemu i aktualizacji krytycznych, które powinny być zainstalowane, aby zapewnić bezpieczeństwo zestawów skalowania maszyn wirtualnych z systemami Windows i Linux.	AuditIfNotExists, Disabled	3.0.0
Aktualizacje systemu powinny być instalowane na maszynach	Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez usługę Azure Security Center jako zalecenia	AuditIfNotExists, Disabled	4.0.0
Używanie mechanizmów automatycznych dla alertów zabezpieczeń	CMA_C1707 — używanie mechanizmów automatycznych dla alertów zabezpieczeń	Ręczne, wyłączone	1.1.0

Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu.

IDENTYFIKATOR: SWIFT CSCF v2022 2.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644	AuditIfNotExists, Disabled	3.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli certyfikaty w określonym magazynie mają datę wygaśnięcia spoza zakresu dla liczby dni podanych jako parametr. Zasady udostępniają również opcję sprawdzania tylko określonych certyfikatów lub wykluczania określonych certyfikatów oraz tego, czy raportować wygasłe certyfikaty.	auditIfNotExists	2.0.0
Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego	AuditIfNotExists, Disabled	2.0.0
Automatyzowanie proponowanych zmian udokumentowanych	CMA_C1191 — automatyzowanie proponowanych zmian udokumentowanych	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy wpływu na zabezpieczenia	CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia	Ręczne, wyłączone	1.1.0
Konfigurowanie akcji dla niezgodnych urządzeń	CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń	Ręczne, wyłączone	1.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux	Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows	Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach	CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Opracowywanie i obsługa konfiguracji punktów odniesienia	CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej	Ręczne, wyłączone	1.1.0
Wymuszanie ustawień konfiguracji zabezpieczeń	CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń	Ręczne, wyłączone	1.1.0
Ustanawianie tablicy sterowania konfiguracji	CMA_0254 — ustanawianie tablicy sterowania konfiguracji	Ręczne, wyłączone	1.1.0
Ustanawianie strategii zarządzania ryzykiem	CMA_0258 — ustanawianie strategii zarządzania ryzykiem	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie planu zarządzania konfiguracją	CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0
Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów	CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów	Ręczne, wyłączone	1.1.0
Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją	CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją	Ręczne, wyłączone	1.1.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time	Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami	AuditIfNotExists, Disabled	3.0.0
Przeprowadzanie oceny wpływu na prywatność	CMA_0387 — przeprowadzanie oceny wpływu na prywatność	Ręczne, wyłączone	1.1.0
Przeprowadzanie oceny ryzyka	CMA_0388 — przeprowadzanie oceny ryzyka	Ręczne, wyłączone	1.1.0
Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji	CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji	Ręczne, wyłączone	1.1.0
Zachowaj poprzednie wersje konfiguracji punktu odniesienia	CMA_C1181 — zachowaj poprzednie wersje konfiguracji punktu odniesienia	Ręczne, wyłączone	1.1.0
Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego	Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Inspekcja, Wyłączone, Odmowa	1.1.0

Zapewnij poufność, integralność i wzajemne autentyczność przepływów danych między lokalnymi lub zdalnymi składnikami infrastruktury SWIFT oraz pierwszymi przeskokami, z którymi się łączą.

ID: SWIFT CSCF v2022 2.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wykonywanie kopii zapasowej dokumentacji systemu informacyjnego	CMA_C1289 — wykonywanie kopii zapasowej dokumentacji systemu informacyjnego	Ręczne, wyłączone	1.1.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ustanawianie zasad i procedur tworzenia kopii zapasowych	CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Powiadamianie użytkowników o logowaniu lub dostępie systemu	CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Zabezpieczenia Przepływ danych zaplecza

ID: SWIFT CSCF v2022 2.4A Ownership: Customer

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH	Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Disabled	3.2.0
Zmienne konta usługi Automation powinny być szyfrowane	Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych	Inspekcja, Odmowa, Wyłączone	1.1.0
Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych	Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami.	AuditIfNotExists, Disabled	4.1.1

Ochrona poufności danych związanych z usługą SWIFT przesyłanych lub przechowywanych poza bezpieczną strefą w ramach procesów operacyjnych.

Id: SWIFT CSCF v2022 2.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wykonywanie kopii zapasowej dokumentacji systemu informacyjnego	CMA_C1289 — wykonywanie kopii zapasowej dokumentacji systemu informacyjnego	Ręczne, wyłączone	1.1.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ustanawianie zasad i procedur tworzenia kopii zapasowych	CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Zarządzanie transportem zasobów	CMA_0370 — zarządzanie transportem zasobów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Zewnętrzna ochrona danych transmisji

IDENTYFIKATOR: SWIFT CSCF v2022 2.5A Ownership: Customer

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii	Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych	Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych	inspekcje	1.0.0
Zmienne konta usługi Automation powinny być szyfrowane	Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych	Inspekcja, Odmowa, Wyłączone	1.1.0
Usługa Azure Backup powinna być włączona dla maszyn wirtualnych	Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure.	AuditIfNotExists, Disabled	3.0.0
Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu	Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności	Inspekcja, wyłączone	1.0.0
Bezpieczny transfer do kont magazynu powinien być włączony	Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji	Inspekcja, Odmowa, Wyłączone	2.0.0
Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem	Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, Disabled	2.0.3

Ochrona poufności i integralności sesji operatorów interakcyjnych łączących się z lokalną lub zdalną (obsługiwaną przez dostawcę usług) infrastrukturą SWIFT lub aplikacjami dostawcy usług SWIFT

Id: SWIFT CSCF v2022 2.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Autoryzowanie dostępu zdalnego	CMA_0024 — autoryzowanie dostępu zdalnego	Ręczne, wyłączone	1.1.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows	Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego	CMA_0190 — dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego	Ręczne, wyłączone	1.1.0
Szkolenie mobilności dokumentów	CMA_0191 — szkolenie mobilności dokumentów	Ręczne, wyłączone	1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego	CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego	Ręczne, wyłączone	1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych	CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona dostępu bezprzewodowego	CMA_0411 — ochrona dostępu bezprzewodowego	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia w zakresie prywatności	CMA_0415 — zapewnianie szkolenia w zakresie prywatności	Ręczne, wyłączone	1.1.0
Ponowne uwierzytelnianie lub kończenie sesji użytkownika	CMA_0421 — ponowne uwierzytelnianie lub kończenie sesji użytkownika	Ręczne, wyłączone	1.1.0
Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych	Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami.	AuditIfNotExists, Disabled	4.1.1
Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — logowanie interakcyjne	Maszyny z systemem Windows powinny mieć określone ustawienia zasad grupy w kategorii "Opcje zabezpieczeń — logowanie interakcyjne" do wyświetlania nazwiska użytkownika i wymagania ctrl-alt-del. Te zasady wymagają wdrożenia wymagań wstępnych konfiguracji gościa w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol.	AuditIfNotExists, Disabled	3.0.0

Zidentyfikuj znane luki w zabezpieczeniach w lokalnym środowisku SWIFT, wdrażając regularny proces skanowania luk w zabezpieczeniach i wykonując działania na podstawie wyników.

