Framework-uri de conformitate
Aether365 evaluează tenant-ul Microsoft 365 în raport cu patru framework-uri de securitate consacrate. Fiecare framework este întreținut de o autoritate diferită și are un domeniu de aplicare, un accent și un public diferit.
CIS Microsoft 365 Foundations Benchmark
�ntreținut de: Center for Internet Security (CIS) Versiune: v3.0 Public: Toate organizațiile care utilizează Microsoft 365 Domeniu: Securitatea contului, Entra ID, Exchange, Teams, SharePoint, jurnalizare audit
CIS este cel mai larg adoptat benchmark de securitate M365. Definește un set clar și acționabil de controale, fiecare cu ghidaj detaliat de implementare. Controalele sunt categorizate ca Nivel 1 sau Nivel 2:
| Nivel | Descriere | Când se aplică |
|---|---|---|
| L1 | Controale fundamentale cu impact operațional minim | Toate organizațiile |
| L2 | Controale mai stricte care pot afecta experiența utilizatorului | Medii sensibile din punct de vedere al securității |
Format ID verificare: CIS.M365.{secțiune}.{subsecțiune}.{element} - de exemplu, CIS.M365.1.1.1
Verificările CIS acoperă secțiunile 1 până la 9 ale benchmark-ului, inclusiv:
- Secțiunea 1: Managementul identității și accesului
- Secțiunea 2: Microsoft Entra ID
- Secțiunea 3: Aplicații Microsoft 365
- Secțiunea 4: Microsoft Teams
- Secțiunea 5: Securitatea email-ului (Exchange Online)
- Secțiunea 6: SharePoint Online
- Secțiunea 7: OneDrive
- Secțiunea 8: Microsoft Defender
- Secțiunea 9: Jurnalizare audit
EIDSCA (Entra ID Security Config Analyzer)
�ntreținut de: Microsoft și comunitatea open-source Public: Organizații cu utilizare semnificativă a Entra ID Domeniu: Configurare aprofundată Entra ID
EIDSCA se concentrează specific pe Entra ID (fostul Azure Active Directory) și acoperă zone pe care CIS nu le abordează la același nivel de profunzime. Domenii cheie:
- Politici de înregistrare a metodelor de autentificare și SSPR
- Lacune în accesul condiționat și acoperirea politicilor de bază
- Configurarea Privileged Identity Management (PIM)
- Controale de durată a token-ului și sesiunii
- Setări pentru utilizatori invitați și colaborare B2B
- Setări de încredere ale furnizorilor externi de identitate
EIDSCA este deosebit de util dacă organizația dvs. se bazează în mare măsură pe funcționalități Entra ID precum Privileged Identity Management, colaborare externă sau fluxuri de autentificare personalizate.
Format ID verificare: EIDSCA.{categorie}{număr} - de exemplu, EIDSCA.PR01
CISA SCuBA M365 Security Baseline
�ntreținut de: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Versiune: Linia de bază publicată curentă Public: Agenții federale din SUA și organizații care lucrează cu acestea; industrii reglementate Domeniu: Suita completă de produse M365
SCuBA (Secure Cloud Business Applications) este linia de bază de securitate a guvernului federal al SUA pentru platformele de productivitate cloud. Este structurat pe produs M365, nu pe categorie de control:
| Produs | Verificările acoperă |
|---|---|
| Microsoft Entra ID | Managementul identității și accesului |
| Microsoft Defender for Office 365 | Politici de protecție împotriva amenințărilor |
| Exchange Online | Transport email, anti-phishing, criptare |
| Microsoft Teams | Acces extern, politici de întâlnire |
| SharePoint Online și OneDrive | Partajare, control acces |
| Microsoft 365 Apps | Politici macro, gestionare add-in-uri |
| Power Platform | Politici conectori (doar Enterprise) |
SCuBA este relevant dincolo de mediile federale din SUA. Declarațiile sale clare de politică și formatul automat de testare il fac o linie de bază utilă pentru orice organizație care caută ghidaj riguros și independent întreținut.
Format ID verificare: MS.{PRODUS}.{număr}.{subnumăr} - de exemplu, MS.AAD.1.1
NIS2
�ntreținut de: Uniunea Europeană Directivă: EU 2022/2502 (NIS2) Public: Organizații care operează în UE, în special operatorii de entități esențiale și importante Domeniu: Măsuri tehnice și organizaționale conform Articolului 21
NIS2 nu este un benchmark tehnic - este o directivă de reglementare. Aether365 mapează controalele de configurare M365 la cerințele tehnice pe care NIS2 le împune conform Articolului 21, care solicită organizațiilor să ia măsuri adecvate pentru gestionarea riscului de securitate cibernetică.
Verificările NIS2 în Aether365 se concentrează pe:
| Aria NIS2 | Controale M365 |
|---|---|
| Control acces și autentificare | MFA, acces privilegiat, acces condiționat |
| Gestionarea incidentelor | Jurnalizare audit, politici de alertă, evenimente securitate |
| Continuitatea afacerii | Setări de backup și recuperare, rezidența datelor |
| Securitatea lanțului de aprovizionare | Politici de consimțământ aplicații, setări conectori externi |
| Igienă cibernetică de bază | Autentificare legacy, setări legate de actualizări |
Domeniul de aplicare al conformității NIS2
Aether365 acoperă controalele tehnice M365 specifice relevante pentru NIS2. Conformitatea completă NIS2 necesită un program mai amplu de măsuri tehnice și organizaționale dincolo de configurația M365. Rezultatele Aether365 nu constituie o certificare de conformitate NIS2.
Comparația framework-urilor
| Dimensiune | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Autoritate | CIS | Open source / Microsoft | CISA din SUA | Reglementare UE |
| Accent | M365 larg | Profunzime Entra ID | Produs cu produs | Reglementare bazată pe risc |
| Nivel de detaliu | Ridicat | Foarte ridicat | Ridicat | Moderat |
| Potrivit pentru organizații din UE | Da | Da | Da | Obligatoriu |
| Potrivit pentru agenții federale SUA | Da | Da | Obligatoriu | Nu se aplică |
| Potrivit pentru toate organizațiile | Da | Da | Da | Dacă este reglementat în UE |
| Număr de verificări în Aether365 | ~60 | ~40 | ~50 | ~30 |
Toate framework-urile rulează ca parte a unei Scanări de conformitate. Nu puteți selecta framework-uri individuale per scanare - toate verificările aplicabile rulează împreună, iar rezultatele sunt etichetate pe framework pentru filtrare.