Atitikties sistemos
Autorius: Aether365 komanda Auditorija: Saugumo administratoriai ir atitikties pareigūnai Apimtis: CIS, EIDSCA, CISA SCuBA ir NIS2 sistemų aprašymai
Aether365 vertina jūsų Microsoft 365 organizaciją pagal keturias nustatytas saugumo sistemas. Kiekvieną sistemą prižiūri skirtinga institucija ir kiekviena turi skirtingą dėmesio sritį, apimtį ir auditoriją.
CIS Microsoft 365 Foundations Benchmark
Prižiūri: Center for Internet Security (CIS) Versija: v3.0 Auditorija: Visos organizacijos, naudojančios Microsoft 365 Apimtis: Paskyrų saugumas, Entra ID, Exchange, Teams, SharePoint, audito registravimas
CIS - tai plačiausiai priimtas M365 saugumo lyginamasis standartas. Jis apibrėžia aiškų, praktišką kontrolių rinkinį, kiekvienai su detaliais įgyvendinimo nurodymais. Kontrolės skirstomos į 1 ir 2 lygį:
| Lygis | Aprašymas | Kada taikyti |
|---|---|---|
| L1 | Pagrindinės kontrolės su minimaliu poveikiu operacijoms | Visos organizacijos |
| L2 | Griežtesnės kontrolės, galinčios paveikti naudotojo patirtį | Saugumui jautrios aplinkos |
Patikrinimo ID formatas: CIS.M365.{skyrius}.{poskyris}.{punktas} - pavyzdžiui, CIS.M365.1.1.1
CIS patikrinimai apima lyginamojo standarto skyrius nuo 1 iki 9, įskaitant:
- 1 skyrius: Tapatybės ir prieigos valdymas
- 2 skyrius: Microsoft Entra ID
- 3 skyrius: Microsoft 365 programos
- 4 skyrius: Microsoft Teams
- 5 skyrius: El. pašto saugumas (Exchange Online)
- 6 skyrius: SharePoint Online
- 7 skyrius: OneDrive
- 8 skyrius: Microsoft Defender
- 9 skyrius: Audito registravimas
EIDSCA (Entra ID Security Config Analyzer)
Prižiūri: Microsoft ir atvirojo kodo bendruomenė Auditorija: Organizacijos, aktyviai naudojančios Entra ID Apimtis: Giluminė Entra ID konfigūracijos analizė
EIDSCA konkrečiai orientuojasi į Entra ID (anksčiau Azure Active Directory) ir apima sritis, kurių CIS nepaliečia tokiu pat detalumo lygiu. Pagrindinės sritys:
- Autentifikavimo metodų registravimas ir SSPR politikos
- Sąlyginės prieigos politikų spragos ir bazinių politikų aprėptis
- Privilegijuotų tapatybių valdymo (PIM) konfigūracija
- Token galiojimo trukmė ir sesijų kontrolės
- Svečių vartotojų ir B2B bendradarbiavimo nustatymai
- Išorinių tapatybės teikėjų pasitikėjimo nustatymai
EIDSCA ypač naudinga, jei jūsų organizacija aktyviai naudoja Entra ID funkcijas, tokias kaip privilegijuotų tapatybių valdymas, išorinis bendradarbiavimas ar pasirinktiniai autentifikavimo srautai.
Patikrinimo ID formatas: EIDSCA.{kategorija}{numeris} - pavyzdžiui, EIDSCA.PR01
CISA SCuBA M365 saugumo bazinis standartas
Prižiūri: JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) Versija: Dabartinis publikuotas bazinis standartas Auditorija: JAV federalinės agentūros ir su jomis dirbančios organizacijos; reguliuojamos pramonės šakos Apimtis: Visas M365 produktų rinkinys
SCuBA (Secure Cloud Business Applications) - tai JAV federalinės valdžios saugumo bazinis standartas debesijos produktyvumo platformoms. Jis struktūrizuotas pagal M365 produktą, o ne pagal kontrolių kategoriją:
| Produktas | Patikrinimai apima |
|---|---|
| Microsoft Entra ID | Tapatybės ir prieigos valdymas |
| Microsoft Defender for Office 365 | Grėsmių apsaugos politikos |
| Exchange Online | El. pašto transportas, apsauga nuo sukčiavimo, šifravimas |
| Microsoft Teams | Išorinė prieiga, susitikimų politikos |
| SharePoint Online ir OneDrive | Bendrinimas, prieigos kontrolė |
| Microsoft 365 Apps | Makrokomandų politikos, priedų valdymas |
| Power Platform | Jungčių politikos (tik Enterprise) |
SCuBA aktualus ne tik JAV federalinėms aplinkoms. Jo aiškios politikų formuluotės ir automatizuotas testų formatas daro jį naudingu baziniu standartu bet kuriai organizacijai, ieškančiai griežtų, nepriklausomai prižiūrimų rekomendacijų.
Patikrinimo ID formatas: MS.{PRODUKTAS}.{numeris}.{ponumeris} - pavyzdžiui, MS.AAD.1.1
NIS2
Prižiūri: Europos Sąjunga Direktyva: ES 2022/2502 (NIS2) Auditorija: ES veikiančios organizacijos, ypač esminių ir svarbių subjektų operatoriai Apimtis: Techninės ir organizacinės priemonės pagal 21 straipsnį
NIS2 nėra techninis lyginamasis standartas - tai reguliavimo direktyva. Aether365 susieja M365 konfigūracijos kontroles su techniniais reikalavimais, kuriuos NIS2 nustato pagal 21 straipsnį, reikalaujantį organizacijas imtis tinkamų priemonių kibernetinio saugumo rizikai valdyti.
NIS2 patikrinimai Aether365 orientuojasi į:
| NIS2 sritis | M365 kontrolės |
|---|---|
| Prieigos kontrolė ir autentifikavimas | MFA, privilegijuota prieiga, sąlyginė prieiga |
| Incidentų valdymas | Audito registravimas, įspėjimų politikos, saugumo įvykiai |
| Veiklos tęstinumas | Atsarginių kopijų ir atkūrimo nustatymai, duomenų buvimo vieta |
| Tiekimo grandinės saugumas | Programų sutikimo politikos, išorinių jungčių nustatymai |
| Bazinė kibernetinė higiena | Senoji autentifikacija, su atnaujinimais susiję nustatymai |
NIS2 atitikties apimtis
Aether365 apima M365-specifines technines kontroles, susijusias su NIS2. Pilna NIS2 atitiktis reikalauja platesnės techninių ir organizacinių priemonių programos, viršijančios jūsų M365 konfigūraciją. Aether365 rezultatai nėra NIS2 atitikties sertifikatas.
Sistemų palyginimas
| Aspektas | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Institucija | CIS | Atvirasis kodas / Microsoft | JAV CISA | ES reguliavimas |
| Dėmesys | Plataus M365 | Entra ID gilumas | Produktas po produkto | Rizikos reguliavimas |
| Detalumo lygis | Aukštas | Labai aukštas | Aukštas | Vidutinis |
| Tinka ES organizacijoms | Taip | Taip | Taip | Privaloma |
| Tinka JAV federalinėms | Taip | Taip | Privaloma | Netaikoma |
| Tinka visoms organizacijoms | Taip | Taip | Taip | Jei ES reguliuojama |
| Patikrinimų skaičius Aether365 | ~60 | ~40 | ~50 | ~30 |
Visos sistemos vykdomos kaip atitikties nuskaitymo dalis. Negalima pasirinkti atskirų sistemų vienam nuskaitymui - visi taikomi patikrinimai vykdomi kartu ir rezultatai žymimi sistema filtravimui.