Dettagli dell'iniziativa predefinita Swift CSP-CSCF v2022 Per la conformità alle normative

Articolo
04/17/2024

L'articolo seguente illustra in dettaglio il mapping della definizione dell'iniziativa predefinita conformità alle normative Criteri di Azure ai domini di conformità e ai controlli in SWIFT CSP-CSCF v2022. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP-CSCF v2022. Per informazioni sulla Proprietà, vedere Struttura delle definizioni di criteri in Criteri di Azure e Responsabilità condivisa nel cloud.

I mapping seguenti sono relativi ai controlli SWIFT CSP-CSCF v2022 . Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Individuare e selezionare quindi la definizione dell'iniziativa predefinita Swift CSP-CSCF v2022 Per la conformità alle normative.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.

1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale

Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno.

ID: SWIFT CSCF v2022 1.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito	Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato	AuditIfNotExists, Disabled	3.0.0-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux	Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche.	AuditIfNotExists, Disabled	1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows	Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche.	AuditIfNotExists, Disabled	1.0.2-preview
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer	Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note.	AuditIfNotExists, Disabled	3.0.0
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet	Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale	AuditIfNotExists, Disabled	3.0.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale	Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse.	AuditIfNotExists, Disabled	3.0.0
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate	Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi.	AuditIfNotExists, Disabled	3.0.0
servizio app le app devono usare un endpoint servizio di rete virtuale	Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sui servizio app endpoint di servizio, visitare https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, Disabled	2.0.1
Azure Key Vault deve avere il firewall abilitato	Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Deny, Disabled	3.2.1
Verificare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne	CMA_0053 - Verificare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne	Manuale, Disabilitato	1.1.0
Garantire che i provider esterni soddisfino costantemente gli interessi dei clienti	CMA_C1592 - Garantire che i provider esterni soddisfino costantemente gli interessi dei clienti	Manuale, Disabilitato	1.1.0
Implementare la protezione dei limiti di sistema	CMA_0328 - Implementare la protezione dei limiti del sistema	Manuale, Disabilitato	1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato	L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete.	AuditIfNotExists, Disabled	3.0.0
Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale	Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale.	Audit, Disabled	1.0.0
È consigliabile abilitare Network Watcher	Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area.	AuditIfNotExists, Disabled	3.0.0
Esaminare la conformità del provider di servizi cloud con i criteri e i contratti	CMA_0469 - Esaminare la conformità del provider di servizi cloud con i criteri e i contratti	Manuale, Disabilitato	1.1.0
Gli account di archiviazione devono limitare l'accesso alla rete	L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici	Audit, Deny, Disabled	1.1.1
Gli account di archiviazione devono usare un endpoint servizio di rete virtuale	Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale.	Audit, Disabled	1.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete	È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet.	AuditIfNotExists, Disabled	3.0.0
Sottoposto a revisione della sicurezza indipendente	CMA_0515 - Sottoposto a revisione della sicurezza indipendente	Manuale, Disabilitato	1.1.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato	Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Disabled, Deny	1.1.0

Limitare e controllare l'allocazione e l'utilizzo degli account del sistema operativo a livello di amministratore.