Identyfikator: SWIFT CSCF v2022 2.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych	Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie.	AuditIfNotExists, Disabled	3.0.0
Usługa Azure Defender for App Service powinna być włączona	Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych.	AuditIfNotExists, Disabled	1.0.3
Usługa Azure Defender dla usługi Key Vault powinna być włączona	Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich.	AuditIfNotExists, Disabled	1.0.3
Usługa Azure Defender dla serwerów powinna być włączona	Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań.	AuditIfNotExists, Disabled	1.0.3
Korelowanie informacji o skanowaniu luk w zabezpieczeniach	CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach	Ręczne, wyłączone	1.1.1
Implementowanie uprzywilejowanego dostępu do wykonywania działań skanowania luk w zabezpieczeniach	CMA_C1555 — implementowanie uprzywilejowanego dostępu do wykonywania działań skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Uwzględnianie korygowania błędów w zarządzaniu konfiguracją	CMA_C1671 — dołączanie korygowania błędów do zarządzania konfiguracją	Ręczne, wyłączone	1.1.0
Usługa Microsoft Defender for Storage powinna być włączona	Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami.	AuditIfNotExists, Disabled	1.0.0
Obserwowanie słabych stron zabezpieczeń i zgłaszanie ich	CMA_0384 — obserwowanie i zgłaszanie słabych stron zabezpieczeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Wykonywanie modelowania zagrożeń	CMA_0392 — wykonywanie modelowania zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Należy skorygować luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera	Przeprowadź inspekcję luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker i wyświetl ją jako zalecenia w usłudze Azure Security Center.	AuditIfNotExists, Disabled	3.0.0
Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach	Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia	AuditIfNotExists, Disabled	3.1.0
Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych	Przeprowadź inspekcję luk w zabezpieczeniach systemu operacyjnego w zestawach skalowania maszyn wirtualnych, aby chronić je przed atakami.	AuditIfNotExists, Disabled	3.0.0

Zapewnienie spójnego i skutecznego podejścia do monitorowania komunikatów klientów.

ID: SWIFT CSCF v2022 2.8.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ocena ryzyka w relacjach innych firm	CMA_0014 — ocena ryzyka w relacjach innych firm	Ręczne, wyłączone	1.1.0
Definiowanie i dokumentowanie nadzoru rządu	CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu	Ręczne, wyłączone	1.1.0
Definiowanie wymagań dotyczących dostarczania towarów i usług	CMA_0126 — definiowanie wymagań dotyczących dostarczania towarów i usług	Ręczne, wyłączone	1.1.0
Określanie zobowiązań dotyczących umowy dostawcy	CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy	Ręczne, wyłączone	1.1.0
Ustanawianie zasad zarządzania ryzykiem łańcucha dostaw	CMA_0275 — ustanawianie zasad zarządzania ryzykiem łańcucha dostaw	Ręczne, wyłączone	1.1.0
Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń	CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń	Ręczne, wyłączone	1.1.0
Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami	CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami	Ręczne, wyłączone	1.1.0
Poddawanie niezależnemu przeglądowi zabezpieczeń	CMA_0515 — przechodzi niezależny przegląd zabezpieczeń	Ręczne, wyłączone	1.1.0

Zapewnienie ochrony lokalnej infrastruktury SWIFT przed zagrożeniami narażonymi na outsourcing krytycznych działań.

ID: SWIFT CSCF v2022 2.8A Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Określanie zobowiązań dotyczących umowy dostawcy	CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy	Ręczne, wyłączone	1.1.0
Kryteria akceptacji kontraktu pozyskiwania dokumentów	CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów	Ręczne, wyłączone	1.1.0
Dokument ochrony danych osobowych w umowach nabycia	CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia	Ręczne, wyłączone	1.1.0
Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania	CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia	Ręczne, wyłączone	1.1.0
Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach	CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach	Ręczne, wyłączone	1.1.0
Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia	CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia	Ręczne, wyłączone	1.1.0
Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania	CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania	Ręczne, wyłączone	1.1.0
Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania	CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania	Ręczne, wyłączone	1.1.0
Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia	CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia	Ręczne, wyłączone	1.1.0
Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia	CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania	Ręczne, wyłączone	1.1.0
Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm	CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm	Ręczne, wyłączone	1.1.0

Upewnij się, że aktywność transakcji wychodzących w ramach oczekiwanych granic normalnego działania biznesowego.

Identyfikator: SWIFT CSCF v2022 2.9 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie, monitorowanie i kontrolowanie voip	CMA_0025 — autoryzowanie, monitorowanie i kontrolowanie voip	Ręczne, wyłączone	1.1.0
Przepływ informacji sterujących	CMA_0079 — przepływ informacji sterujących	Ręczne, wyłączone	1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	Ręczne, wyłączone	1.1.0
Implementowanie ochrony granic systemu	CMA_0328 — implementowanie ochrony granic systemu	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci	CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci	Ręczne, wyłączone	1.1.0

Ogranicz aktywność transakcji do zweryfikowanych i zatwierdzonych odpowiedników biznesowych.

IDENTYFIKATOR: SWIFT CSCF v2022 2.11A Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Projektowanie modelu kontroli dostępu	CMA_0129 — projektowanie modelu kontroli dostępu	Ręczne, wyłączone	1.1.0
Stosowanie dostępu z najniższymi uprawnieniami	CMA_0212 — stosowanie dostępu do najniższych uprawnień	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ponowne przypisywanie lub usuwanie uprawnień użytkownika zgodnie z potrzebami	CMA_C1040 — przypisz ponownie lub usuń uprawnienia użytkownika zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0
Przeglądanie uprawnień użytkownika	CMA_C1039 — przeglądanie uprawnień użytkownika	Ręczne, wyłączone	1.1.0

3. Fizycznie zabezpieczanie środowiska

Zapobiegaj nieautoryzowanemu dostępowi fizycznemu do poufnych urządzeń, środowisk w miejscu pracy, witryn hostingowych i magazynowania.

Id: SWIFT CSCF v2022 3.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych	Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych	inspekcje	1.0.0
Kontrolowanie dostępu fizycznego	CMA_0081 — kontrolowanie dostępu fizycznego	Ręczne, wyłączone	1.1.0
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Ustanawianie i utrzymywanie spisu zasobów	CMA_0266 — ustanawianie i utrzymywanie spisu zasobów	Ręczne, wyłączone	1.1.0
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów	CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów	Ręczne, wyłączone	1.1.0
Instalowanie systemu alarmowego	CMA_0338 — instalowanie systemu alarmów	Ręczne, wyłączone	1.1.0
Zarządzanie bezpiecznym systemem kamer monitoringu	CMA_0354 — zarządzanie bezpiecznym systemem kamer monitoringu	Ręczne, wyłączone	1.1.0
Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych	CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych	Ręczne, wyłączone	1.1.0

4. Zapobieganie naruszeniu poświadczeń

Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł.

