Фреймворки compliance
Aether365 оцінює ваш Microsoft 365 tenant за чотирма встановленими фреймворками безпеки. Кожен фреймворк підтримується окремою організацією та має свою сферу застосування, аудиторію та фокус.
CIS Microsoft 365 Foundations Benchmark
Підтримується: Center for Internet Security (CIS) Версія: v3.0 Аудиторія: Усі організації, що використовують Microsoft 365 Охоплення: Безпека облікових записів, Entra ID, Exchange, Teams, SharePoint, журналювання аудиту
CIS - це найбільш поширений еталон безпеки M365. Він визначає чіткий, практичний набір контролів, кожен з детальними інструкціями з впровадження. Контролі поділяються на Рівень 1 та Рівень 2:
| Рівень | Опис | Коли застосовувати |
|---|---|---|
| L1 | Базові контролі з мінімальним впливом на роботу | Усі організації |
| L2 | Суворіші контролі, що можуть впливати на зручність | Середовища з підвищеною безпекою |
Формат ідентифікатора перевірки: CIS.M365.{розділ}.{підрозділ}.{пункт} - наприклад, CIS.M365.1.1.1
Перевірки CIS охоплюють розділи з 1 по 9 еталону, зокрема:
- Розділ 1: Керування ідентифікацією та доступом
- Розділ 2: Microsoft Entra ID
- Розділ 3: Застосунки Microsoft 365
- Розділ 4: Microsoft Teams
- Розділ 5: Безпека електронної пошти (Exchange Online)
- Розділ 6: SharePoint Online
- Розділ 7: OneDrive
- Розділ 8: Microsoft Defender
- Розділ 9: Журналювання аудиту
EIDSCA (Entra ID Security Config Analyzer)
Підтримується: Microsoft та спільнота відкритого коду Аудиторія: Організації з інтенсивним використанням Entra ID Охоплення: Поглиблена конфігурація Entra ID
EIDSCA зосереджується саме на Entra ID (раніше Azure Active Directory) та охоплює сфери, які CIS не розглядає з тією самою глибиною. Основні напрямки:
- Реєстрація методів автентифікації та політики SSPR
- Прогалини в політиках умовного доступу та покриття базових політик
- Конфігурація Privileged Identity Management (PIM)
- Час дії токенів та контроль сесій
- Налаштування гостьових користувачів та B2B-співпраці
- Налаштування довіри зовнішніх постачальників ідентифікації
EIDSCA особливо корисний, якщо ваша організація активно використовує функції Entra ID, такі як Privileged Identity Management, зовнішня співпраця або нестандартні потоки автентифікації.
Формат ідентифікатора перевірки: EIDSCA.{категорія}{номер} - наприклад, EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Підтримується: Агентство кібербезпеки та безпеки інфраструктури США (CISA) Версія: Поточний опублікований базовий рівень Аудиторія: Федеральні агентства США та організації, що з ними працюють; регульовані галузі Охоплення: Повний набір продуктів M365
SCuBA (Secure Cloud Business Applications) - це базовий рівень безпеки федерального уряду США для хмарних платформ продуктивності. Структурований за продуктами M365:
| Продукт | Що перевіряється |
|---|---|
| Microsoft Entra ID | Керування ідентифікацією та доступом |
| Microsoft Defender for Office 365 | Політики захисту від загроз |
| Exchange Online | Транспорт пошти, антифішинг, шифрування |
| Microsoft Teams | Зовнішній доступ, політики нарад |
| SharePoint Online та OneDrive | Спільний доступ, контроль доступу |
| Microsoft 365 Apps | Політики макросів, керування надбудовами |
| Power Platform | Політики конекторів (лише Enterprise) |
SCuBA актуальний не лише для федеральних середовищ США. Його чіткі політичні вимоги та автоматизований формат тестування роблять його корисним базовим рівнем для будь-якої організації, що шукає ретельне незалежне керівництво.
Формат ідентифікатора перевірки: MS.{ПРОДУКТ}.{номер}.{підномер} - наприклад, MS.AAD.1.1
NIS2
Підтримується: Європейський Союз Директива: EU 2022/2502 (NIS2) Аудиторія: Організації, що діють в ЄС, особливо оператори суттєвих та важливих об'єктів Охоплення: Технічні та організаційні заходи за Статтею 21
NIS2 - це не технічний еталон, а регуляторна директива. Aether365 зіставляє контролі конфігурації M365 з технічними вимогами NIS2 за Статтею 21, яка зобов'язує організації вживати належних заходів для управління ризиками кібербезпеки.
Перевірки NIS2 в Aether365 зосереджені на:
| Сфера NIS2 | Контролі M365 |
|---|---|
| Контроль доступу та автентифікація | MFA, привілейований доступ, умовний доступ |
| Обробка інцидентів | Журналювання аудиту, політики сповіщень, події безпеки |
| Безперервність бізнесу | Налаштування резервного копіювання та відновлення, розміщення даних |
| Безпека ланцюга постачання | Політики згоди на застосунки, налаштування зовнішніх конекторів |
| Базова кібергігієна | Застаріла автентифікація, налаштування, пов'язані з оновленнями |
Сфера відповідності NIS2
Aether365 охоплює технічні контролі M365, що стосуються NIS2. Повна відповідність NIS2 потребує ширшої програми технічних та організаційних заходів, що виходять за межі конфігурації M365. Результати Aether365 не є сертифікацією відповідності NIS2.
Порівняння фреймворків
| Параметр | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Орган | CIS | Відкритий код / Microsoft | CISA (США) | Регулювання ЄС |
| Фокус | Широкий M365 | Глибина Entra ID | За продуктами | Регуляторний, за ризиками |
| Рівень деталізації | Високий | Дуже високий | Високий | Середній |
| Підходить для організацій ЄС | Так | Так | Так | Обов'язковий |
| Підходить для федеральних органів США | Так | Так | Обов'язковий | Не застосовується |
| Підходить для всіх організацій | Так | Так | Так | Якщо регулюється ЄС |
| Кількість перевірок в Aether365 | ~60 | ~40 | ~50 | ~30 |
Усі фреймворки виконуються як частина Compliance сканування. Ви не можете обирати окремі фреймворки для кожного сканування - всі застосовні перевірки виконуються разом, а результати позначаються за фреймворком для фільтрації.