Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Статья Соответствие нормативным требованиям в политике Azure содержит созданные и управляемые корпорацией Майкрософт определения инициатив, называемые встроенными, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. На этой странице перечислены домены соответствия и элементы управления безопасностью для службы хранилища Azure. Вы можете назначить эти встроенные элементы для индивидуального управления безопасностью, чтобы обеспечить соответствие ресурсов Azure какому-либо определенному стандарту.
Заголовок каждого встроенного определения политики связан с определением политики на портале Azure. Перейдите по ссылке в столбце Версия политики, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Внимание
Каждый элемент управления связан с одним или несколькими определениями Политики Azure. Эти политики могут помочь вам оценить уровень соответствия элементу управления. Однако зачастую между контролем и одной или несколькими политиками не бывает полного или однозначного соответствия. Поэтому статус Соответствует в Политике Azure относится только к самим политикам. Он не дает гарантии полного соответствия всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями соответствия нормативным требованиям Политики Azure для этих стандартов соответствия со временем могут меняться.
Защищено Правительством Австралии в рамках ISM
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — Australian Government ISM PROTECTED. Дополнительные сведения об этом стандарте соответствия см. в Australian Government ISM PROTECTED.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Рекомендации по управлению сетями — проектирование и настройка сети | 520 | Средства контроля сетевого доступа — 520 | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Рекомендации по управлению сетями — проектирование и настройка сети | 1182 | Средства контроля сетевого доступа — 1182 | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Рекомендации по работе с системами баз данных — серверы баз данных | 1277 | 1277. Обмен данными между серверами баз данных и веб-серверами | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Рекомендации по укреплению безопасности системы — усиление проверки подлинности | 1546 | Аутентификация в системах — 1546 | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
Федеральная PBMM Канады
Чтобы ознакомиться с тем, как встроенные возможности политики Azure для всех служб соответствуют этому стандарту соответствия, см. статью Политика Azure: нормативное соответствие - Canada Federal PBMM. Для получения дополнительной информации об этом стандарте соответствия см. Canada Federal PBMM.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | AC-17(1) | Удаленный доступ | Автоматический мониторинг и управление | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | SC-7 | Защита границ | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | SC-8(1) | Конфиденциальность и целостность передаваемых данных | Шифрование или дополнительная физическая защита | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
CIS Основные эталонные показатели для Microsoft Azure версии 1.1.0
Чтобы изучить, как доступные встроенные политики Azure для всех служб Azure соответствуют этому стандарту соответствия, см. Руководство по нормативному соответствию Azure Policy - CIS Microsoft Azure Foundations Benchmark 1.1.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| 3. Учетные записи хранения | 3.1 | Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено" | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| 3. Учетные записи хранения | 3,6 | Убедитесь, что параметр "Уровень общего доступа" установлен на "Частный" для контейнеров BLOB. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| 3. Учетные записи хранения | 3,7 | Обеспечение того, что в правиле сетевого доступа по умолчанию для учетных записей хранения задано значение "Отклонить" | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| 3. Учетные записи хранения | 3,8 | Убедитесь что для доступа к учетной записи хранения включен параметр "Доверенные службы Майкрософт" | Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | 1.0.0 |
| 5. Ведение журналов и мониторинг | 5.1.5 | Убедитесь, что контейнер для хранения журналов активности не является общедоступным. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| 5. Ведение журналов и мониторинг | 5.1.6 | Обеспечение того, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью BYOK | Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | 1.0.0 |
Эталонные требования CIS для Microsoft Azure Foundations, версия 1.3.0
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — CIS Microsoft Azure Foundations Benchmark 1.3.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| 3. Учетные записи хранения | 3.1 | Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено" | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| 3. Учетные записи хранения | 3.5 | Убедитесь, что параметр "Уровень общего доступа" установлен на "Частный" для контейнеров BLOB. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| 3. Учетные записи хранения | 3,6 | Обеспечение того, что в правиле сетевого доступа по умолчанию для учетных записей хранения задано значение "Отклонить" | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| 3. Учетные записи хранения | 3,6 | Обеспечение того, что в правиле сетевого доступа по умолчанию для учетных записей хранения задано значение "Отклонить" | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| 3. Учетные записи хранения | 3,7 | Убедитесь что для доступа к учетной записи хранения включен параметр "Доверенные службы Майкрософт" | Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | 1.0.0 |
