Frameworki compliance
Autor: Zespół Aether365 Odbiorcy: Administratorzy bezpieczeństwa i specjaliści ds. zgodności Zakres: Opisy frameworków CIS, EIDSCA, CISA SCuBA i NIS2
Aether365 ocenia Twojego tenanta Microsoft 365 pod kątem czterech uznanych frameworków bezpieczeństwa. Każdy framework jest utrzymywany przez inną organizację i ma inny obszar zainteresowania, zakres i grupę docelową.
CIS Microsoft 365 Foundations Benchmark
Utrzymywany przez: Center for Internet Security (CIS) Wersja: v3.0 Odbiorcy: Wszystkie organizacje korzystające z Microsoft 365 Zakres: Bezpieczeństwo kont, Entra ID, Exchange, Teams, SharePoint, rejestrowanie audytów
CIS to najszerzej stosowany benchmark bezpieczeństwa M365. Definiuje przejrzysty, praktyczny zestaw kontroli, z których każda zawiera szczegółowe wskazówki wdrożeniowe. Kontrole są kategoryzowane jako Level 1 lub Level 2:
| Poziom | Opis | Kiedy stosować |
|---|---|---|
| L1 | Podstawowe kontrole z minimalnym wpływem na operacje | Wszystkie organizacje |
| L2 | Bardziej restrykcyjne kontrole, mogą wpływać na wygodę użycia | Środowiska wymagające wysokiego bezpieczeństwa |
Format identyfikatora kontroli: CIS.M365.{sekcja}.{podsekcja}.{element} - na przykład CIS.M365.1.1.1
Kontrole CIS obejmują sekcje od 1 do 9 benchmarku:
- Sekcja 1: Zarządzanie tożsamością i dostępem
- Sekcja 2: Microsoft Entra ID
- Sekcja 3: Aplikacje Microsoft 365
- Sekcja 4: Microsoft Teams
- Sekcja 5: Bezpieczeństwo poczty (Exchange Online)
- Sekcja 6: SharePoint Online
- Sekcja 7: OneDrive
- Sekcja 8: Microsoft Defender
- Sekcja 9: Rejestrowanie audytów
EIDSCA (Entra ID Security Config Analyzer)
Utrzymywany przez: Microsoft i społeczność open-source Odbiorcy: Organizacje intensywnie korzystające z Entra ID Zakres: Pogłębiona analiza konfiguracji Entra ID
EIDSCA skupia się konkretnie na Entra ID (dawniej Azure Active Directory) i obejmuje obszary, których CIS nie adresuje na tym samym poziomie szczegółowości. Kluczowe obszary:
- Polityki rejestracji metod uwierzytelniania i SSPR
- Luki w pokryciu dostępu warunkowego i polityki bazowe
- Konfiguracja Privileged Identity Management (PIM)
- Czas życia tokenów i kontrole sesji
- Ustawienia użytkowników gościnnych i współpracy B2B
- Ustawienia zaufania zewnętrznych dostawców tożsamości
EIDSCA jest szczególnie przydatna, gdy Twoja organizacja intensywnie korzysta z funkcji Entra ID, takich jak Privileged Identity Management, współpraca zewnętrzna lub niestandardowe przepływy uwierzytelniania.
Format identyfikatora kontroli: EIDSCA.{kategoria}{numer} - na przykład EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Utrzymywany przez: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Wersja: Aktualnie opublikowany baseline Odbiorcy: Agencje federalne USA i organizacje z nimi współpracujące; branże regulowane Zakres: Pełny pakiet produktów M365
SCuBA (Secure Cloud Business Applications) to federalny bazowy standard bezpieczeństwa rządu USA dla chmurowych platform produktywności. Jest strukturyzowany według produktów M365, a nie według kategorii kontroli:
| Produkt | Zakres kontroli |
|---|---|
| Microsoft Entra ID | Zarządzanie tożsamością i dostępem |
| Microsoft Defender for Office 365 | Polityki ochrony przed zagrożeniami |
| Exchange Online | Transport poczty, anti-phishing, szyfrowanie |
| Microsoft Teams | Dostęp zewnętrzny, polityki spotkań |
| SharePoint Online i OneDrive | Udostępnianie, kontrola dostępu |
| Microsoft 365 Apps | Polityki makr, zarządzanie dodatkami |
| Power Platform | Polityki konektorów (tylko Enterprise) |
SCuBA jest przydatna nie tylko w kontekście federalnym USA. Jej czytelne definicje polityk i zautomatyzowany format testów sprawiają, że stanowi wartościowy baseline dla każdej organizacji poszukującej rygorystycznych, niezależnie utrzymywanych wytycznych.
Format identyfikatora kontroli: MS.{PRODUKT}.{numer}.{podnumer} - na przykład MS.AAD.1.1
NIS2
Utrzymywany przez: Unia Europejska Dyrektywa: EU 2022/2502 (NIS2) Odbiorcy: Organizacje działające w UE, zwłaszcza operatorzy podmiotów kluczowych i ważnych Zakres: Środki techniczne i organizacyjne zgodnie z artykułem 21
NIS2 to nie benchmark techniczny - to dyrektywa regulacyjna. Aether365 mapuje kontrole konfiguracji M365 na wymagania techniczne, które NIS2 nakłada w artykule 21, zobowiązującym organizacje do wdrożenia odpowiednich środków zarządzania ryzykiem cyberbezpieczeństwa.
Kontrole NIS2 w Aether365 obejmują:
| Obszar NIS2 | Kontrole M365 |
|---|---|
| Kontrola dostępu i uwierzytelnianie | MFA, dostęp uprzywilejowany, dostęp warunkowy |
| Obsługa incydentów | Rejestrowanie audytów, polityki alertów, zdarzenia bezpieczeństwa |
| Ciągłość działania | Ustawienia kopii zapasowych i odzyskiwania, rezydencja danych |
| Bezpieczeństwo łańcucha dostaw | Polityki zgody na aplikacje, ustawienia konektorów zewnętrznych |
| Podstawowa higiena cyberbezpieczeństwa | Przestarzałe uwierzytelnianie, ustawienia związane z aktualizacjami |
Zakres zgodności NIS2
Aether365 obejmuje techniczne kontrole M365 istotne dla NIS2. Pełna zgodność z NIS2 wymaga szerszego programu środków technicznych i organizacyjnych wykraczających poza konfigurację M365. Wyniki Aether365 nie stanowią certyfikatu zgodności z NIS2.
Porównanie frameworków
| Wymiar | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Organ wydający | CIS | Open source / Microsoft | US CISA | Regulacja UE |
| Obszar zainteresowania | Szeroki M365 | Pogłębiona analiza Entra ID | Produkt po produkcie | Regulacja oparta na ryzyku |
| Poziom szczegółowości | Wysoki | Bardzo wysoki | Wysoki | Umiarkowany |
| Odpowiedni dla organizacji w UE | Tak | Tak | Tak | Wymagany |
| Odpowiedni dla podmiotów federalnych USA | Tak | Tak | Wymagany | Nie dotyczy |
| Odpowiedni dla wszystkich organizacji | Tak | Tak | Tak | Jeśli regulowany w UE |
| Liczba kontroli w Aether365 | ok. 60 | ok. 40 | ok. 50 | ok. 30 |
Wszystkie frameworki są uruchamiane jako część skanu compliance. Nie można wybrać poszczególnych frameworków dla danego skanu - wszystkie odpowiednie kontrole działają razem, a wyniki są oznaczane frameworkiem w celu filtrowania.