ID: SWIFT CSCF v2022 1.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari	È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso.	AuditIfNotExists, Disabled	3.0.0
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi	Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso.	AuditIfNotExists, Disabled	1.0.0
Definire e applicare le condizioni per gli account condivisi e di gruppo	CMA_0117 - Definire e applicare le condizioni per gli account condivisi e di gruppo	Manuale, Disabilitato	1.1.0
Progettare un modello di controllo di accesso	CMA_0129 - Progettare un modello di controllo di accesso	Manuale, Disabilitato	1.1.0
Sviluppare e definire un piano di sicurezza del sistema	CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema	Manuale, Disabilitato	1.1.0
Sviluppare criteri e procedure di sicurezza delle informazioni	CMA_0158 - Sviluppare criteri e procedure di sicurezza delle informazioni	Manuale, Disabilitato	1.1.0
Usare l'accesso con privilegi minimi	CMA_0212 - Usare l'accesso con privilegi minimi	Manuale, Disabilitato	1.1.0
Stabilire un programma di privacy	CMA_0257 - Stabilire un programma di privacy	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi	Manuale, Disabilitato	1.1.0
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi	È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato.	AuditIfNotExists, Disabled	1.0.0
Implementare i principi di progettazione della sicurezza dei sistemi informativi	CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi	Manuale, Disabilitato	1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT	I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.0.0
Monitorare l'attività dell'account	CMA_0377 - Monitorare l'attività dell'account	Manuale, Disabilitato	1.1.0
Monitorare l'assegnazione di ruolo con privilegi	CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi	Manuale, Disabilitato	1.1.0
Limitare l'accesso agli account con privilegi	CMA_0446 - Limitare l'accesso agli account con privilegi	Manuale, Disabilitato	1.1.0
Revocare i ruoli con privilegi in base alle esigenze	CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze	Manuale, Disabilitato	1.1.0
Alla sottoscrizione deve essere assegnato più di un proprietario	È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore.	AuditIfNotExists, Disabled	3.0.0
Usare privileged identity management	CMA_0533 - Usare Privileged Identity Management	Manuale, Disabilitato	1.1.0

ID: SWIFT CSCF v2022 1.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controlla macchine virtuali che non usano dischi gestiti	Questo criterio controlla le macchine virtuali che non usano dischi gestiti	controllo	1.0.0
Implementare la protezione dei limiti di sistema	CMA_0328 - Implementare la protezione dei limiti del sistema	Manuale, Disabilitato	1.1.0

Controllare/proteggere l'accesso a Internet da PC e sistemi dell'operatore all'interno della zona sicura.

ID: SWIFT CSCF v2022 1.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito	Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato	AuditIfNotExists, Disabled	3.0.0-preview
Autorizzare l'accesso remoto	CMA_0024 - Autorizzare l'accesso remoto	Manuale, Disabilitato	1.1.0
Definire l'uso crittografico	CMA_0120 - Definire l'uso crittografico	Manuale, Disabilitato	1.1.0
Documentare e implementare linee guida per l'accesso wireless	CMA_0190 - Documentare e implementare linee guida per l'accesso wireless	Manuale, Disabilitato	1.1.0
Documentare il training sulla mobilità	CMA_0191 - Documentare la formazione sulla mobilità	Manuale, Disabilitato	1.1.0
Documentare le linee guida per l'accesso remoto	CMA_0196 - Documentare le linee guida per l'accesso remoto	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere i siti di lavoro alternativi	CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi	Manuale, Disabilitato	1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
Proteggere l'accesso wireless	CMA_0411 - Proteggere l'accesso wireless	Manuale, Disabilitato	1.1.0
Fornire formazione sulla privacy	CMA_0415 - Fornire formazione sulla privacy	Manuale, Disabilitato	1.1.0

Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale.