| 3. Учетные записи хранения | 3,9 | Обеспечение того, что хранилище важных данных зашифровано с помощью ключа, управляемого клиентом | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| 5. Ведение журналов и мониторинг | 5.1.3 | Убедитесь, что контейнер для хранения журналов активности не является общедоступным. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| 5. Ведение журналов и мониторинг | 5.1.4 | Обеспечение того, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью BYOK | Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Чтобы ознакомиться с тем, как доступные встроенные политики Azure для всех служб Azure соответствуют этому стандарту соответствия, см. сведения о соответствии нормативным требованиям Azure Policy для CIS версии 1.4.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| 3. Учетные записи хранения | 3.1 | Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено" | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| 3. Учетные записи хранения | 3.5 | Убедитесь, что параметр "Уровень общего доступа" установлен на "Частный" для контейнеров BLOB. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| 3. Учетные записи хранения | 3,6 | Убедитесь, что правило доступа к сети по умолчанию для учетных записей хранения имеет значение "Запретить" | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| 3. Учетные записи хранения | 3,6 | Убедитесь, что правило доступа к сети по умолчанию для учетных записей хранения имеет значение "Запретить" | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| 3. Учетные записи хранения | 3,7 | Убедитесь, что для доступа к учетной записи хранения включены доверенные службы Майкрософт | Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | 1.0.0 |
| 3. Учетные записи хранения | 3,9 | Обеспечение шифрования хранилища критически важных данных с помощью ключей, управляемых клиентом | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| 5. Ведение журналов и мониторинг | 5.1.3 | Убедитесь, что контейнер для хранения журналов активности не является общедоступным. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| 5. Ведение журналов и мониторинг | 5.1.4 | Обеспечение того, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью BYOK | Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Сведения о том, как доступные встроенные политики Azure для всех служб Azure соотносятся с этим стандартом соответствия, см. в разделе Сведения о соответствии нормативным требованиям Azure Policy для CIS версии 2.0.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| 3 | 3.1 | Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено" | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| 3 | 3,10 | Убедитесь, что частные конечные точки используются для доступа к учетным записям хранения | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| 3 | 3.12 | Обеспечение шифрования хранилища критически важных данных с помощью ключей, управляемых клиентом | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| 3 | 3,15 | Убедитесь, что в качестве минимальной версии TLS для учетных записей хранения задано значение "Версия 1.2". | У учетных записей хранения должна быть указанная минимальная версия TLS | 1.0.0 |
| 3 | 3.2 | Убедитесь, что параметр "Включить шифрование инфраструктуры" для каждой учетной записи хранения в службе хранилища Azure задано как "Включено". | В учетных записях хранения должно быть включено шифрование инфраструктуры. | 1.0.0 |
| 3 | 3,7 | Убедитесь, что "Уровень общедоступного доступа" отключен для учетных записей хранения с контейнерами блобов | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| 3 | 3,8 | Убедитесь, что правило доступа к сети по умолчанию для учетных записей хранения имеет значение "Запретить" | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| 3 | 3,8 | Убедитесь, что правило доступа к сети по умолчанию для учетных записей хранения имеет значение "Запретить" | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| 3 | 3,9 | Убедитесь, что "Разрешить службам Azure в списке доверенных служб доступ к этой учетной записи хранения" включен для доступа к учетной записи хранения. | Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | 1.0.0 |
| 5.1 | 5.1.3 | Убедитесь, что контейнер хранилища, в котором хранятся журналы действий, не является общедоступным | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| 5.1 | 5.1.4 | Убедитесь, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью ключа, управляемого клиентом | Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | 1.0.0 |
Уровень 3 CMMC
Чтобы узнать, как встроенные политики Azure для всех служб Azure соотносятся с этим стандартом соответствия, см. Регуляторное соответствие политик Azure — CMMC уровня 3. Дополнительные сведения об этом стандарте соответствия см. в документе о сертификации модели зрелости кибербезопасности (CMMC).
