Atitikties nuskaitymai
Autorius: Aether365 komanda Auditorija: Saugumo administratoriai ir atitikties pareigūnai Apimtis: Atitikties nuskaitymo vykdymas, apimamos sistemos ir rezultatų struktūra
Atitikties nuskaitymai vertina jūsų Microsoft 365 organizaciją pagal nustatytus saugumo lyginamuosius standartus. Kiekvieną lyginamąjį standartą prižiūri saugumo institucija ir jis apibrėžia kontroles, kurias organizacijos turėtų įgyvendinti rizikai sumažinti.
Palaikomos sistemos
Lyginamųjų standartų versijos
Aether365 visada seka naujausią kiekvieno lyginamojo standarto paskelbtą versiją. Atitikties variklis automatiškai atnaujinamas, kai saugumo institucijos išleidžia naujas pataisas, todėl jūsų nuskaitymai atspindi galiojantį standartą be jokių jūsų pastangų. Žemiau nurodyti versijų numeriai žymi bazinį standartą, galiojusį šio teksto rengimo metu.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Prižiūrimas Center for Internet Security, šis lyginamasis standartas yra plačiausiai naudojamas M365 saugumo standartas. Jis apima:
- Paskyra ir autentifikavimas - MFA reikalavimai, slaptažodžių politikos, senoji autentifikacija
- Azure Active Directory / Entra ID - Sąlyginė prieiga, vaidmenų priskyrimai, privilegijuota prieiga
- El. pašto saugumas - Apsauga nuo sukčiavimo, apsauga nuo šlamšto, DKIM, DMARC, SPF
- Microsoft Teams - Išorinė prieiga, svečių nustatymai, susitikimų politikos
- Microsoft 365 Apps - Makrokomandų nustatymai, priedų politikos
- Audito registravimas - Pašto dėžutės auditas, vieningas audito žurnalas
CIS kontrolės žymimos kaip 1 lygis (L1) arba 2 lygis (L2):
| Lygis | Reikšmė |
|---|---|
| L1 | Rekomenduojama visoms organizacijoms. Minimalus poveikis operacijoms. |
| L2 | Aukštesnis saugumas, gali paveikti naudojamumą. Rekomenduojama saugumui jautrioms aplinkoms. |
Patikrinimo ID formatas: CIS.M365.{skyrius}.{poskyris}.{punktas} - pavyzdžiui, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA konkrečiai orientuojasi į Entra ID (anksčiau Azure Active Directory) konfigūraciją. Ji apima sritis, kurių CIS pilnai neapima, įskaitant:
- Autentifikavimo metodus (SSPR, MFA registracijos politikos)
- Sąlyginės prieigos politikų spragas
- Privilegijuotų tapatybių valdymo (PIM) nustatymus
- Token galiojimo trukmę ir sesijų kontroles
- Svečių ir išorinių tapatybių nustatymus
CISA SCuBA M365 saugumo bazinis standartas
Publikuotas JAV kibernetinio saugumo ir infrastruktūros saugumo agentūros, SCuBA (Secure Cloud Business Applications) apibrėžia federalinės valdžios saugumo bazinį standartą M365. Jis struktūrizuotas pagal produktą:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online ir OneDrive
- Microsoft 365 Apps
SCuBA ypač aktualus reguliuojamų pramonės šakų organizacijoms ar dirbančioms su JAV federalinėmis agentūromis.
NIS2
NIS2 - tai ES tinklų ir informacinių sistemų direktyva (2022/2502). Aether365 susieja M365 konfigūracijos kontroles su atitinkamais NIS2 techniniais reikalavimais, padėdama Europos Sąjungos organizacijoms demonstruoti atitiktį:
- Prieigos kontrolė ir autentifikavimas (21 straipsnis)
- Incidentų valdymas ir saugumo įvykių registravimas
- Veiklos tęstinumo kontrolės
- Tiekimo grandinės saugumo nustatymai
Rezultatų kategorijos
Kiekvienas patikrinimas grąžina vieną iš trijų rezultatų:
| Rezultatas | Reikšmė |
|---|---|
| Įveikta | Kontrolė teisingai sukonfigūruota |
| Neįveikta | Kontrolė neatitinka reikalavimų - rekomenduojamas ištaisymas |
| Praleista | Patikrinimas netaikomas jūsų organizacijos konfigūracijai ar licencijai |
Rimtumo žymės
Be L1/L2 (CIS), kiekvienam patikrinimui Aether365 priskiria rimtumą:
| Rimtumas | Aprašymas |
|---|---|
| Kritinis | Tiesioginė eksploatavimo rizika ar dažnas atakos vektorius |
| Aukštas | Reikšminga rizika, turi būti skubiai ištaisyta |
| Vidutinis | Rizika egzistuoja, bet mažinama kitomis kontrolėmis |
| Žemas | Geriausia praktika, mažesnė tiesioginė rizika |
Ištaisymo nurodymai
Kiekvienas neįveiktas patikrinimas apima:
- Aiškų paaiškinimą, kodėl patikrinimas neįveiktas
- Nuoseklius nurodymus, kaip ištaisyti Microsoft 365 administravimo centre arba Azure portale
- Nuorodą į oficialią Microsoft dokumentaciją
Atsakomybės atsisakymas
Aether365 atitikties nuskaitymų rezultatai teikiami informaciniais ir saugumo gerinimo tikslais. Tai automatinės rekomendacijos, pagrįstos jūsų Microsoft 365 konfigūracija: tai nėra atitikties bet kuriai sistemai, standartui ar reglamentui (įskaitant CIS, EIDSCA, CISA SCuBA, NIS2 ar GDPR) sertifikatas, patvirtinimas ar teisinė garantija.
- Aether365 skaito tik konfigūracijos metaduomenis. Šiems rezultatams parengti ji neapdoroja, nesaugo ir neanalizuoja jūsų verslo turinio, el. laiškų, failų ar galutinių vartotojų asmens duomenų, o jokie kliento duomenys niekada nesiunčiami AI ar mašininio mokymosi paslaugoms.
- Įveiktas rezultatas reiškia, kad kontrolė nuskaitymo metu buvo sukonfigūruota taip, kaip tikimasi. Tai nepatvirtina, kad jūsų organizacija atitinka bet kokį įstatymą ar reglamentą.
- Jūs ir toliau esate vienasmeniškai atsakingi už savo organizacijos reglamentinę atitiktį, už nuskaitymo rezultatų interpretavimą ir veiksmus pagal juos bei už visas baudas, sankcijas ar nuobaudas, kylančias iš jūsų reglamentinių įsipareigojimų.
Dėl oficialaus sertifikavimo ar teisinio jūsų atitikties būklės įvertinimo kreipkitės į kvalifikuotą auditorių arba teisės patarėją.