ID: SWIFT CSCF v2022 1.5A Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito	Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato	AuditIfNotExists, Disabled	3.0.0-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux	Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche.	AuditIfNotExists, Disabled	1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows	Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche.	AuditIfNotExists, Disabled	1.0.2-preview
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer	Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note.	AuditIfNotExists, Disabled	3.0.0
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet	Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale	AuditIfNotExists, Disabled	3.0.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale	Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse.	AuditIfNotExists, Disabled	3.0.0
servizio app le app devono usare un endpoint servizio di rete virtuale	Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sui servizio app endpoint di servizio, visitare https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, Disabled	2.0.1
Protezione DDoS di Azure deve essere abilitata	La protezione DDoS deve essere abilitata per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico.	AuditIfNotExists, Disabled	3.0.1
Azure Key Vault deve avere il firewall abilitato	Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Deny, Disabled	3.2.1
Flusso di informazioni di controllo	CMA_0079 - Flusso di informazioni di controllo	Manuale, Disabilitato	1.1.0
Usare la protezione dei limiti per isolare i sistemi informativi	CMA_C1639 - Usare la protezione dei limiti per isolare i sistemi informativi	Manuale, Disabilitato	1.1.0
Usare meccanismi di controllo del flusso di informazioni crittografate	CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate	Manuale, Disabilitato	1.1.0
Impiegare restrizioni sulle interconnessioni del sistema esterno	CMA_C1155 - Impiegare restrizioni sulle interconnessioni del sistema esterno	Manuale, Disabilitato	1.1.0
Stabilire gli standard di configurazione del firewall e del router	CMA_0272 - Stabilire gli standard di configurazione del firewall e del router	Manuale, Disabilitato	1.1.0
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda	Manuale, Disabilitato	1.1.0
Identificare e gestire scambi di informazioni downstream	CMA_0298 - Identificare e gestire scambi di informazioni downstream	Manuale, Disabilitato	1.1.0
Implementare l'interfaccia gestita per ogni servizio esterno	CMA_C1626 - Implementare l'interfaccia gestita per ogni servizio esterno	Manuale, Disabilitato	1.1.0
Implementare la protezione dei limiti di sistema	CMA_0328 - Implementare la protezione dei limiti del sistema	Manuale, Disabilitato	1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete	Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc	AuditIfNotExists, Disabled	3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato	L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete.	AuditIfNotExists, Disabled	3.0.0
Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale	Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale.	Audit, Disabled	1.0.0
È consigliabile abilitare Network Watcher	Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area.	AuditIfNotExists, Disabled	3.0.0
Gli account di archiviazione devono limitare l'accesso alla rete	L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici	Audit, Deny, Disabled	1.1.1
Gli account di archiviazione devono usare un endpoint servizio di rete virtuale	Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale.	Audit, Disabled	1.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete	È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet.	AuditIfNotExists, Disabled	3.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato	Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Disabled, Deny	1.1.0

2. Ridurre la superficie di attacco e le vulnerabilità

ID: SWIFT CSCF v2022 2.1 Proprietà: Condiviso

Ridurre al minimo l'occorrenza di vulnerabilità tecniche note nei PC degli operatori e all'interno dell'infrastruttura SWIFT locale assicurando il supporto del fornitore, applicando aggiornamenti software obbligatori e applicando aggiornamenti della sicurezza tempestivi allineati al rischio valutato.

ID: SWIFT CSCF v2022 2.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità	Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol.	modify	4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente	Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol.	modify	4.1.0
Controlla le macchine virtuali Windows in attesa di riavvio	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il computer è in attesa di riavvio per uno dei motivi seguenti: manutenzione basata su componenti, Windows Update, ridenominazione file in sospeso, ridenominazione computer in sospeso, Gestione configurazione in attesa di riavvio. Per ogni rilevamento è presente un percorso del Registro di sistema univoco.	auditIfNotExists	2.0.0
Correlare le informazioni sull'analisi della vulnerabilità	CMA_C1558 - Correlare le informazioni sull'analisi della vulnerabilità	Manuale, Disabilitato	1.1.1
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows	Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Diffondere gli avvisi di sicurezza al personale	CMA_C1705 - Distribuire avvisi di sicurezza al personale	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati	Controlla se devono essere installati aggiornamenti critici e aggiornamenti della sicurezza del sistema mancanti per garantire che i set di scalabilità di macchine virtuali Windows e Linux siano sicuri.	AuditIfNotExists, Disabled	3.0.0
Gli aggiornamenti di sistema devono essere installati nelle macchine	Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	4.0.0
Usare meccanismi automatizzati per gli avvisi di sicurezza	CMA_C1707 - Usare meccanismi automatizzati per gli avvisi di sicurezza	Manuale, Disabilitato	1.1.0

ID: SWIFT CSCF v2022 2.3 Proprietà: Condiviso

Garantire la riservatezza, l'integrità e l'autenticità reciproca dei flussi di dati tra i componenti dell'infrastruttura SWIFT locale o remota e gli hop iniziali del back-office a cui si connettono.