Id: SWIFT CSCF v2022 4.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł	AuditIfNotExists, Disabled	3.1.0
Inspekcja maszyn z systemem Linux z kontami bez haseł	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł	AuditIfNotExists, Disabled	3.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24	AuditIfNotExists, Disabled	2.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni	AuditIfNotExists, Disabled	2.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień	AuditIfNotExists, Disabled	2.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła	AuditIfNotExists, Disabled	2.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków	AuditIfNotExists, Disabled	2.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux	Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows	Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia	CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia	Ręczne, wyłączone	1.1.0
Ustanawianie zasad haseł	CMA_0256 — ustanawianie zasad haseł	Ręczne, wyłączone	1.1.0
Ustanawianie typów i procesów wystawców uwierzytelnianych	CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych	Ręczne, wyłączone	1.1.0
Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania	CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych	Ręczne, wyłączone	1.1.0
Zarządzanie okresem istnienia wystawcy uwierzytelnienia i używaniem go ponownie	CMA_0355 — zarządzanie okresem istnienia i ponownym użyciem wystawcy uwierzytelnienia	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Zapobieganie naruszeniu jednego czynnika uwierzytelniania umożliwia dostęp do systemów lub aplikacji związanych z usługą SWIFT przez zaimplementowanie uwierzytelniania wieloskładnikowego.

ID: SWIFT CSCF v2022 4.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe	Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów.	AuditIfNotExists, Disabled	1.0.0
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe	Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów.	AuditIfNotExists, Disabled	1.0.0
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe	Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów.	AuditIfNotExists, Disabled	1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych	CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych	Ręczne, wyłączone	1.1.0

5. Zarządzanie tożsamościami i segregowanie uprawnień

Wymuszanie zasad zabezpieczeń związanych z dostępem do wiedzy, najniższymi uprawnieniami i rozdzieleniem obowiązków dla kont operatorów.

Identyfikator: SWIFT CSCF v2022 5.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli	Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela.	AuditIfNotExists, Disabled	3.0.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Przypisywanie menedżerów kont	CMA_0015 — przypisywanie menedżerów kont	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli certyfikaty w określonym magazynie mają datę wygaśnięcia spoza zakresu dla liczby dni podanych jako parametr. Zasady udostępniają również opcję sprawdzania tylko określonych certyfikatów lub wykluczania określonych certyfikatów oraz tego, czy raportować wygasłe certyfikaty.	auditIfNotExists	2.0.0
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte	Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania.	AuditIfNotExists, Disabled	1.0.0
Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte	Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania.	AuditIfNotExists, Disabled	1.0.0
Definiowanie autoryzacji dostępu w celu obsługi rozdzielenia obowiązków	CMA_0116 — definiowanie autoryzacji dostępu w celu obsługi rozdzielenia obowiązków	Ręczne, wyłączone	1.1.0
Definiowanie typów kont systemu informacyjnego	CMA_0121 — definiowanie typów kont systemu informacyjnego	Ręczne, wyłączone	1.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows	Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Projektowanie modelu kontroli dostępu	CMA_0129 — projektowanie modelu kontroli dostępu	Ręczne, wyłączone	1.1.0
Wyłączanie wystawców uwierzytelnień po zakończeniu	CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu	Ręczne, wyłączone	1.1.0
Uprawnienia dostępu do dokumentów	CMA_0186 — uprawnienia dostępu do dokumentu	Ręczne, wyłączone	1.1.0
Dokument rozdzielania obowiązków	CMA_0204 — dokument rozdzielania obowiązków	Ręczne, wyłączone	1.1.0
Stosowanie dostępu z najniższymi uprawnieniami	CMA_0212 — stosowanie dostępu do najniższych uprawnień	Ręczne, wyłączone	1.1.0
Ustanawianie warunków członkostwa w rolach	CMA_0269 — ustanawianie warunków członkostwa w rolach	Ręczne, wyłączone	1.1.0
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć	Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte	Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte	Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Monitorowanie aktywności konta	CMA_0377 — monitorowanie aktywności konta	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0
Ochrona informacji inspekcji	CMA_0401 — ochrona informacji inspekcji	Ręczne, wyłączone	1.1.0
Ponowne przypisywanie lub usuwanie uprawnień użytkownika zgodnie z potrzebami	CMA_C1040 — przypisz ponownie lub usuń uprawnienia użytkownika zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do uprzywilejowanych kont	CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych	Ręczne, wyłączone	1.1.0
Przeglądanie dzienników aprowizacji kont	CMA_0460 — przeglądanie dzienników aprowizacji kont	Ręczne, wyłączone	1.1.0
Przeglądanie kont użytkowników	CMA_0480 — przeglądanie kont użytkowników	Ręczne, wyłączone	1.1.0
Przeglądanie uprawnień użytkownika	CMA_C1039 — przeglądanie uprawnień użytkownika	Ręczne, wyłączone	1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami	CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Oddzielne obowiązki osób fizycznych	CMA_0492 - Oddzielne obowiązki osób fizycznych	Ręczne, wyłączone	1.1.0
Do subskrypcji powinien być przypisany więcej niż jeden właściciel	Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora.	AuditIfNotExists, Disabled	3.0.0

Upewnij się, że odpowiednie zarządzanie, śledzenie i korzystanie z połączonego i odłączonego uwierzytelniania sprzętowego lub osobistych tokenów (gdy są używane tokeny).

Id: SWIFT CSCF v2022 5.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Dystrybuowanie wystawców uwierzytelnień	CMA_0184 — dystrybuowanie wystawców uwierzytelnień	Ręczne, wyłączone	1.1.0
Ustanawianie typów i procesów wystawców uwierzytelnianych	CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych	Ręczne, wyłączone	1.1.0
Ustanawianie procedur początkowej dystrybucji wystawców uwierzytelnianych	CMA_0276 — ustanawianie procedur wstępnej dystrybucji wystawców uwierzytelnianych	Ręczne, wyłączone	1.1.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time	Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami	AuditIfNotExists, Disabled	3.0.0
Weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia	CMA_0538 — weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia	Ręczne, wyłączone	1.1.0

W zakresie dozwolonym i praktycznym należy zapewnić wiarygodność personelu działającego w lokalnym środowisku SWIFT, wykonując regularne badania przesiewowe pracowników.

Id: SWIFT CSCF v2022 5.3A Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wyczyść personel z dostępem do informacji niejawnych	CMA_0054 — wyczyść personel z dostępem do informacji niejawnych	Ręczne, wyłączone	1.1.0
Upewnij się, że umowy dostępu są podpisane lub zrezygnowane w odpowiednim czasie	CMA_C1528 — zapewnianie podpisania lub rezygnacji umów dotyczących dostępu	Ręczne, wyłączone	1.1.0
Implementowanie kontroli personelu	CMA_0322 — wdrażanie badań przesiewowych personelu	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0
Ponowne ekrany poszczególnych osób z zdefiniowaną częstotliwością	CMA_C1512 — ponowne ekrany poszczególnych osób z zdefiniowaną częstotliwością	Ręczne, wyłączone	1.1.0

Ochrona fizycznie i logicznie repozytorium zarejestrowanych haseł.

Id: SWIFT CSCF v2022 5.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego	Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego	AuditIfNotExists, Disabled	2.0.0
Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia	CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia	Ręczne, wyłączone	1.1.0
Ustanawianie zasad haseł	CMA_0256 — ustanawianie zasad haseł	Ręczne, wyłączone	1.1.0
Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania	CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych	Ręczne, wyłączone	1.1.0
Magazyny kluczy powinny mieć włączoną ochronę usuwania	Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe.	Inspekcja, Odmowa, Wyłączone	2.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji

Upewnij się, że lokalna infrastruktura SWIFT jest chroniona przed złośliwym oprogramowaniem i działa na podstawie wyników.