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Управление доступом | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | 1.0.0 |
| Управление доступом | AC.1.001 | Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Управление доступом | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Управление доступом | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Управление доступом | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | 1.0.0 |
| Управление доступом | AC.1.002 | Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Управление доступом | AC.2.013 | Мониторинг сеансов удаленного доступа и управление ими. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Управление доступом | AC.2.016 | Управляйте потоком информации CUI в соответствии с утвержденными авторизациями. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Управление доступом | AC.2.016 | Управляйте потоком информации CUI в соответствии с утвержденными авторизациями. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Управление конфигурацией | CM.3.068 | Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Управление конфигурацией | CM.3.068 | Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Защита системы и средств передачи данных | SC.1.175 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | SC.1.176 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | SC.3.177 | Применяйте криптографию, сертифицированную по стандартам FIPS, для защиты конфиденциальности контролируемой несекретной информации (CUI). | В учетных записях хранения должно быть включено шифрование инфраструктуры. | 1.0.0 |
| Защита системы и средств передачи данных | SC.3.177 | Применяйте криптографию, сертифицированную по стандартам FIPS, для защиты конфиденциальности контролируемой несекретной информации (CUI). | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| Защита системы и средств передачи данных | SC.3.183 | Отклоняйте сетевой трафик по умолчанию и разрешайте его только в виде исключений (т. е. запрещайте всё, разрешайте в исключительных случаях). | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Защита системы и средств передачи данных | SC.3.183 | Отклоняйте сетевой трафик по умолчанию и разрешайте его только в виде исключений (т. е. запрещайте всё, разрешайте в исключительных случаях). | Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | 1.0.0 |
| Защита системы и средств передачи данных | SC.3.183 | Отклоняйте сетевой трафик по умолчанию и разрешайте его только в виде исключений (т. е. запрещайте всё, разрешайте в исключительных случаях). | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | SC.3.185 | Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности. | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита системы и средств передачи данных | SC.3.185 | Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | SC.3.191 | Обеспечивайте защиту конфиденциальности КНМИ в состоянии покоя. | В учетных записях хранения должно быть включено шифрование инфраструктуры. | 1.0.0 |
| Защита системы и средств передачи данных | SC.3.191 | Обеспечивайте защиту конфиденциальности КНМИ в состоянии покоя. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
FedRAMP High
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP High. Дополнительные сведения об этом стандарте см. в статье FedRAMP High.
FedRAMP — средний уровень
Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — FedRAMP Moderate. Дополнительные сведения об этом стандарте см. FedRAMP Moderate.
HIPAA (Закон о портативности и подотчетности медицинского страхования) HITRUST (Организация по обеспечению надежности и доверия в IT-надежности)
Сведения о том, как доступные встроенные политики Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье о соответствии нормативным требованиям Azure — HIPAA HITRUST. Дополнительные сведения об этом стандарте соответствия см. в разделе HIPAA HITRUST.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Определение рисков, связанных с внешними сторонами | 1401.05i1Organizational.1239 — 05.i | Внешним сторонам запрещен доступ к сведениям и системам организаций до проведения комплексной экспертизы, реализации соответствующих элементов управления и подписания контракта или соглашения, отражающего требования к безопасности, для подтверждения того, что они понимают и принимают свои обязательства. | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита сети 08 | 0805.01m1Организационный.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Контроль доступа к сети | Учетная запись хранения должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| Защита сети 08 | 0806.01m2Организационный.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Контроль доступа в сеть | Учетная запись хранения должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| Защита сети 08 | 0809.01n2Организационный.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Сетевой контроль доступа | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита сети 08 | 0810.01n2Организационный.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Network контроль доступа | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита сети 08 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Сетевой контроль доступа | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита сети 08 | 0812.01n2Организационный.8-01.n | 0812.01n2Organizational.8-01.n 01.04 контроль доступа к сети | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита сети 08 | 0814.01n1Организационный.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Сетевая Контроль Доступа | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита сети 08 | 0866.09m3Организационный.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 Управление сетевой безопасностью | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита сети 08 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Сетевой контроль доступа | Учетная запись хранения должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| Элементы управления сетью | 0867.09m3Organizational.17 — 09.m | Точки беспроводного доступа размещаются в безопасных областях, а на время, когда они не используются (например, ночью или в выходные дни), отключаются. | Учетная запись хранения должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| Защита трансмиссии 09 | 0943.09y1Организационный.1-09.y | 0943.09y1Organizational.1-09.y 09.09 Электронные коммерческие услуги | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
IRS 1075, сентябрь 2016 г.