ID: SWIFT CSCF v2022 2.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire il backup della documentazione del sistema informativo	CMA_C1289 - Eseguire il backup della documentazione del sistema informativo	Manuale, Disabilitato	1.1.0
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Stabilire criteri e procedure di backup	CMA_0268 - Stabilire criteri e procedure di backup	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Notificare agli utenti l'accesso o l'accesso al sistema	CMA_0382 - Notificare agli utenti l'accesso o l'accesso al sistema	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0

Back-office Flusso di dati Security

ID: SWIFT CSCF v2022 2.4A Proprietà: Customer

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
L'autenticazione nei computer Linux deve richiedere chiavi SSH	Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, Disabled	3.2.0
Le variabili dell'account di automazione devono essere crittografate	È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili	Audit, Deny, Disabled	1.1.0
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri	Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer.	AuditIfNotExists, Disabled	4.1.1

ID: SWIFT CSCF v2022 2.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire il backup della documentazione del sistema informativo	CMA_C1289 - Eseguire il backup della documentazione del sistema informativo	Manuale, Disabilitato	1.1.0
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Stabilire criteri e procedure di backup	CMA_0268 - Stabilire criteri e procedure di backup	Manuale, Disabilitato	1.1.0
Implementare controlli per proteggere tutti i supporti	CMA_0314 - Implementare controlli per proteggere tutti i supporti	Manuale, Disabilitato	1.1.0
Gestire il trasporto delle risorse	CMA_0370 - Gestire il trasporto delle risorse	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0

Protezione dei dati personali dalla trasmissione esterna

ID: SWIFT CSCF v2022 2.5A Proprietà: Customer

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza	Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Controlla macchine virtuali che non usano dischi gestiti	Questo criterio controlla le macchine virtuali che non usano dischi gestiti	controllo	1.0.0
Le variabili dell'account di automazione devono essere crittografate	È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili	Audit, Deny, Disabled	1.1.0
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali	È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente.	AuditIfNotExists, Disabled	3.0.0
L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione	Usare la ridondanza geografica per creare applicazioni a disponibilità elevata	Audit, Disabled	1.0.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione	Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione	Audit, Deny, Disabled	2.0.0
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione	Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison	AuditIfNotExists, Disabled	2.0.3

ID: SWIFT CSCF v2022 2.6 Proprietà: Condiviso

Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un normale processo di analisi delle vulnerabilità e agire sui risultati.

ID: SWIFT CSCF v2022 2.7 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali	Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento.	AuditIfNotExists, Disabled	3.0.0
Azure Defender per il Servizio app deve essere abilitato	Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni.	AuditIfNotExists, Disabled	1.0.3
Azure Defender per Key Vault deve essere abilitato	Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault.	AuditIfNotExists, Disabled	1.0.3
Azure Defender per i server deve essere abilitato	Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette.	AuditIfNotExists, Disabled	1.0.3
Correlare le informazioni sull'analisi della vulnerabilità	CMA_C1558 - Correlare le informazioni sull'analisi della vulnerabilità	Manuale, Disabilitato	1.1.1
Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità	CMA_C1555 - Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Integrare la correzione dei difetti nella gestione della configurazione	CMA_C1671 - Incorpora correzione dei difetti nella gestione della configurazione	Manuale, Disabilitato	1.1.0
Microsoft Defender per Archiviazione deve essere abilitato	Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi.	AuditIfNotExists, Disabled	1.0.0
Osservare e segnalare i punti deboli della sicurezza	CMA_0384 - Osservare e segnalare i punti deboli della sicurezza	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire la modellazione delle minacce	CMA_0392 - Eseguire la modellazione delle minacce	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori	Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure.	AuditIfNotExists, Disabled	3.0.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte	I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.1.0
Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte	Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi.	AuditIfNotExists, Disabled	3.0.0

Garantire un approccio coerente ed efficace per il monitoraggio della messaggistica dei clienti.