Identyfikator: SWIFT CSCF v2022 6.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Korelowanie rekordów inspekcji	CMA_0087 — korelowanie rekordów inspekcji	Ręczne, wyłączone	1.1.0
Korelowanie informacji o skanowaniu luk w zabezpieczeniach	CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych	Przeprowadź inspekcję istnienia i kondycji rozwiązania ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach.	AuditIfNotExists, Disabled	3.0.0
Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania	CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania	Ręczne, wyłączone	1.1.0
Implementowanie uprzywilejowanego dostępu do wykonywania działań skanowania luk w zabezpieczeniach	CMA_C1555 — implementowanie uprzywilejowanego dostępu do wykonywania działań skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Integrowanie przeglądu inspekcji, analizy i raportowania	CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania	Ręczne, wyłączone	1.1.0
Integrowanie usługi Cloud App Security z rozwiązaniem siem	CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony	Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows, które nie zostały skonfigurowane przy użyciu automatycznej aktualizacji sygnatur ochrony przed złośliwym kodem firmy Microsoft.	AuditIfNotExists, Disabled	1.0.0
Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows	Te zasady przeprowadzają inspekcję dowolnej maszyny wirtualnej z systemem Windows server bez wdrożonego rozszerzenia IaaSAntimalware firmy Microsoft.	AuditIfNotExists, Disabled	1.1.0
Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center	Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia	AuditIfNotExists, Disabled	3.0.0
Obserwowanie słabych stron zabezpieczeń i zgłaszanie ich	CMA_0384 — obserwowanie i zgłaszanie słabych stron zabezpieczeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Wykonywanie modelowania zagrożeń	CMA_0392 — wykonywanie modelowania zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Przeglądanie dzienników aprowizacji kont	CMA_0460 — przeglądanie dzienników aprowizacji kont	Ręczne, wyłączone	1.1.0
Przeglądanie przypisań administratorów co tydzień	CMA_0461 — cotygodniowe przeglądanie przypisań administratorów	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0
Przegląd raportu tożsamości w chmurze — omówienie	CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie	Ręczne, wyłączone	1.1.0
Przeglądanie kontrolowanych zdarzeń dostępu do folderów	CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów	Ręczne, wyłączone	1.1.0
Przegląd zdarzeń ochrony przed programami wykorzystującym luki w zabezpieczeniach	CMA_0472 — przegląd zdarzeń ochrony przed programami wykorzystującym luki w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Przeglądanie działania plików i folderów	CMA_0473 — przeglądanie działania plików i folderów	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Przeglądanie zmian w grupie ról co tydzień	CMA_0476 — przegląd zmian grupy ról co tydzień	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	Ręczne, wyłączone	1.1.0

Upewnij się, że integralność oprogramowania składników związanych z językiem SWIFT i postępuj zgodnie z wynikami.

Id: SWIFT CSCF v2022 6.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Stosowanie automatycznego zamykania/ponownego uruchamiania po wykryciu naruszeń	CMA_C1715 — stosowanie automatycznego zamykania/ponownego uruchamiania po wykryciu naruszeń	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	Ręczne, wyłączone	1.1.0
Wyświetlanie i konfigurowanie danych diagnostycznych systemu	CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu	Ręczne, wyłączone	1.1.0

Upewnij się, że integralność rekordów bazy danych dla interfejsu obsługi komunikatów SWIFT lub łącznika klienta i postępuj zgodnie z wynikami.

ID: SWIFT CSCF v2022 6.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	Ręczne, wyłączone	1.1.0
Wyświetlanie i konfigurowanie danych diagnostycznych systemu	CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu	Ręczne, wyłączone	1.1.0

Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT.

