Compliance frameworky
Aether365 vyhodnocuje váš Microsoft 365 tenant podle čtyř zavedených bezpečnostních frameworků. Každý framework je spravován jinou autoritou a má odlišné zaměření, rozsah a cílovou skupinu.
CIS Microsoft 365 Foundations Benchmark
Spravuje: Center for Internet Security (CIS) Verze: v3.0 Cílová skupina: Všechny organizace používající Microsoft 365 Rozsah: Zabezpečení účtů, Entra ID, Exchange, Teams, SharePoint, protokolování auditu
CIS je nejrozšířenější bezpečnostní standard pro M365. Definuje jasnou a praktickou sadu kontrol, každou s podrobnými pokyny k implementaci. Kontroly jsou kategorizovány jako Level 1 nebo Level 2:
| Úroveň | Popis | Kdy použít |
|---|---|---|
| L1 | Základní kontroly s minimálním dopadem na provoz | Všechny organizace |
| L2 | Přísnější kontroly, které mohou ovlivnit uživatelský komfort | Prostředí citlivá na bezpečnost |
Formát ID kontroly: CIS.M365.{sekce}.{podsekce}.{položka} - například CIS.M365.1.1.1
Kontroly CIS pokrývají sekce 1 až 9 standardu, včetně:
- Sekce 1: Správa identit a přístupu
- Sekce 2: Microsoft Entra ID
- Sekce 3: Aplikace Microsoft 365
- Sekce 4: Microsoft Teams
- Sekce 5: Zabezpečení e-mailu (Exchange Online)
- Sekce 6: SharePoint Online
- Sekce 7: OneDrive
- Sekce 8: Microsoft Defender
- Sekce 9: Protokolování auditu
EIDSCA (Entra ID Security Config Analyzer)
Spravuje: Microsoft a open-source komunita Cílová skupina: Organizace s významným využitím Entra ID Rozsah: Hloubková konfigurace Entra ID
EIDSCA se zaměřuje specificky na Entra ID (dříve Azure Active Directory) a pokrývá oblasti, které CIS neřeší do stejné hloubky. Klíčové oblasti:
- Registrace metod autentizace a zásady SSPR
- Mezery v zásadách podmíněného přístupu a pokrytí výchozích zásad
- Konfigurace Privileged Identity Management (PIM)
- Životnost tokenů a řízení relací
- Nastavení hostujících uživatelů a spolupráce B2B
- Nastavení důvěryhodnosti externích poskytovatelů identity
EIDSCA je obzvláště užitečná, pokud vaše organizace intenzivně využívá funkce Entra ID jako Privileged Identity Management, externí spolupráci nebo vlastní autentizační postupy.
Formát ID kontroly: EIDSCA.{kategorie}{číslo} - například EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Spravuje: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Verze: Aktuální publikovaný základ Cílová skupina: Americké federální agentury a organizace spolupracující s nimi; regulovaná odvětví Rozsah: Kompletní sada produktů M365
SCuBA (Secure Cloud Business Applications) je bezpečnostní základ americké federální vlády pro cloudové produktivní platformy. Je strukturován podle produktu M365, nikoli podle kategorie kontroly:
| Produkt | Kontroly pokrývají |
|---|---|
| Microsoft Entra ID | Správa identit a přístupu |
| Microsoft Defender for Office 365 | Zásady ochrany před hrozbami |
| Exchange Online | Přenos e-mailů, anti-phishing, šifrování |
| Microsoft Teams | Externí přístup, zásady schůzek |
| SharePoint Online a OneDrive | Sdílení, řízení přístupu |
| Microsoft 365 Apps | Zásady maker, správa doplňků |
| Power Platform | Zásady konektorů (pouze Enterprise) |
SCuBA je relevantní i mimo americké federální prostředí. Jeho jasná formulace zásad a automatizovaný testovací formát z něj dělají užitečný základ pro jakoukoli organizaci hledající důkladné, nezávisle udržované pokyny.
Formát ID kontroly: MS.{PRODUKT}.{číslo}.{podčíslo} - například MS.AAD.1.1
NIS2
Spravuje: Evropská unie Směrnice: EU 2022/2502 (NIS2) Cílová skupina: Organizace působící v EU, zejména provozovatelé základních a důležitých subjektů Rozsah: Technická a organizační opatření podle článku 21
NIS2 není technický standard - je to regulační směrnice. Aether365 mapuje kontroly konfigurace M365 na technické požadavky, které NIS2 ukládá podle článku 21, který vyžaduje, aby organizace přijaly odpovídající opatření k řízení kybernetických rizik.
Kontroly NIS2 v Aether365 se zaměřují na:
| Oblast NIS2 | Kontroly M365 |
|---|---|
| Řízení přístupu a autentizace | MFA, privilegovaný přístup, podmíněný přístup |
| Řešení incidentů | Protokolování auditu, zásady upozornění, bezpečnostní události |
| Kontinuita podnikání | Nastavení zálohování a obnovy, rezidence dat |
| Bezpečnost dodavatelského řetězce | Zásady souhlasu aplikací, nastavení externích konektorů |
| Základní kybernetická hygiena | Starší autentizace, nastavení související s aktualizacemi |
Rozsah compliance NIS2
Aether365 pokrývá technické kontroly specifické pro M365 relevantní pro NIS2. Plná compliance s NIS2 vyžaduje širší program technických a organizačních opatření nad rámec konfigurace M365. Výsledky Aether365 nepředstavují certifikaci compliance s NIS2.
Srovnání frameworků
| Dimenze | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Autorita | CIS | Open source / Microsoft | US CISA | Regulace EU |
| Zaměření | Široké M365 | Hloubka Entra ID | Podle produktu | Regulace založená na riziku |
| Úroveň detailu | Vysoká | Velmi vysoká | Vysoká | Střední |
| Vhodný pro organizace v EU | Ano | Ano | Ano | Vyžadováno |
| Vhodný pro americké federální org. | Ano | Ano | Vyžadováno | Nepoužitelné |
| Vhodný pro všechny organizace | Ano | Ano | Ano | Pokud regulováno EU |
| Počet kontrol v Aether365 | ~60 | ~40 | ~50 | ~30 |
Všechny frameworky běží jako součást compliance skenu. Jednotlivé frameworky nelze vybírat samostatně - všechny příslušné kontroly běží společně a výsledky jsou označeny frameworkem pro filtrování.