Compliance frameworky
Aether365 vyhodnocuje váš Microsoft 365 tenant oproti štyrom zavedeným bezpečnostným frameworkom. Každý framework spravuje iná autorita a má inú oblasť zamerania, rozsah a publikum.
CIS Microsoft 365 Foundations Benchmark
Spravuje: Center for Internet Security (CIS) Verzia: v3.0 Publikum: Všetky organizácie používajúce Microsoft 365 Rozsah: Bezpečnosť účtov, Entra ID, Exchange, Teams, SharePoint, auditné logovanie
CIS je najširšie prijímaný bezpečnostný benchmark pre M365. Definuje jasnú, realizovateľnú sadu kontrol, každá s podrobnými pokynmi na implementáciu. Kontroly sú kategorizované ako Level 1 alebo Level 2:
| Úroveň | Popis | Kedy aplikovať |
|---|---|---|
| L1 | Základné kontroly s minimálnym vplyvom na prevádzku | Všetky organizácie |
| L2 | Prísnejšie kontroly, ktoré môžu ovplyvniť používateľa | Bezpečnostne citlivé prostredia |
Formát ID kontroly: CIS.M365.{sekcia}.{podsekcia}.{položka} - napríklad CIS.M365.1.1.1
CIS kontroly pokrývajú sekcie 1 až 9 benchmarku, vrátane:
- Sekcia 1: Správa identity a prístupu
- Sekcia 2: Microsoft Entra ID
- Sekcia 3: Aplikácie Microsoft 365
- Sekcia 4: Microsoft Teams
- Sekcia 5: Bezpečnosť e-mailov (Exchange Online)
- Sekcia 6: SharePoint Online
- Sekcia 7: OneDrive
- Sekcia 8: Microsoft Defender
- Sekcia 9: Auditné logovanie
EIDSCA (Entra ID Security Config Analyzer)
Spravuje: Microsoft a open-source komunita Publikum: Organizácie s výrazným využitím Entra ID Rozsah: Hĺbka konfigurácie Entra ID
EIDSCA sa zameriava špecificky na Entra ID (predtým Azure Active Directory) a pokrýva oblasti, ktoré CIS nerieši v rovnakej hĺbke. Hlavné oblasti:
- Registrácia autentifikačných metód a SSPR politiky
- Medzery v conditional access a pokrytie základných politík
- Konfigurácia Privileged Identity Management (PIM)
- Životnosť tokenov a ovládanie sedení
- Nastavenia hosťovského prístupu a B2B spolupráce
- Nastavenia dôveryhodnosti externých poskytovateľov identity
EIDSCA je obzvlášť užitočné, ak sa vaša organizácia výrazne spolieha na funkcie Entra ID ako Privileged Identity Management, externú spoluprácu alebo vlastné autentifikačné toky.
Formát ID kontroly: EIDSCA.{kategória}{číslo} - napríklad EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Spravuje: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Verzia: Aktuálne publikovaný baseline Publikum: Americké federálne agentúry a organizácie spolupracujúce s nimi; regulované odvetvia Rozsah: Celý produktový rad M365
SCuBA (Secure Cloud Business Applications) je bezpečnostný baseline federálnej vlády USA pre cloudové produktívne platformy. Je štruktúrovaný podľa produktu M365, nie podľa kategórie kontrol:
| Produkt | Kontroly pokrývajú |
|---|---|
| Microsoft Entra ID | Správa identity a prístupu |
| Microsoft Defender for Office 365 | Politiky ochrany pred hrozbami |
| Exchange Online | E-mailový transport, anti-phishing, šifrovanie |
| Microsoft Teams | Externý prístup, politiky schôdzí |
| SharePoint Online a OneDrive | Zdieľanie, kontrola prístupu |
| Microsoft 365 Apps | Politiky makier, správa doplnkov |
| Power Platform | Politiky konektorov (len Enterprise) |
SCuBA je relevantné aj mimo americké federálne prostredia. Vďaka jasným politickým výrokom a automatizovanému testovaciemu formátu je užitočným základom pre každú organizáciu hľadajúcu prísne, nezávisle udržiavané pokyny.
Formát ID kontroly: MS.{PRODUKT}.{číslo}.{podčíslo} - napríklad MS.AAD.1.1
NIS2
Spravuje: Európska únia Smernica: EU 2022/2502 (NIS2) Publikum: Organizácie pôsobiace v EÚ, najmä prevádzkovatelia základných a dôležitých subjektov Rozsah: Technické a organizačné opatrenia podľa článku 21
NIS2 nie je technický benchmark - je to regulačná smernica. Aether365 mapuje konfiguračné kontroly M365 na technické požiadavky, ktoré NIS2 vyžaduje podľa článku 21, ktorý od organizácií požaduje prijatie primeraných opatrení na riadenie rizík v oblasti kybernetickej bezpečnosti.
NIS2 kontroly v Aether365 sa zameriavajú na:
| Oblasť NIS2 | Kontroly M365 |
|---|---|
| Kontrola prístupu a autentifikácia | MFA, privilegovaný prístup, conditional access |
| Riešenie incidentov | Auditné logovanie, politiky upozornení, bezpečnostné udalosti |
| Kontinuita podnikania | Nastavenia zálohovania a obnovy, rezidencia dát |
| Bezpečnosť dodávateľského reťazca | Politiky súhlasu s aplikáciami, nastavenia externých konektorov |
| Základná kybernetická hygiena | Stará autentifikácia, nastavenia súvisiace so záplatami |
Rozsah compliance NIS2
Aether365 pokrýva technické kontroly M365 relevantné pre NIS2. Úplná compliance s NIS2 vyžaduje širší program technických a organizačných opatrení nad rámec konfigurácie vášho M365. Výsledky Aether365 nepredstavujú certifikáciu compliance NIS2.
Porovnanie frameworkov
| Dimenzia | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Autorita | CIS | Open source / Microsoft | CISA USA | Regulácia EÚ |
| Zameranie | Široký M365 | Hĺbka Entra ID | Podľa produktu | Regulačné na báze rizík |
| Úroveň detailu | Vysoká | Veľmi vysoká | Vysoká | Stredná |
| Vhodné pre EÚ organizácie | Áno | Áno | Áno | Vyžadované |
| Vhodné pre federálne US | Áno | Áno | Vyžadované | Neaplikovateľné |
| Vhodné pre všetky organizácie | Áno | Áno | Áno | Ak regulované EÚ |
| Počet kontrol v Aether365 | ~60 | ~40 | ~50 | ~30 |
Všetky frameworky bežia ako súčasť compliance skenu. Nemôžete vyberať jednotlivé frameworky na sken - všetky relevantné kontroly bežia spoločne a výsledky sú označené frameworkom pre filtrovanie.