Id: SWIFT CSCF v2022 6.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych	Zgłasza maszyny wirtualne jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane.	AuditIfNotExists, Disabled	Wersja zapoznawcza 2.0.1
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux	Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe.	AuditIfNotExists, Disabled	1.0.2—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows	Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe.	AuditIfNotExists, Disabled	1.0.2—wersja zapoznawcza
Dziennik aktywności powinien być zachowywany przez co najmniej jeden rok	Te zasady sprawdzają dziennik aktywności, jeśli okres przechowywania nie jest ustawiony na 365 dni lub na zawsze (dni przechowywania ustawione na 0).	AuditIfNotExists, Disabled	1.0.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika	Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	Modyfikowanie	4.1.0
Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym	Przeprowadź inspekcję zasobów dziennika przepływu, aby sprawdzić, czy stan dziennika przepływu jest włączony. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o przepływie ruchu IP. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko.	Inspekcja, wyłączone	1.0.1
Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów	Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona.	AuditIfNotExists, Disabled	2.0.1
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii	Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Automatyczna aprowizacja agenta usługi Log Analytics powinna być włączona w ramach subskrypcji	Aby monitorować luki w zabezpieczeniach i zagrożenia, usługa Azure Security Center zbiera dane z maszyn wirtualnych platformy Azure. Dane są zbierane przez agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Zalecamy włączenie automatycznej aprowizacji w celu automatycznego wdrożenia agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure.	AuditIfNotExists, Disabled	1.0.1
Usługa Azure Backup powinna być włączona dla maszyn wirtualnych	Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure.	AuditIfNotExists, Disabled	3.0.0
Usługa Azure Defender for App Service powinna być włączona	Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych.	AuditIfNotExists, Disabled	1.0.3
Usługa Azure Defender dla usługi Key Vault powinna być włączona	Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich.	AuditIfNotExists, Disabled	1.0.3
Usługa Azure Defender dla serwerów powinna być włączona	Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań.	AuditIfNotExists, Disabled	1.0.3
Profil dziennika usługi Azure Monitor powinien zbierać dzienniki dla kategorii "write", "delete" i "action"	Te zasady zapewniają, że profil dziennika zbiera dzienniki dla kategorii "write", "delete" i "action"	AuditIfNotExists, Disabled	1.0.0
Klastry dzienników usługi Azure Monitor powinny być tworzone z włączonym szyfrowaniem infrastruktury (podwójne szyfrowanie)	Aby zapewnić włączenie bezpiecznego szyfrowania danych na poziomie usługi i poziomu infrastruktury z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami, należy użyć dedykowanego klastra usługi Azure Monitor. Ta opcja jest domyślnie włączona, jeśli jest obsługiwana w regionie, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone	1.1.0
Klastry dzienników usługi Azure Monitor powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta	Tworzenie klastra dzienników usługi Azure Monitor przy użyciu szyfrowania kluczy zarządzanych przez klienta. Domyślnie dane dziennika są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia wymagań zgodności z przepisami. Klucz zarządzany przez klienta w usłudze Azure Monitor zapewnia większą kontrolę nad dostępem do danych. Zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone	1.1.0
Dzienniki usługi Azure Monitor dla Szczegółowe informacje aplikacji powinny być połączone z obszarem roboczym usługi Log Analytics	Połącz składnik Application Szczegółowe informacje z obszarem roboczym usługi Log Analytics w celu szyfrowania dzienników. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i uzyskania większej kontroli nad dostępem do danych w usłudze Azure Monitor. Łączenie składnika z obszarem roboczym usługi Log Analytics, który jest włączony przy użyciu klucza zarządzanego przez klienta, gwarantuje, że dzienniki aplikacji Szczegółowe informacje spełniają to wymaganie dotyczące zgodności, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone	1.1.0
Usługa Azure Monitor powinna zbierać dzienniki aktywności ze wszystkich regionów	Te zasady przeprowadzają inspekcję profilu dziennika usługi Azure Monitor, który nie eksportuje działań ze wszystkich regionów pomoc techniczna platformy Azure, w tym globalnych.	AuditIfNotExists, Disabled	2.0.0
Należy wdrożyć rozwiązanie Azure Monitor "Zabezpieczenia i inspekcja"	Te zasady zapewniają wdrożenie zabezpieczeń i inspekcji.	AuditIfNotExists, Disabled	1.0.0
Korelowanie rekordów inspekcji	CMA_0087 — korelowanie rekordów inspekcji	Ręczne, wyłączone	1.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows	Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania	CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania	Ręczne, wyłączone	1.1.0
Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń	Przeprowadź inspekcję sieciowych grup zabezpieczeń, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym za pośrednictwem sieciowej grupy zabezpieczeń. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko.	Inspekcja, wyłączone	1.1.0
Integrowanie przeglądu inspekcji, analizy i raportowania	CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania	Ręczne, wyłączone	1.1.0
Integrowanie usługi Cloud App Security z rozwiązaniem siem	CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem	Ręczne, wyłączone	1.1.0
Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych	Raportuje zestawy skalowania maszyn wirtualnych jako niezgodne, jeśli obraz maszyny wirtualnej nie znajduje się na liście zdefiniowanej i rozszerzenie nie jest zainstalowane.	AuditIfNotExists, Disabled	2.0.1
Usługa Microsoft Defender for Storage powinna być włączona	Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami.	AuditIfNotExists, Disabled	1.0.0
Dzienniki przepływu usługi Network Watcher powinny mieć włączoną analizę ruchu	Analiza ruchu analizuje dzienniki przepływów, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Może służyć do wizualizowania aktywności sieci w ramach subskrypcji platformy Azure i identyfikowania punktów aktywnych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu, wskazywania błędów konfiguracji sieci i nie tylko.	Inspekcja, wyłączone	1.0.1
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Zapewnianie alertów w czasie rzeczywistym dla błędów zdarzeń inspekcji	CMA_C1114 — udostępnianie alertów w czasie rzeczywistym dla błędów zdarzeń inspekcji	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Dzienniki zasobów na kontach usługi Batch powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Key Vault powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Logic Apps powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.1.0
Dzienniki zasobów w usługa wyszukiwania powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Service Bus powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Przeglądanie dzienników aprowizacji kont	CMA_0460 — przeglądanie dzienników aprowizacji kont	Ręczne, wyłączone	1.1.0
Przeglądanie przypisań administratorów co tydzień	CMA_0461 — cotygodniowe przeglądanie przypisań administratorów	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0
Przegląd raportu tożsamości w chmurze — omówienie	CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie	Ręczne, wyłączone	1.1.0
Przeglądanie kontrolowanych zdarzeń dostępu do folderów	CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów	Ręczne, wyłączone	1.1.0
Przegląd zdarzeń ochrony przed programami wykorzystującym luki w zabezpieczeniach	CMA_0472 — przegląd zdarzeń ochrony przed programami wykorzystującym luki w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Przeglądanie działania plików i folderów	CMA_0473 — przeglądanie działania plików i folderów	Ręczne, wyłączone	1.1.0
Przeglądanie zmian w grupie ról co tydzień	CMA_0476 — przegląd zmian grupy ról co tydzień	Ręczne, wyłączone	1.1.0
Zapisane zapytania w usłudze Azure Monitor powinny być zapisywane na koncie magazynu klienta na potrzeby szyfrowania dzienników	Połącz konto magazynu z obszarem roboczym usługi Log Analytics, aby chronić zapisane zapytania przy użyciu szyfrowania konta magazynu. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i większej kontroli nad dostępem do zapisanych zapytań w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat powyższych informacji, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone	1.1.0
Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK	Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0
Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych	Te zasady przeprowadzają inspekcję wszystkich zestawów skalowania maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane.	AuditIfNotExists, Disabled	1.0.1
Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics	Te zasady przeprowadzają inspekcję wszystkich maszyn wirtualnych z systemem Windows/Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane.	AuditIfNotExists, Disabled	1.0.1

Wykrywanie i zawieranie nietypowych działań sieciowych w lokalnym lub zdalnym środowisku SWIFT.

Identyfikator: SWIFT CSCF v2022 6.5A Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux	Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe.	AuditIfNotExists, Disabled	1.0.2—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows	Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe.	AuditIfNotExists, Disabled	1.0.2—wersja zapoznawcza
Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu	Usługa Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków	AuditIfNotExists, Disabled	3.0.0
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie, monitorowanie i kontrolowanie voip	CMA_0025 — autoryzowanie, monitorowanie i kontrolowanie voip	Ręczne, wyłączone	1.1.0
Usługa Azure Defender for App Service powinna być włączona	Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych.	AuditIfNotExists, Disabled	1.0.3
Usługa Azure Defender dla usługi Key Vault powinna być włączona	Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich.	AuditIfNotExists, Disabled	1.0.3
Usługa Azure Defender dla serwerów powinna być włączona	Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań.	AuditIfNotExists, Disabled	1.0.3
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Operacje zabezpieczeń dokumentu	CMA_0202 — operacje zabezpieczeń dokumentu	Ręczne, wyłączone	1.1.0
Implementowanie ochrony granic systemu	CMA_0328 — implementowanie ochrony granic systemu	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Usługa Microsoft Defender for Storage powinna być włączona	Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami.	AuditIfNotExists, Disabled	1.0.0
Usługa Network Watcher powinna być włączona	Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie.	AuditIfNotExists, Disabled	3.0.0
Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci	CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	Ręczne, wyłączone	1.1.0

7. Planowanie reagowania na zdarzenia i udostępniania informacji

Zapewnienie spójnego i skutecznego podejścia do zarządzania incydentami cybernetycznymi.

Id: SWIFT CSCF v2022 7.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Rozwiązywanie problemów z zabezpieczeniami informacji	CMA_C1742 — rozwiązywanie problemów z zabezpieczeniami informacji	Ręczne, wyłączone	1.1.0
Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone	Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center.	AuditIfNotExists, Disabled	1.1.0
Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności	Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center.	AuditIfNotExists, Disabled	2.1.0
Identyfikowanie klas zdarzeń i wykonanych akcji	CMA_C1365 — identyfikowanie klas zdarzeń i akcji podjętych	Ręczne, wyłączone	1.1.0
Dołączanie symulowanych zdarzeń do trenowania reagowania na zdarzenia	CMA_C1356 — dołączanie symulowanych zdarzeń do szkolenia reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia rozlewu informacji	CMA_0413 — udostępnianie szkoleń dotyczących wycieku informacji	Ręczne, wyłączone	1.1.0
Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia	CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami	Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center.	AuditIfNotExists, Disabled	1.0.1

Upewnij się, że wszyscy pracownicy są świadomi i wypełniają swoje obowiązki w zakresie bezpieczeństwa, wykonując regularne działania w zakresie świadomości i zachowując wiedzę na temat bezpieczeństwa pracowników z uprzywilejowanym dostępem.