ID: SWIFT CSCF v2022 2.8.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Valutare il rischio nelle relazioni di terze parti	CMA_0014 - Valutare il rischio nelle relazioni di terze parti	Manuale, Disabilitato	1.1.0
Definire e documentare la supervisione degli enti pubblici	CMA_C1587 - Definire e documentare la supervisione governativa	Manuale, Disabilitato	1.1.0
Definire i requisiti per fornire beni e servizi	CMA_0126 - Definire i requisiti per la fornitura di beni e servizi	Manuale, Disabilitato	1.1.0
Determinare gli obblighi del contratto fornitore	CMA_0140 - Determinare gli obblighi del contratto fornitore	Manuale, Disabilitato	1.1.0
Stabilire criteri per la gestione dei rischi della supply chain	CMA_0275 - Stabilire criteri per la gestione dei rischi della supply chain	Manuale, Disabilitato	1.1.0
Richiedere ai provider di servizi esterni di rispettare i requisiti di sicurezza	CMA_C1586 - Richiedere ai provider di servizi esterni di rispettare i requisiti di sicurezza	Manuale, Disabilitato	1.1.0
Esaminare la conformità del provider di servizi cloud con i criteri e i contratti	CMA_0469 - Esaminare la conformità del provider di servizi cloud con i criteri e i contratti	Manuale, Disabilitato	1.1.0
Sottoposto a revisione della sicurezza indipendente	CMA_0515 - Sottoposto a revisione della sicurezza indipendente	Manuale, Disabilitato	1.1.0

Garantire la protezione dell'infrastruttura SWIFT locale dai rischi esposti dall'esternalizzazione delle attività critiche.

ID: SWIFT CSCF v2022 2.8A Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Determinare gli obblighi del contratto fornitore	CMA_0140 - Determinare gli obblighi del contratto fornitore	Manuale, Disabilitato	1.1.0
Criteri di accettazione del contratto di acquisizione documenti	CMA_0187 - Criteri di accettazione del contratto di acquisizione documenti	Manuale, Disabilitato	1.1.0
Protezione dei dati personali nei contratti di acquisizione	CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Protezione dei documenti delle informazioni di sicurezza nei contratti di acquisizione	CMA_0195 - Protezione documentale delle informazioni di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Requisiti dei documenti per l'uso dei dati condivisi nei contratti	CMA_0197 - Documentare i requisiti per l'uso dei dati condivisi nei contratti	Manuale, Disabilitato	1.1.0
Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione	CMA_0199 - Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti della documentazione sulla sicurezza nel contratto di acquisizione	CMA_0200 - Documentare i requisiti della documentazione di sicurezza nel contratto di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione	CMA_0201 - Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare i requisiti di sicurezza nei contratti di acquisizione	CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare l'ambiente del sistema informativo nei contratti di acquisizione	CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti	CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti	Manuale, Disabilitato	1.1.0

Verificare l'attività delle transazioni in uscita entro i limiti previsti del normale business.

ID: SWIFT CSCF v2022 2.9 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Autorizzare, monitorare e controllare voip	CMA_0025 - Autorizzare, monitorare e controllare voip	Manuale, Disabilitato	1.1.0
Flusso di informazioni di controllo	CMA_0079 - Flusso di informazioni di controllo	Manuale, Disabilitato	1.1.0
Usare meccanismi di controllo del flusso di informazioni crittografate	CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate	Manuale, Disabilitato	1.1.0
Implementare la protezione dei limiti di sistema	CMA_0328 - Implementare la protezione dei limiti del sistema	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Instradare il traffico attraverso i punti di accesso alla rete gestita	CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita	Manuale, Disabilitato	1.1.0

Limitare l'attività delle transazioni alle controparti aziendali convalidate e approvate.

