Standardy dodržování právních předpisů v Programu Microsoft Defender for Cloud
Microsoft Defender pro cloud zjednodušuje proces dodržování právních předpisů tím, že vám pomáhá identifikovat problémy, které vám brání splnit konkrétní standard dodržování předpisů nebo dosáhnout certifikace dodržování předpisů.
Oborové standardy, regulační standardy a srovnávací testy jsou reprezentovány v Programu Defender for Cloud jako standardy zabezpečení a zobrazují se na řídicím panelu dodržování právních předpisů .
Kontrolní mechanismy dodržování předpisů
Každý standard zabezpečení se skládá z několika kontrolních mechanismů dodržování předpisů, což jsou logické skupiny souvisejících doporučení zabezpečení.
Defender for Cloud průběžně vyhodnocuje rozsah prostředí proti všem kontrolním mechanismům dodržování předpisů, které je možné automaticky posoudit. Na základě posouzení zobrazuje prostředky jako vyhovující nebo nekompatibilní s ovládacími prvky.
Poznámka:
Je důležité si uvědomit, že pokud mají standardy kontrolní mechanismy dodržování předpisů, které se nedají automaticky posoudit, Defender for Cloud nedokáže rozhodnout, jestli je prostředek v souladu s kontrolou. V tomto případě se ovládací prvek zobrazí šedě.
Zobrazení standardů dodržování předpisů
Řídicí panel dodržování právních předpisů poskytuje interaktivní přehled stavu dodržování předpisů.
Na řídicím panelu můžete:
- Získejte souhrn kontrol standardů, které byly předány.
- Získejte souhrn standardů, které mají nejnižší míru průchodu prostředků.
- Zkontrolujte standardy použité ve vybraném oboru.
- Zkontrolujte posouzení kontrol dodržování předpisů v rámci každého použitého standardu.
- Získejte souhrnnou sestavu pro konkrétní standard.
- Spravujte zásady dodržování předpisů, abyste viděli standardy přiřazené ke konkrétnímu oboru.
- Spuštění dotazu pro vytvoření vlastní sestavy dodržování předpisů
- Vytvořte "sešit dodržování předpisů v průběhu času", abyste mohli sledovat stav dodržování předpisů v průběhu času.
- Stáhněte si sestavy auditu.
- Zkontrolujte nabídky dodržování předpisů pro audity Microsoftu a třetích stran.
Standardní podrobnosti o dodržování předpisů
Pro každou normu dodržování předpisů můžete zobrazit:
- Rozsah standardního.
- Každý standard rozdělený do skupin ovládacích prvků a podřadičů.
- Když použijete standard pro obor, zobrazí se souhrn posouzení dodržování předpisů pro prostředky v rámci oboru pro každý standardní ovládací prvek.
- Stav posouzení odráží soulad se standardem. Existují tři stavy:
- Zelený kruh označuje, že prostředky v oboru odpovídají ovládacímu prvku.
- Červený kruh označuje, že prostředky nevyhovují ovládacímu prvku.
- Nedostupné ovládací prvky jsou ty, které nelze automaticky posoudit, a proto Defender for Cloud nemůže získat přístup k tomu, jestli jsou prostředky kompatibilní.
Můžete přejít k podrobnostem o ovládacích prvcích, abyste získali informace o prostředcích, které prošly nebo selhaly posouzení, a o nápravných krocích.
Výchozí standardy dodržování předpisů
Když ve výchozím nastavení povolíte Defender for Cloud, jsou povolené následující standardy:
- Pro Azure: Microsoft Cloud Security Benchmark (MCSB)
- AWS: Microsoft Cloud Security Benchmark (MCSB) a standard osvědčených postupů zabezpečení AWS Foundational Security.
- Pro GCP: Microsoft Cloud Security Benchmark (MCSB) a GCP Default.
Dostupné standardy dodržování předpisů
V programu Defender for Cloud jsou k dispozici následující standardy:
| Standardy pro předplatná Azure | Standardy pro účty AWS | Standardy pro projekty GCP |
|---|---|---|
| Australian Government ISM Protected | Osvědčené postupy zabezpečení AWS Foundational | Brazilský obecný zákon o ochraně osobních údajů (LGPD) |
| Canada Federal PBMM | Dobře navržená architektura AWS | California Consumer Privacy Act (CCPA) |
| CIS Azure Foundations | Brazilský obecný zákon o ochraně osobních údajů (LGPD) | Ovládací prvky CIS |
| CMMC | California Consumer Privacy Act (CCPA) | Základy CIS GCP |
| FedRAMP 'H' & 'M' | ZÁKLADY CIS AWS | Srovnávací test CIS Google Cloud Platform Foundation |
| HIPAA/HITRUST | Profil CRI | Srovnávací test CIS Google Kubernetes Engine (GKE) |
| ISO/IEC 27001 | Matice cloudových ovládacích prvků CSA (CCM) | Profil CRI |
| Nový Zéland ISM s omezeným přístupem | GDPR | Matice cloudových ovládacích prvků CSA (CCM) |
| NIST SP 800-171 | ISO/IEC 27001 | Certifikace modelu vyspělosti kybernetické bezpečnosti (CMMC) |
| NIST SP 800-53 | ISO/IEC 27002 | Nástroj pro posouzení kybernetické bezpečnosti FFIEC (CAT) |
| PCI DSS | Architektura kybernetické bezpečnosti NIST (CSF) | GDPR |
| RMIT Malajsie | NIST SP 800-172 | ISO/IEC 27001 |
| SOC 2 | PCI DSS | ISO/IEC 27002 |
| SWIFT CSP CSCF | ISO/IEC 27017 | |
| UK OFFICIAL a UK NHS | Architektura kybernetické bezpečnosti NIST (CSF) | |
| NIST SP 800-53 | ||
| NIST SP 800-171 | ||
| NIST SP 800-172 | ||
| PCI DSS | ||
| Sarbanes Oxley Act (SOX) | ||
| SOC 2 |