Контрольные показатели Center for Internet Security (CIS)

О контрольных показателях CIS

Center for Internet Security представляет собой некоммерческую организацию, чья миссия заключается в том, чтобы "выявлять, разрабатывать, утверждать, продвигать и поддерживать лучшие практические решения для киберзащиты". Он опирается на знания и опыт экспертов в области кибербезопасности и ИТ-специалистов из государственных организаций, деловых и научных кругов со всего мира. Для разработки стандартов и передовых методов, в том числе контрольных показателей CIS, средств управления и защищенных образов, они следуют консенсусной модели принятия решений.

Контрольные показатели CIS представляют собой базовые показатели конфигурации и рекомендации для безопасной настройки системы. В каждой из рекомендаций содержатся ссылки на одну или несколько точек управления CIS, которые были разработаны, чтобы помочь организациям улучшить свои возможности киберзащиты. Контрольные точки CIS соответствуют многим установленным стандартам и нормативным положениям, включая NIST Cybersecurity Framework (CSF) и NIST SP 800-53, серию стандартов ISO 27000, PCI DSS, HIPAA и другие.

Каждый контрольный показатель проходит два этапа консенсусного анализа. Первый имеет место во время первоначальной разработки, когда эксперты собираются для обсуждения, создания и тестирования рабочих проектов, и продолжается до тех пор, пока они не достигнут консенсуса по контрольному показателю. На втором этапе, после публикации контрольного показателя, консенсусная группа рассматривает отзывы интернет-сообщества для включения в контрольную точку.

В контрольных показателях CIS предусмотрены два уровня настроек безопасности:

• Уровень 1 рекомендует основные базовые требования безопасности, которые могут быть настроены в любой системе и должны вызывать незначительное или нулевое прерывание обслуживания либо снижение функциональности.
• Уровень 2 рекомендует параметры безопасности для сред, требующих повышенной безопасности, что может привести к некоторому снижению функциональности.

CIS Hardened Images представляют собой надежно настроенные образы виртуальных машин на основе контрольных показателей CIS, защищенных до профиля контрольных точек CIS уровня 1 или уровня 2. Усиление защиты – это процесс, который помогает обеспечить защиту от несанкционированного доступа, отказа в обслуживании и других киберугроз путем ограничения потенциальных слабых мест, вследствие которых системы становятся уязвимыми для кибератак.

Майкрософт и контрольные показатели CIS

Center for Internet Security (CIS) опубликовал контрольные точки производительности продуктов и служб Майкрософт, в том числе контрольные показатели для Microsoft Azure и ключевых компонентов Microsoft 365, контрольный показатель для Windows 10 и контрольный показатель для Windows Server 2016. Контрольные показатели CIS для Microsoft Azure предназначены для клиентов, которые планируют разработку, развертывание, оценку или защиту решений, включающих Azure. Документ содержит конкретные рекомендации по созданию безопасной базовой конфигурации для Azure.

Контрольные показатели CIS признаны во всем мире как стандарты безопасности для защиты ИТ-систем и данных от кибератак. Используемые тысячами предприятий, они предлагают конкретные рекомендации по созданию безопасной базовой конфигурации. Администраторы систем и приложений, специалисты по безопасности и другие специалисты, разрабатывающие решения с использованием продуктов и служб Майкрософт, могут использовать эти передовые методы для оценки и повышения безопасности своих приложений.

Как и все контрольные показатели CIS, контрольные показатели для Майкрософт были созданы с использованием процесса консенсусного анализа, основанного на мнениях экспертов в данной области, имеющих разносторонний опыт в области разработки программного обеспечения, аудита и соответствия требованиям, исследований в области безопасности, операций, взаимодействия с государственными организациями и законодательства. Корпорация Майкрософт стала полноправным партнером в рамках таких усилий CIS. В частности, Office 365 был протестирован на соответствие перечисленным службам, и полученный в результате контрольный показатель для ключевых компонентов Microsoft 365 охватывает широкий спектр рекомендаций по настройке соответствующих политик безопасности в отношении учетных записей и проверки подлинности, управления данными, разрешений приложений, хранения и других областей политики безопасности.

В дополнение к контрольным показателям для продуктов и служб Майкрософт, CIS опубликовал CIS Hardened Images, предназначенные для использования в Azure, настроенных для соответствия контрольным показателям CIS и доступных в Microsoft Azure Marketplace. Эти Images включают CIS Hardened Images для Windows Server 2016 и Windows Server 2019, а также для многих версий Linux. Все CIS Hardened Images, доступные в Azure Marketplace, сертифицированы для работы в Microsoft Azure. Как отмечается в CIS, "они были предварительно протестированы на готовность и совместимость с общедоступным облаком Microsoft Azure, платформой Microsoft Cloud Platform, размещенной поставщиками услуг через облачную сеть ОС, и локальными развертываниями Windows Server Hyper-V в частном облаке, управляемыми клиентами".

CIS Hardened Images представляют собой надежно настроенные образы виртуальных машин на основе контрольных показателей CIS, защищенных до профиля контрольных точек CIS уровня 1 или уровня 2. Усиление защиты – это процесс, который помогает обеспечить защиту от несанкционированного доступа, отказа в обслуживании и других киберугроз путем ограничения потенциальных слабых мест, вследствие которых системы становятся уязвимыми для кибератак. CIS Hardened Images доступны как в Azure, так и в Azure для государственных организаций.