ID: SWIFT CSCF v2022 2.11A Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza	Manuale, Disabilitato	1.1.0
Autorizzare e gestire l'accesso	CMA_0023 - Autorizzare e gestire l'accesso	Manuale, Disabilitato	1.1.0
Progettare un modello di controllo di accesso	CMA_0129 - Progettare un modello di controllo di accesso	Manuale, Disabilitato	1.1.0
Usare l'accesso con privilegi minimi	CMA_0212 - Usare l'accesso con privilegi minimi	Manuale, Disabilitato	1.1.0
Applicare l'accesso logico	CMA_0245 - Applicare l'accesso logico	Manuale, Disabilitato	1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali	CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali	Manuale, Disabilitato	1.1.0
Riassegnare o rimuovere i privilegi utente in base alle esigenze	CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze	Manuale, Disabilitato	1.1.0
Richiedere l'approvazione per la creazione dell'account	CMA_0431 - Richiedi approvazione per la creazione dell'account	Manuale, Disabilitato	1.1.0
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili	Manuale, Disabilitato	1.1.0
Esaminare i privilegi utente	CMA_C1039 - Esaminare i privilegi utente	Manuale, Disabilitato	1.1.0

3. Proteggere fisicamente l'ambiente

Impedire l'accesso fisico non autorizzato a apparecchiature sensibili, ambienti di lavoro, siti di hosting e archiviazione.

ID: SWIFT CSCF v2022 3.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controlla macchine virtuali che non usano dischi gestiti	Questo criterio controlla le macchine virtuali che non usano dischi gestiti	controllo	1.0.0
Controllare l'accesso fisico	CMA_0081 - Controllare l'accesso fisico	Manuale, Disabilitato	1.1.0
Definire un processo di gestione delle chiavi fisiche	CMA_0115 - Definire un processo di gestione delle chiavi fisiche	Manuale, Disabilitato	1.1.0
Stabilire e gestire un inventario degli asset	CMA_0266 - Stabilire e gestire un inventario degli asset	Manuale, Disabilitato	1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	Manuale, Disabilitato	1.1.0
Installare un sistema di allarme	CMA_0338 - Installare un sistema di allarme	Manuale, Disabilitato	1.1.0
Gestire un sistema di telecamere di sorveglianza sicuro	CMA_0354 - Gestire un sistema di telecamera di sorveglianza sicura	Manuale, Disabilitato	1.1.0
Esaminare e aggiornare criteri e procedure fisici e ambientali	CMA_C1446 - Rivedere e aggiornare criteri e procedure fisiche e ambientali	Manuale, Disabilitato	1.1.0

4. Impedire la compromissione delle credenziali

Assicurarsi che le password siano sufficientemente resistenti agli attacchi comuni alle password implementando e applicando criteri password efficaci.

ID: SWIFT CSCF v2022 4.1 Proprietà: Condiviso

ID: SWIFT CSCF v2022 4.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA	È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse.	AuditIfNotExists, Disabled	1.0.0
Adottare meccanismi di autenticazione biometrica	CMA_0005 - Adottare meccanismi di autenticazione biometrica	Manuale, Disabilitato	1.1.0
Identificare ed autenticare i dispositivi di rete	CMA_0296 - Identificare ed autenticare i dispositivi di rete	Manuale, Disabilitato	1.1.0

5. Gestire le identità e separare i privilegi

Applicare i principi di sicurezza dell'accesso, dei privilegi minimi e della separazione dei compiti per gli account degli operatori.

ID: SWIFT CSCF v2022 5.1 Proprietà: Condiviso

Verificare la corretta gestione, il rilevamento e l'uso dell'autenticazione hardware connessa e disconnessa o dei token personali (quando vengono usati i token).