Дополнительные сведения о том, как предустановленные политики Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Регуляторное соответствие Azure Policy — IRS 1075, сентябрь 2016. Дополнительные сведения об этом стандарте соответствия см. в документе IRS 1075 September 2016.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | 9.3.1.12 | Удаленный доступ (AC-17) | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | 9.3.16.5 | Защита границ (SC-7) | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | 9.3.16.6 | Конфиденциальность и целостность данных при передаче (SC-8) | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
ISO 27001:2013
Чтобы изучить, каким образом доступные встроенные компоненты Azure Policy для всех служб Azure соответствуют этому стандарту соответствия, см. Azure Policy Regulatory Compliance - ISO 27001:2013. Дополнительные сведения об этом стандарте соответствия см. на странице с описанием ISO 27001:2013.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Шифрование | 10.1.1 | Политика использования элементов управления шифрованием | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Безопасность связи | 13.1.1 | Элементы управления сетью | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Безопасность связи | 13.2.1 | Политики и процедуры передачи информации | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Управление доступом | 9.1.2 | Доступ к сетям и сетевым службам | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
Базовые конфиденциальные политики Microsoft Cloud для обеспечения суверенитета
Сведения о том, как доступные встроенные политики Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в разделе Сведения о нормативном соответствии политик конфиденциальности базового уровня суверенитета MCfS в Azure Policy. Для получения более подробной информации об этом стандарте соответствия см. портфель политик Microsoft Cloud for Sovereignty.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| SO.3 — ключи, управляемые клиентом | СО.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | Хранилище очередей должно использовать для шифрования ключ, управляемый клиентом | 1.0.0 |
| SO.3 — ключи, управляемые клиентом | СО.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных | 1.0.0 |
| SO.3 — ключи, управляемые клиентом | СО.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| SO.3 — ключи, управляемые клиентом | СО.3 | Продукты Azure должны быть настроены для использования ключей, управляемых клиентом, когда это возможно. | Хранилище таблиц должно использовать для шифрования ключ, управляемый клиентом | 1.0.0 |
Эталон безопасности облачных служб Microsoft
Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с эталонным показателем безопасности Майкрософт, см. в файлах сопоставления Azure Security Benchmark.
Сведения о том, как доступные встроенные политики Azure для всех служб Azure сопоставляются с этим нормативным стандартом соответствия, см. в статье Политика Azure соответствие нормативным требованиям — Microsoft cloud security benchmark.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Сетевая безопасность | NS-2 | Защита облачных служб с помощью сетевых элементов управления | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Сетевая безопасность | NS-2 | Защита облачных служб с помощью сетевых элементов управления | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Сетевая безопасность | NS-2 | Защита облачных служб с помощью сетевых элементов управления | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| Сетевая безопасность | NS-2 | Защита облачных служб с помощью сетевых элементов управления | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Управление идентичностью | IM-1 | Использование централизованной системы удостоверений и проверки подлинности | Учетные записи хранения должны предотвращать доступ к общему ключу | 2.0.0 |
| Защита данных | DP-3 | Шифрование конфиденциальных данных во время передачи | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита данных | DP-5 | Использование параметра ключа, управляемого клиентом, для шифрования неактивных данных при необходимости | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| Управление активами | AM-2 | Использование только утвержденных служб | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
NIST SP 800-171 R2
Дополнительную информацию о том, как встроенные политики Azure для всех сервисов Azure соответствуют этому стандарту соответствия, см. Azure Policy Regulatory Compliance — NIST SP 800-171 R2. Для получения дополнительной информации об этом стандарте соответствия см. NIST SP 800-171 R2.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Управление доступом | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