Id: SWIFT CSCF v2022 7.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności	CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności	Ręczne, wyłączone	1.1.0
Zapewnianie okresowego trenowania zabezpieczeń opartego na rolach	CMA_C1095 — zapewnianie okresowego trenowania zabezpieczeń opartego na rolach	Ręczne, wyłączone	1.1.0
Zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń	CMA_C1091 — zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia w zakresie prywatności	CMA_0415 — zapewnianie szkolenia w zakresie prywatności	Ręczne, wyłączone	1.1.0
Zapewnianie praktycznych ćwiczeń opartych na rolach	CMA_C1096 — zapewnianie praktycznych ćwiczeń opartych na rolach	Ręczne, wyłączone	1.1.0
Zapewnianie trenowania zabezpieczeń opartego na rolach	CMA_C1094 — zapewnianie trenowania zabezpieczeń opartego na rolach	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia opartego na rolach na podejrzanych działaniach	CMA_C1097 — zapewnianie szkolenia opartego na rolach na podejrzanych działaniach	Ręczne, wyłączone	1.1.0
Zapewnianie szkoleń dotyczących świadomości zabezpieczeń pod kątem zagrożeń poufnych	CMA_0417 — zapewnianie szkoleń dotyczących świadomości zabezpieczeń pod kątem zagrożeń poufnych	Ręczne, wyłączone	1.1.0
Zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu	CMA_0418 — zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu	Ręczne, wyłączone	1.1.0
Zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników	CMA_0419 — zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników	Ręczne, wyłączone	1.1.0
Zapewnianie zaktualizowanego szkolenia w zakresie świadomości zabezpieczeń	CMA_C1090 — zapewnianie zaktualizowanych szkoleń dotyczących świadomości zabezpieczeń	Ręczne, wyłączone	1.1.0

Zweryfikuj konfigurację zabezpieczeń operacyjnych i zidentyfikuj luki w zabezpieczeniach, wykonując testy penetracyjne.

Identyfikator: SWIFT CSCF v2022 7.3A Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Zatrudniaj niezależny zespół do testowania penetracyjnego	CMA_C1171 — zatrudniaj niezależny zespół do testowania penetracyjnego	Ręczne, wyłączone	1.1.0
Wymaganie od deweloperów tworzenia architektury zabezpieczeń	CMA_C1612 — wymaganie od deweloperów tworzenia architektury zabezpieczeń	Ręczne, wyłączone	1.1.0

Oceń ryzyko i gotowość organizacji na podstawie prawdopodobnych scenariuszy cyberataków.

ID: SWIFT CSCF v2022 7.4A Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie oceny ryzyka	CMA_C1543 — przeprowadzanie oceny ryzyka	Ręczne, wyłączone	1.1.0
Przeprowadzanie oceny ryzyka i rozpowszechnianie wyników	CMA_C1544 — przeprowadzanie oceny ryzyka i rozpowszechnianie wyników	Ręczne, wyłączone	1.1.0
Przeprowadzanie oceny ryzyka i dokumentowanie wyników	CMA_C1542 — przeprowadzanie oceny ryzyka i dokumentowanie wyników	Ręczne, wyłączone	1.1.0
Ustanawianie strategii zarządzania ryzykiem	CMA_0258 — ustanawianie strategii zarządzania ryzykiem	Ręczne, wyłączone	1.1.0
Implementowanie strategii zarządzania ryzykiem	CMA_C1744 — implementowanie strategii zarządzania ryzykiem	Ręczne, wyłączone	1.1.0
Przeprowadzanie oceny ryzyka	CMA_0388 — przeprowadzanie oceny ryzyka	Ręczne, wyłączone	1.1.0
Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka	CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka	Ręczne, wyłączone	1.1.0

8. Ustawianie i monitorowanie wydajności

Zapewnianie dostępności przez formalne ustawianie i monitorowanie celów, które mają zostać osiągnięte

Id: SWIFT CSCF v2022 8.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Koordynowanie planów awaryjnych z powiązanymi planami	CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami	Ręczne, wyłączone	1.1.0
Opracowywanie planu awaryjnego	CMA_C1244 — opracowywanie planu awaryjnego	Ręczne, wyłączone	1.1.0
Uzyskiwanie opinii prawnej na temat monitorowania działań systemu	CMA_C1688 — uzyskiwanie opinii prawnej na temat monitorowania działań systemowych	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Planowanie ciągłości podstawowych funkcji biznesowych	CMA_C1255 — planowanie ciągłości podstawowych funkcji biznesowych	Ręczne, wyłączone	1.1.0
Planowanie wznowienia podstawowych funkcji biznesowych	CMA_C1253 — planowanie wznowienia podstawowych funkcji biznesowych	Ręczne, wyłączone	1.1.0
Podaj informacje dotyczące monitorowania zgodnie z potrzebami	CMA_C1689 — podaj informacje dotyczące monitorowania zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Wznawianie wszystkich funkcji służbowych i biznesowych	CMA_C1254 — wznawianie wszystkich funkcji służbowych i biznesowych	Ręczne, wyłączone	1.1.0

Zapewnianie dostępności, pojemności i jakości usług klientom

ID: SWIFT CSCF v2022 8.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie planowania pojemności	CMA_C1252 — Przeprowadzanie planowania pojemności	Ręczne, wyłączone	1.1.0
Koordynowanie planów awaryjnych z powiązanymi planami	CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami	Ręczne, wyłączone	1.1.0
Tworzenie alternatywnych akcji dla zidentyfikowanych anomalii	CMA_C1711 — tworzenie alternatywnych akcji dla zidentyfikowanych anomalii	Ręczne, wyłączone	1.1.0
Opracowywanie planu awaryjnego	CMA_C1244 — opracowywanie planu awaryjnego	Ręczne, wyłączone	1.1.0
Powiadamianie personelu o wszelkich nieudanych testach weryfikacji zabezpieczeń	CMA_C1710 — powiadamianie personelu o wszelkich nieudanych testach weryfikacji zabezpieczeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie weryfikacji funkcji zabezpieczeń z zdefiniowaną częstotliwością	CMA_C1709 — przeprowadzanie weryfikacji funkcji zabezpieczeń z określoną częstotliwością	Ręczne, wyłączone	1.1.0
Planowanie ciągłości podstawowych funkcji biznesowych	CMA_C1255 — planowanie ciągłości podstawowych funkcji biznesowych	Ręczne, wyłączone	1.1.0

Zapewnij wczesną dostępność wersji SWIFTNet i standardów FIN na potrzeby odpowiedniego testowania przez klienta przed rozpoczęciem działania.

ID: SWIFT CSCF v2022 8.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Rozwiązywanie problemów z kodowaniem	CMA_0003 — rozwiązywanie problemów z kodowaniem	Ręczne, wyłączone	1.1.0
Opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji	CMA_0148 — opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji	Ręczne, wyłączone	1.1.0
Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia	CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania	Ręczne, wyłączone	1.1.0
Ustanawianie bezpiecznego programu programistycznego	CMA_0259 — ustanawianie bezpiecznego programu tworzenia oprogramowania	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu	CMA_C1597 — wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu	Ręczne, wyłączone	1.1.0
Wymagaj od deweloperów implementowania tylko zatwierdzonych zmian	CMA_C1596 — wymagaj od deweloperów implementowania tylko zatwierdzonych zmian	Ręczne, wyłączone	1.1.0
Wymaganie od deweloperów zarządzania integralnością zmian	CMA_C1595 — wymagaj od deweloperów zarządzania integralnością zmian	Ręczne, wyłączone	1.1.0
Wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń	CMA_C1602 — wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń	Ręczne, wyłączone	1.1.0
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	Ręczne, wyłączone	1.1.0

9. Zapewnianie dostępności za pomocą odporności

Dostawcy muszą zapewnić, że usługa pozostaje dostępna dla klientów w przypadku lokalnych zakłóceń lub awarii.