Для дополнительной поддержки клиентов корпорация Майкрософт предоставляет Azure Blueprints — службу, которая помогает развертывать и обновлять облачные среды повторяющимся образом с использованием составляемых артефактов, таких как шаблоны Azure Resource Manager, для предоставления ресурсов, средств управления доступом на основе ролей и политик. Ресурсы, которые были предусмотрены в Azure Blueprints, соответствуют стандартам, шаблонам и требованиям организации. Главная цель Azure Blueprints состоит в том, чтобы помочь автоматизировать управление рисками соответствия требованиям и кибербезопасности в облачных средах. Чтобы помочь вам развернуть базовый набор политик для любой архитектуры на основе Azure, которая должна выполнять рекомендации контрольных показателей CIS для Azure, корпорация Майкрософт опубликовала Azure Blueprint для контрольных показателей CIS для Microsoft Azure. При назначении архитектуры ресурсы оцениваются политикой Azure на соответствие назначенным определениям политик.

Затрагиваемые облачные платформы и службы Майкрософт

• Azure и Azure для государственных организаций
• Office и Microsoft 365
• SQL Server
• Windows 10
• Windows 11
• Windows Server 2016

Аудит, отчеты и сертификаты

Получить полный список контрольных показателей CIS для продуктов и служб Майкрософт.

• Контрольные показатели CIS для ключевых компонентов Azure
• Контрольные показатели CIS для Microsoft 365
• Контрольный показатель для Windows 10
• Windows 11 Benchmark
• Контрольный показатель для Windows Server 2016

Методика реализации

• Контрольный показатель CIS для Azure: получите конкретные рекомендации по созданию безопасной базовой конфигурации для Azure.
• Схема обеспечения безопасности Microsoft 365: сведите к минимуму риск утечки данных или компрометации учетных записей, соблюдая эту схему.
• Базовые показатели безопасности Windows: следуйте этим рекомендациям, чтобы эффективно использовать базовые показатели безопасности в вашей организации.
• Сопроводительное руководство по контрольным точкам CIS Controls для облака: получите рекомендации по применению передовых методов безопасности в CIS Controls, версия 7 для облачных сред.

Вопросы и ответы

Будут ли параметры контрольных показателей CIS обеспечивать безопасность моих приложений?

Контрольные показатели CIS определяют базовый уровень безопасности для всех пользователей, в сферу охвата которых входят продукты и службы Майкрософт. Однако их следует рассматривать не как исчерпывающий список всех возможных конфигураций и архитектуры безопасности, а как отправную точку. Каждая организация должна при этом оценивать свою конкретную ситуацию, рабочие нагрузки и соответствие требованиям и адаптировать свою среду соответствующим образом.

Как часто обновляются контрольные показатели CIS?

Выпуск пересмотренных контрольных показателей CIS изменяется в зависимости от разработавшего их сообщества ИТ-специалистов, а также от графика выпуска технологии, поддерживаемой контрольными точками. CIS распространяет ежемесячные отчеты, в которых объявляется о новых контрольных показателях и обновлениях для существующих контрольных показателей. Для их получения зарегистрируйтесь в CIS Workbench (это бесплатно) и поставьте флажок в поле Receive newsletter (Получать бюллетень) в своем профиле.

Кто внес вклад в разработку контрольных показателей CIS для Майкрософт?

В CIS отмечает, что "контрольные показатели разрабатываются благодаря бескорыстным усилиям волонтеров-экспертов в данной области, поставщиков технологий, членов сообщества CIS Benchmark из государственных и частных организаций, а также команды разработчиков CIS Benchmark". В частности, вы найдете список участников Azure в разделе Доступен контрольный показатель CIS для ключевых компонентов Microsoft Azure v1.0.0.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы

• Документация Azure по соответствию требованиям
• Обеспечение соответствия требованиям Azure
• Предложения Майкрософт для соответствия требованиям
• Соответствие требованиям в центре управления безопасностью Майкрософт
• Контрольные показатели CIS для Microsoft Azure предоставляют пошаговый контрольный список для обеспечения безопасности Azure.
• CIS Hardened Images в Microsoft Azure сертифицированы для Azure и предварительно настроены в соответствии с рекомендациями по безопасности контрольных показателей CIS. Они доступны как в Azure, так и в Azure для государственных организаций.
• Azure Blueprint для контрольных показателей CIS для Microsoft Azure помогают развертывать базовый набор политик для любой архитектуры на основе Azure, которая должна выполнять рекомендации контрольных показателей CIS для Azure.
• Сопоставление рекомендаций политики Azure предоставляет подробные сведения об определениях политик, включенных в приведенный выше Blueprint, и о том, как эти определения политик сопоставляются с доменами соответствия требованиям и элементами управления в контрольных показателях CIS для Microsoft Azure. При назначении архитектуры ресурсы оцениваются политикой Azure на несоответствие назначенным определениям политик.
• Сопроводительное руководство по контрольным точкам CIS Controls для облака предоставляет рекомендации по применению передовых методов безопасности в CIS Controls, версия 7 для облачных сред.
• Контрольные показатели CIS для Microsoft 365 предоставляет конкретные рекомендации по созданию безопасной базовой конфигурации для Microsoft 365.
• Параметры политики безопасности Windows 10
• Безопасность Windows 10 Корпоративная