| Управление доступом | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Управление доступом | 3.1.1 | Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Управление доступом | 3.1.12 | Мониторинг сеансов удаленного доступа и управление ими. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Управление доступом | 3.1.12 | Мониторинг сеансов удаленного доступа и управление ими. | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Управление доступом | 3.1.13 | Используйте механизмы шифрования для защиты конфиденциальности сеансов удаленного доступа. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Управление доступом | 3.1.13 | Используйте механизмы шифрования для защиты конфиденциальности сеансов удаленного доступа. | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Управление доступом | 3.1.14 | Маршрутизация удаленного доступа через управляемые точки контроля доступа. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Управление доступом | 3.1.14 | Маршрутизация удаленного доступа через управляемые точки контроля доступа. | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Управление доступом | 3.1.2 | Ограничить системный доступ к типам транзакций и функций, которые авторизованные пользователи могут выполнять. | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
| Управление доступом | 3.1.3 | Управляйте потоком информации CUI в соответствии с утвержденными авторизациями. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Управление доступом | 3.1.3 | Управляйте потоком информации CUI в соответствии с утвержденными авторизациями. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Управление доступом | 3.1.3 | Управляйте потоком информации CUI в соответствии с утвержденными авторизациями. | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| Управление доступом | 3.1.3 | Управляйте потоком информации CUI в соответствии с утвержденными авторизациями. | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| Защита системы и средств передачи данных | 3.13.1 | Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Защита системы и средств передачи данных | 3.13.10 | Создание криптографических ключей и управление ими для шифрования в системах организации. | В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных | 1.0.0 |
| Защита системы и средств передачи данных | 3.13.10 | Создание криптографических ключей и управление ими для шифрования в системах организации. | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| Защита системы и средств передачи данных | 3.13.16 | Обеспечивайте защиту конфиденциальности КНМИ в состоянии покоя. | В учетных записях хранения должно быть включено шифрование инфраструктуры. | 1.0.0 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| Защита системы и средств передачи данных | 3.13.2 | Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах. | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| Защита системы и средств передачи данных | 3.13.5 | Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Защита системы и средств передачи данных | 3.13.6 | Отклоняйте сетевой трафик по умолчанию и разрешайте его только в виде исключений (т. е. запрещайте всё, разрешайте в исключительных случаях). | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Защита системы и средств передачи данных | 3.13.6 | Отклоняйте сетевой трафик по умолчанию и разрешайте его только в виде исключений (т. е. запрещайте всё, разрешайте в исключительных случаях). | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Защита системы и средств передачи данных | 3.13.6 | Отклоняйте сетевой трафик по умолчанию и разрешайте его только в виде исключений (т. е. запрещайте всё, разрешайте в исключительных случаях). | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| Защита системы и средств передачи данных | 3.13.8 | Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности. | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
NIST SP 800-53, ред. 4
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 4. Для получения дополнительной информации о данном стандарте соблюдения см. NIST SP 800-53, ред. 4.
NIST SP 800-53, редакция 5
Сведения о том, как встроенные политики службы "Политика Azure" для всех служб Azure отвечают требованиям этого стандарта, см. в статье Соответствие Политики Azure нормативным требованиям — NIST SP 800-53, ред. 5. Дополнительные сведения об этом стандарте соответствия см. здесь.
Тема облака NL BIO
Чтобы ознакомиться с тем, как встроенные средства Azure Policy для всех служб Azure соответствуют этому стандарту соответствия, см. сведения о соответствии нормативным требованиям для темы NL BIO Cloud. Дополнительные сведения об этом стандарте соответствия см. в разделе "Базовый уровень информационной безопасности для кибербезопасности для государственных организаций — цифровое правительство" (digitaleoverheid.nl).