ID: SWIFT CSCF v2022 9.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie testów reagowania na zdarzenia	CMA_0060 — przeprowadzanie testów reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Koordynowanie planów awaryjnych z powiązanymi planami	CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami	Ręczne, wyłączone	1.1.0
Opracowywanie planu awaryjnego	CMA_C1244 — opracowywanie planu awaryjnego	Ręczne, wyłączone	1.1.0
Opracowywanie zasad i procedur planowania awaryjnego	CMA_0156 — Opracowywanie zasad i procedur planowania awaryjnego	Ręczne, wyłączone	1.1.0
Dystrybuowanie zasad i procedur	CMA_0185 — dystrybuowanie zasad i procedur	Ręczne, wyłączone	1.1.0
Ustanawianie programu zabezpieczeń informacji	CMA_0263 — ustanawianie programu zabezpieczeń informacji	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia awaryjnego	CMA_0412 — zapewnianie szkolenia awaryjnego	Ręczne, wyłączone	1.1.0
Uruchamianie ataków symulacji	CMA_0486 — uruchamianie ataków symulacji	Ręczne, wyłączone	1.1.0

Dostawcy muszą zapewnić dostępność usługi dla klientów w przypadku awarii lokacji.

Identyfikator: SWIFT CSCF v2022 9.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wykonywanie kopii zapasowej dokumentacji systemu informacyjnego	CMA_C1289 — wykonywanie kopii zapasowej dokumentacji systemu informacyjnego	Ręczne, wyłączone	1.1.0
Tworzenie oddzielnych alternatywnych i głównych lokacji magazynu	CMA_C1269 — tworzenie oddzielnych alternatywnych i głównych lokacji magazynu	Ręczne, wyłączone	1.1.0
Upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej	CMA_C1268 — upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej	Ręczne, wyłączone	1.1.0
Ustanawianie alternatywnej lokacji magazynu, która ułatwia operacje odzyskiwania	CMA_C1270 — ustanawianie alternatywnej lokacji magazynu, która ułatwia operacje odzyskiwania	Ręczne, wyłączone	1.1.0
Ustanawianie alternatywnej lokacji magazynu do przechowywania i pobierania informacji o kopii zapasowej	CMA_C1267 — ustanawianie alternatywnej lokacji magazynu w celu przechowywania i pobierania informacji o kopii zapasowej	Ręczne, wyłączone	1.1.0
Ustanawianie alternatywnej lokacji przetwarzania	CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania	Ręczne, wyłączone	1.1.0
Ustanawianie wymagań dla dostawców usług internetowych	CMA_0278 — określanie wymagań dla dostawców usług internetowych	Ręczne, wyłączone	1.1.0
Identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu	CMA_C1271 — identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu	Ręczne, wyłączone	1.1.0
Przygotowywanie alternatywnej lokacji przetwarzania do użycia jako lokacja operacyjna	CMA_C1278 — przygotowanie alternatywnej lokacji przetwarzania do użycia jako lokacja operacyjna	Ręczne, wyłączone	1.1.0
Odzyskiwanie i ponowne zastępowanie zasobów po wystąpieniu zakłóceń	CMA_C1295 — odzyskiwanie i ponowne odtworzenie zasobów po wystąpieniu zakłóceń	Ręczne, wyłączone	1.1.1
Przywracanie zasobów do stanu operacyjnego	CMA_C1297 — przywracanie zasobów do stanu operacyjnego	Ręczne, wyłączone	1.1.1
Oddzielnie przechowuj informacje o kopii zapasowej	CMA_C1293 — oddzielnie przechowuj informacje o kopii zapasowej	Ręczne, wyłączone	1.1.0
Transferowanie informacji o kopii zapasowej do alternatywnej lokacji magazynu	CMA_C1294 — przenoszenie informacji o kopii zapasowej do alternatywnej lokacji magazynu	Ręczne, wyłączone	1.1.0

Biura obsługi muszą zapewnić, że usługa pozostaje dostępna dla swoich klientów w przypadku wystąpienia zakłóceń, zagrożenia lub zdarzenia.

Id: SWIFT CSCF v2022 9.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii	CMA_0146 — opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii	Ręczne, wyłączone	1.1.0
Opracowywanie planu awaryjnego	CMA_C1244 — opracowywanie planu awaryjnego	Ręczne, wyłączone	1.1.0
Stosowanie automatycznego oświetlenia awaryjnego	CMA_0209 — stosowanie automatycznego oświetlenia awaryjnego	Ręczne, wyłączone	1.1.0
Implementowanie metodologii testowania penetracyjnego	CMA_0306 — implementowanie metodologii testowania penetracyjnego	Ręczne, wyłączone	1.1.0
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów	CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów	Ręczne, wyłączone	1.1.0
Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych	CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych	Ręczne, wyłączone	1.1.0
Uruchamianie ataków symulacji	CMA_0486 — uruchamianie ataków symulacji	Ręczne, wyłączone	1.1.0

Dostępność i jakość usług dostawców są zapewniane przy użyciu zalecanych pakietów łączności SWIFT i odpowiedniej przepustowości linii

IDENTYFIKATOR: SWIFT CSCF v2022 9.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie, monitorowanie i kontrolowanie voip	CMA_0025 — autoryzowanie, monitorowanie i kontrolowanie voip	Ręczne, wyłączone	1.1.0
Przeprowadzanie planowania pojemności	CMA_C1252 — Przeprowadzanie planowania pojemności	Ręczne, wyłączone	1.1.0
Implementowanie ochrony granic systemu	CMA_0328 — implementowanie ochrony granic systemu	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci	CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci	Ręczne, wyłączone	1.1.0

10. Bądź gotowy w przypadku poważnej awarii

Ciągłość działalności biznesowej jest zapewniana za pośrednictwem udokumentowanego planu przekazanego potencjalnie dotkniętym stronom (biuro obsługi i klienci).

Identyfikator: SWIFT CSCF v2022 10.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Koordynowanie planów awaryjnych z powiązanymi planami	CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami	Ręczne, wyłączone	1.1.0
Opracowywanie planu awaryjnego	CMA_C1244 — opracowywanie planu awaryjnego	Ręczne, wyłączone	1.1.0
Planowanie ciągłości podstawowych funkcji biznesowych	CMA_C1255 — planowanie ciągłości podstawowych funkcji biznesowych	Ręczne, wyłączone	1.1.0
Planowanie wznowienia podstawowych funkcji biznesowych	CMA_C1253 — planowanie wznowienia podstawowych funkcji biznesowych	Ręczne, wyłączone	1.1.0
Wznawianie wszystkich funkcji służbowych i biznesowych	CMA_C1254 — wznawianie wszystkich funkcji służbowych i biznesowych	Ręczne, wyłączone	1.1.0

11. Monitorowanie w przypadku poważnej awarii

Zapewnij spójne i skuteczne podejście do monitorowania i eskalacji zdarzeń.