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| B.09.1 Конфиденциальность и защита персональных данных — аспекты и этапы безопасности | B.09.1 | Были приняты меры по обеспечению доступности, целостности и конфиденциальности. | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита данных U.05.1 — криптографические меры | U.05.1 | Транспорт данных защищается с помощью криптографии, где управление ключами выполняется самим CSC, если это возможно. | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены по последнему слову техники. | В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных | 1.0.0 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены по последнему слову техники. | В учетных записях хранения должно быть включено шифрование инфраструктуры. | 1.0.0 |
| Защита данных U.05.2 — криптографические меры | U.05.2 | Данные, хранящиеся в облачной службе, должны быть защищены по последнему слову техники. | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| Разделение данных U.07.1 — изолированное | U.07.1 | Постоянная изоляция данных — это многопользовательская архитектура. Исправления осуществляются в управляемом режиме. | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 |
| Разделение данных U.07.1 — изолированное | U.07.1 | Постоянная изоляция данных — это многопользовательская архитектура. Исправления осуществляются в управляемом режиме. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Разделение данных U.07.1 — изолированное | U.07.1 | Постоянная изоляция данных — это многопользовательская архитектура. Исправления осуществляются в управляемом режиме. | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 |
| Разделение данных U.07.1 — изолированное | U.07.1 | Постоянная изоляция данных — это многопользовательская архитектура. Исправления осуществляются в управляемом режиме. | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
| Разделение данных U.07.3 — функции управления | U.07.3 | U.07.3 . Привилегии для просмотра или изменения данных CSC и /или ключей шифрования предоставляются в управляемом порядке и использовании регистрируются. | Учетные записи хранения должны предотвращать доступ к общему ключу | 2.0.0 |
| Доступ к ИТ-услугам и данным U.10.2 — пользователи | U.10.2 | В рамках CSP доступ предоставляется администраторам. | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
| Доступ к ИТ-услугам и данным U.10.2 — пользователи | U.10.2 | В рамках CSP доступ предоставляется администраторам. | Учетные записи хранения должны предотвращать доступ к общему ключу | 2.0.0 |
| U.10.3 Доступ к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
| U.10.3 Доступ к ИТ-службам и данным — пользователи | U.10.3 | Доступ к ИТ-службам и данным может получить только пользователи с прошедшим проверку подлинности оборудованием. | Учетные записи хранения должны предотвращать доступ к общему ключу | 2.0.0 |
| U.10.5 Доступ к ИТ-службам и данным — компетентность | U.10.5 | Доступ к ИТ-службам и данным ограничен техническими мерами и реализован. | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
| U.10.5 Доступ к ИТ-службам и данным — компетентность | U.10.5 | Доступ к ИТ-службам и данным ограничен техническими мерами и реализован. | Учетные записи хранения должны предотвращать доступ к общему ключу | 2.0.0 |
| Криптослужбы U.11.1 — политика | U.11.1 | В политике шифрования по крайней мере темы в соответствии с BIO детально изложены. | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Криптослужбы U.11.2 — криптографические меры | U.11.2 | В случае использования сертификатов PKIoverheid используйте требования PKIoverheid для управления ключами. В других ситуациях используйте ISO11770. | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных | 1.0.0 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | В учетных записях хранения должно быть включено шифрование инфраструктуры. | 1.0.0 |
| Криптослужбы U.11.3 — зашифрованные | U.11.3 | Конфиденциальные данные всегда шифруются с закрытыми ключами, управляемыми CSC. | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| Интерфейсы U.12.1 — сетевые подключения | U.12.1 | В точках подключения с внешними или ненадежными зонами меры принимаются против атак. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Интерфейсы U.12.2 — сетевые подключения | U.12.2 | Сетевые компоненты являются такими, что сетевые подключения между доверенными и ненадежными сетями ограничены. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
PCI DSS 3.2.1
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в документе PCI DSS 3.2.1. Дополнительные сведения об этом стандарте соответствия см. в документе с описанием PCI DSS 3.2.1.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Требование 1 | 1.3.2 | Требование 1.3.2 (стандарт PCI DSS) | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Требование 1 | 1.3.4 | Требование 1.3.4 (стандарт PCI DSS) | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Требование 10 | 10.5.4 | Требование 10.5.4 (стандарт PCI DSS) | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
| Требование 3 | 3,4 | Требование 3.4 (стандарт PCI DSS) | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Требование 4 | 4,1 | Требование 4.1 (стандарт PCI DSS) | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Требование 6 | 6.5.3 | Требование 6.5.3 (стандарт PCI DSS) | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
PCI DSS версии 4.0
Сведения о том, как встроенные политики Azure для всех служб Azure соответствуют этой норме соответствия, см. в разделе сведения о соответствии нормативным требованиям для PCI DSS версии 4.0. Дополнительные сведения об этом стандарте соответствия см. в разделе PCI DSS версии 4.0.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Требование 01. Установка и обслуживание элементов управления безопасностью сети | 1.3.2 | Сетевой доступ к среде данных заполнителя карт и из нее ограничен | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Требование 01. Установка и обслуживание элементов управления безопасностью сети | 1.4.2 | Осуществляется контроль сетевых подключений между доверенными и ненадежными сетями. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт | 10.2.2 | Журналы аудита реализуются для поддержки обнаружения аномалий и подозрительных действий, а также судебно-экспертного анализа событий | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
| Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт | 10.3.3 | Журналы аудита защищены от уничтожения и несанкционированных изменений | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
| Требование 03. Защита данных хранимой учетной записи | 3.5.1 | Основной номер учетной записи (PAN) защищается везде, где он хранится. | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Требование 06. Разработка и обслуживание безопасных систем и программного обеспечения | 6.2.4 | Индивидуальное и пользовательское программное обеспечение разрабатывается безопасным способом | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
Резервный банк Индии — ИТ-структура для NBFC
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех схем услуги Azure отвечают этому стандарту соответствия, см. в статье Соответствие нормативным требованиям Политики Azure — Резервный банк Индии — ИТ-платформа для NBFC. Дополнительные сведения об этом стандарте соответствия см. на странице Резервный банк Индии — ИТ-платформа для NBFC.
Резервный банк Индии ИТ-структура для банков версия 2016
Сведения о том, как доступные встроенные политики Azure для всех служб Azure соответствуют этому стандарту соответствия, см. в статье Политика Azure: нормативное соответствие — RBI ITF Banks версии 2016. Дополнительные сведения об этом стандарте соответствия см. в RBI ITF Banks редакция 2016 года (PDF).
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Безопасные системы почты и обмена сообщениями | Безопасные системы почты и обмена сообщениями-10.1 | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 | |
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.7 | Открытый доступ к учетной записи хранения должен быть запрещен | 3.1.1 | |
| Расширенное управление защитой и угрозами в режиме реального времени | Расширенная защита и управление угрозами в реальном времени-13.1 | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 | |
| Стратегия предотвращения утечки данных | Стратегия предотвращения утечки данных-15.2 | Для учетных записей хранения должен быть отключен доступ из общедоступной сети | 1.0.1 | |
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.7 | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 | |
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.7 | Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | 1.0.1 | |
| Расширенное управление защитой и угрозами в режиме реального времени | Расширенная защита и управление угрозами в реальном времени - 13.4 | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 | |
| Исправление и уязвимость и управление изменениями | Исправление и уязвимость и управление изменениями-7.7 | Учетные записи хранения должны использовать приватную ссылку | 2.0.0 |
RMIT Малайзия
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье о соответствии нормативным требованиям Политики Azure для RMIT Malaysia. Дополнительные сведения об этом стандарте соответствия см. в документе RMIT Malaysia.
ENS (Испания)
Чтобы узнать, как доступные встроенные политики Azure для всех служб Azure соответствуют данному стандарту соответствия, см. Политика Azure: сведения о нормативном соответствии для Испании ENS. Дополнительные сведения об этом стандарте соответствия см. в статье CCN-STIC 884.