IDENTYFIKATOR: SWIFT CSCF v2022 11.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Operacje zabezpieczeń dokumentu	CMA_0202 — operacje zabezpieczeń dokumentu	Ręczne, wyłączone	1.1.0
Uzyskiwanie opinii prawnej na temat monitorowania działań systemu	CMA_C1688 — uzyskiwanie opinii prawnej na temat monitorowania działań systemowych	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Podaj informacje dotyczące monitorowania zgodnie z potrzebami	CMA_C1689 — podaj informacje dotyczące monitorowania zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	Ręczne, wyłączone	1.1.0

Zapewnienie spójnego i skutecznego podejścia do zarządzania zdarzeniami (Zarządzanie problemami).

IDENTYFIKATOR: SWIFT CSCF v2022 11.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ocena zdarzeń zabezpieczeń informacji	CMA_0013 — ocena zdarzeń zabezpieczeń informacji	Ręczne, wyłączone	1.1.0
Przeprowadzanie testów reagowania na zdarzenia	CMA_0060 — przeprowadzanie testów reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Opracowywanie zabezpieczeń	CMA_0161 — opracowywanie zabezpieczeń	Ręczne, wyłączone	1.1.0
Operacje zabezpieczeń dokumentu	CMA_0202 — operacje zabezpieczeń dokumentu	Ręczne, wyłączone	1.1.0
Włączanie ochrony sieci	CMA_0238 — włączanie ochrony sieci	Ręczne, wyłączone	1.1.0
Eliminowanie zanieczyszczonych informacji	CMA_0253 - Eliminowanie zanieczyszczonych informacji	Ręczne, wyłączone	1.1.0
Ustanawianie programu zabezpieczeń informacji	CMA_0263 — ustanawianie programu zabezpieczeń informacji	Ręczne, wyłączone	1.1.0
Wykonywanie akcji w odpowiedzi na wycieki informacji	CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji	Ręczne, wyłączone	1.1.0
Identyfikowanie klas zdarzeń i wykonanych akcji	CMA_C1365 — identyfikowanie klas zdarzeń i akcji podjętych	Ręczne, wyłączone	1.1.0
Implementowanie obsługi zdarzeń	CMA_0318 — implementowanie obsługi zdarzeń	Ręczne, wyłączone	1.1.0
Dołączanie symulowanych zdarzeń do trenowania reagowania na zdarzenia	CMA_C1356 — dołączanie symulowanych zdarzeń do szkolenia reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Obsługa rekordów naruszeń danych	CMA_0351 — utrzymywanie rekordów naruszeń danych	Ręczne, wyłączone	1.1.0
Obsługa planu reagowania na zdarzenia	CMA_0352 — obsługa planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Ochrona planu reagowania na zdarzenia	CMA_0405 — ochrona planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia rozlewu informacji	CMA_0413 — udostępnianie szkoleń dotyczących wycieku informacji	Ręczne, wyłączone	1.1.0
Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia	CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Uruchamianie ataków symulacji	CMA_0486 — uruchamianie ataków symulacji	Ręczne, wyłączone	1.1.0
Wyświetlanie i badanie użytkowników z ograniczeniami	CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami	Ręczne, wyłączone	1.1.0

Zapewnij odpowiednią eskalację awarii operacyjnych w przypadku wpływu na klienta.

Id: SWIFT CSCF v2022 11.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Automatyzowanie procesu w celu dokumentowania wdrożonych zmian	CMA_C1195 — automatyzowanie procesu dokumentowania wdrożonych zmian	Ręczne, wyłączone	1.1.0
Automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian	CMA_C1193 — automatyzowanie procesu wyróżniania nieoglądanych propozycji zmian	Ręczne, wyłączone	1.1.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Operacje zabezpieczeń dokumentu	CMA_0202 — operacje zabezpieczeń dokumentu	Ręczne, wyłączone	1.1.0
Włączanie ochrony sieci	CMA_0238 — włączanie ochrony sieci	Ręczne, wyłączone	1.1.0
Eliminowanie zanieczyszczonych informacji	CMA_0253 - Eliminowanie zanieczyszczonych informacji	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0
Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów	CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów	Ręczne, wyłączone	1.1.0
Ustanawianie relacji między możliwościami reagowania na zdarzenia a dostawcami zewnętrznymi	CMA_C1376 — ustanawianie relacji między możliwościami reagowania na zdarzenia i dostawcami zewnętrznymi	Ręczne, wyłączone	1.1.0
Wykonywanie akcji w odpowiedzi na wycieki informacji	CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji	Ręczne, wyłączone	1.1.0
Implementowanie obsługi zdarzeń	CMA_0318 — implementowanie obsługi zdarzeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji	CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji	Ręczne, wyłączone	1.1.0
Wyświetlanie i badanie użytkowników z ograniczeniami	CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami	Ręczne, wyłączone	1.1.0

Efektywna pomoc techniczna jest oferowana klientom w przypadku, gdy napotykają problemy w godzinach pracy.

IDENTYFIKATOR: SWIFT CSCF v2022 11.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Operacje zabezpieczeń dokumentu	CMA_0202 — operacje zabezpieczeń dokumentu	Ręczne, wyłączone	1.1.0
Włączanie ochrony sieci	CMA_0238 — włączanie ochrony sieci	Ręczne, wyłączone	1.1.0
Eliminowanie zanieczyszczonych informacji	CMA_0253 - Eliminowanie zanieczyszczonych informacji	Ręczne, wyłączone	1.1.0
Ustanawianie relacji między możliwościami reagowania na zdarzenia a dostawcami zewnętrznymi	CMA_C1376 — ustanawianie relacji między możliwościami reagowania na zdarzenia i dostawcami zewnętrznymi	Ręczne, wyłączone	1.1.0
Wykonywanie akcji w odpowiedzi na wycieki informacji	CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji	Ręczne, wyłączone	1.1.0
Identyfikowanie personelu reagowania na zdarzenia	CMA_0301 — identyfikowanie personelu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Implementowanie obsługi zdarzeń	CMA_0318 — implementowanie obsługi zdarzeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Wyświetlanie i badanie użytkowników z ograniczeniami	CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami	Ręczne, wyłączone	1.1.0

12. Upewnij się, że wiedza jest dostępna

Zapewnianie jakości obsługi klientom za pośrednictwem certyfikowanych pracowników SWIFT.

ID: SWIFT CSCF v2022 12.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Zapewnianie okresowego trenowania zabezpieczeń opartego na rolach	CMA_C1095 — zapewnianie okresowego trenowania zabezpieczeń opartego na rolach	Ręczne, wyłączone	1.1.0
Zapewnianie trenowania zabezpieczeń opartego na rolach	CMA_C1094 — zapewnianie trenowania zabezpieczeń opartego na rolach	Ręczne, wyłączone	1.1.0
Zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu	CMA_0418 — zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu	Ręczne, wyłączone	1.1.0

Następne kroki

Dodatkowe artykuły dotyczące usługi Azure Policy:

• Omówienie zgodności z przepisami .
• Zobacz strukturę definicji inicjatywy.
• Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
• Przejrzyj wyjaśnienie działania zasad.
• Dowiedz się, jak korygować niezgodne zasoby.