SWIFT CSP-CSCF версия 2021
Чтобы ознакомиться с тем, как встроенные политики Azure для всех служб Azure соответствуют данному стандарту соответствия, см. сведения о нормативной совместимости Azure Policy для SWIFT CSP-CSCF версии 2021. Дополнительные сведения об этом стандарте соответствия см. в статье SWIFT CSP CSCF версии 2021.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Система защиты окружающей среды SWIFT | 1.1 | Система защиты окружающей среды SWIFT | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Система защиты окружающей среды SWIFT | 1.1 | Система защиты окружающей среды SWIFT | Учетная запись хранения должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| Сокращение направлений атак и уязвимостей | 2.5A | Защита внешних передаваемых данных | Для учетных записей хранения следует включить геоизбыточное хранилище | 1.0.0 |
| Сокращение направлений атак и уязвимостей | 2.5A | Защита внешних передаваемых данных | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
SWIFT CSP-CSCF версии 2022
Сведения о том, как доступные встроенные политики Azure для всех служб Azure соответствуют этому стандарту, см. в разделе сведения о соответствии нормативным требованиям для SWIFT CSP-CSCF версии 2022. Дополнительные сведения об этом стандарте соответствия см. в разделе SWIFT CSP CSCF версии 2022.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.1 | Обеспечьте защиту локальной инфраструктуры SWIFT пользователя от потенциально скомпрометированных элементов общей ИТ-среды и внешней среды. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.1 | Обеспечьте защиту локальной инфраструктуры SWIFT пользователя от потенциально скомпрометированных элементов общей ИТ-среды и внешней среды. | Учетная запись хранения должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.5А | Обеспечьте защиту инфраструктуры подключения клиента от внешней среды и потенциально скомпрометированных элементов общей ИТ-среды. | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| 1. Ограничение доступа к Интернету и защита критически важных систем от общей ИТ-среды | 1.5А | Обеспечьте защиту инфраструктуры подключения клиента от внешней среды и потенциально скомпрометированных элементов общей ИТ-среды. | Учетная запись хранения должна использовать конечную точку службы виртуальной сети | 1.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.5A | Защита внешних передаваемых данных | Для учетных записей хранения следует включить геоизбыточное хранилище | 1.0.0 |
| 2. Уменьшение поверхности атак и уязвимостей | 2.5A | Защита внешних передаваемых данных | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| 6. Обнаружение аномальной активности в системах или записях транзакций | 6,4 | Записывайте события безопасности и обнаруживайте аномальные действия и операции в локальной среде SWIFT. | Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | 1.0.0 |
Системные и организационные элементы управления (SOC) 2
Сведения о том, как доступные встроенные политики Azure для всех служб Azure соответствуют этому нормативному стандарту, см. в сведениях о нормативном соответствии Политики Azure для систем и организационных структур управления (SOC) 2. Дополнительные сведения об этом стандарте соответствия см. в разделе "Системные и организационные элементы управления" (SOC) 2.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | 1.0.0 |
| Логические и физические контроль доступа | CC6.1 | Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа | В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | 1.0.3 |
| Логические и физические контроль доступа | CC6.6 | Меры безопасности для угроз вне системных границ | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Логические и физические контроль доступа | CC6.7 | Ограничение перемещения информации авторизованным пользователям | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Логические и физические контроль доступа | CC6.8 | Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения | Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | 1.0.0 |
| Управление изменениями | CC8.1 | Изменения инфраструктуры, данных и программного обеспечения | Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | 1.0.0 |
Официальный представитель Великобритании и Национальная служба здравоохранения Великобритании
Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — UK OFFICIAL и UK NHS. Дополнительные сведения об этом стандарте соответствия см. в UK OFFICIAL.
| Домен | Идентификатор элемента управления | Название элемента управления | Политика (портал Azure) |
Версия документа политики (GitHub) |
|---|---|---|---|---|
| Защита данных в процессе передачи | 1 | Защита данных в процессе передачи | Следует включить безопасную передачу данных в учетные записи хранения | 2.0.0 |
| Идентификация и аутентификация | 10 | Идентификация и аутентификация | Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | 1.0.0 |
| Защита внешнего интерфейса | 11 | Защита внешнего интерфейса | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
| Операционная безопасность | 5,3 | Защитный мониторинг | Учетные записи хранения должны ограничивать доступ к сети. | 1.1.1 |
Следующие шаги
- Узнайте больше о соответствии требованиям Политики Azure.
- Ознакомьтесь со встроенными компонентами в репозитории GitHub Azure Policy.