ID: SWIFT CSCF v2022 5.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Distribuire autenticatori	CMA_0184 - Distribuire autenticatori	Manuale, Disabilitato	1.1.0
Stabilire tipi e processi di autenticazione	CMA_0267 - Stabilire tipi e processi di autenticazione	Manuale, Disabilitato	1.1.0
Stabilire procedure per la distribuzione iniziale dell'autenticatore	CMA_0276 - Stabilire procedure per la distribuzione iniziale dell'autenticatore	Manuale, Disabilitato	1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT	I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti	AuditIfNotExists, Disabled	3.0.0
Verificare l'identità prima di distribuire gli autenticatori	CMA_0538 - Verificare l'identità prima di distribuire gli autenticatori	Manuale, Disabilitato	1.1.0

Nella misura consentita e praticabile, garantire l'affidabilità del personale che opera l'ambiente SWIFT locale eseguendo regolarmente lo screening del personale.

ID: SWIFT CSCF v2022 5.3A Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Cancellare il personale con accesso alle informazioni classificate	CMA_0054 - Cancellare il personale con accesso alle informazioni classificate	Manuale, Disabilitato	1.1.0
Assicurarsi che i contratti di accesso siano firmati o riassegnati tempestivamente	CMA_C1528 - Assicurarsi che i contratti di accesso siano firmati o riassegnati tempestivamente	Manuale, Disabilitato	1.1.0
Implementare lo screening del personale	CMA_0322 - Implementare lo screening del personale	Manuale, Disabilitato	1.1.0
Proteggere informazioni speciali	CMA_0409 - Proteggere informazioni speciali	Manuale, Disabilitato	1.1.0
Rielaborare i singoli utenti a una frequenza definita	CMA_C1512 - Rielaborare gli utenti a una frequenza definita	Manuale, Disabilitato	1.1.0

Proteggere fisicamente e logicamente il repository di password registrate.

ID: SWIFT CSCF v2022 5.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile	Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile	AuditIfNotExists, Disabled	2.0.0
Documentare i requisiti di sicurezza nei contratti di acquisizione	CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Stabilire un criterio password	CMA_0256 - Stabilire un criterio password	Manuale, Disabilitato	1.1.0
Implementare i parametri per i verificatori segreti memorizzati	CMA_0321 - Implementare i parametri per i verificatori segreti memorizzati	Manuale, Disabilitato	1.1.0
È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi	L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita.	Audit, Deny, Disabled	2.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0

6. Rilevare attività anomale a sistemi o record delle transazioni

Assicurarsi che l'infrastruttura SWIFT locale sia protetta da malware e agisca sui risultati.

ID: SWIFT CSCF v2022 6.1 Proprietà: Condiviso

ID: SWIFT CSCF v2022 6.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Configurare le workstation per verificare la presenza di certificati digitali	CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali	Manuale, Disabilitato	1.1.0
Usare l'arresto/riavvio automatico quando vengono rilevate violazioni	CMA_C1715 - Usare l'arresto/riavvio automatico quando vengono rilevate violazioni	Manuale, Disabilitato	1.1.0
Proteggere i dati in transito tramite la crittografia	CMA_0403 - Proteggere i dati in transito tramite la crittografia	Manuale, Disabilitato	1.1.0
Proteggere le password con la crittografia	CMA_0408 - Proteggere le password con la crittografia	Manuale, Disabilitato	1.1.0
Verificare l'integrità del software, del firmware e delle informazioni	CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni	Manuale, Disabilitato	1.1.0
Visualizzare e configurare i dati di diagnostica del sistema	CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema	Manuale, Disabilitato	1.1.0

Verificare l'integrità dei record di database per l'interfaccia di messaggistica SWIFT o il connettore del cliente e agire sui risultati.

ID: SWIFT CSCF v2022 6.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Verificare l'integrità del software, del firmware e delle informazioni	CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni	Manuale, Disabilitato	1.1.0
Visualizzare e configurare i dati di diagnostica del sistema	CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema	Manuale, Disabilitato	1.1.0

Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale.

ID: SWIFT CSCF v2022 6.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate	Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata.	AuditIfNotExists, Disabled	2.0.1-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux	Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche.	AuditIfNotExists, Disabled	1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows	Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche.	AuditIfNotExists, Disabled	1.0.2-preview
Il log attività deve essere conservato per almeno un anno	Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0).	AuditIfNotExists, Disabled	1.0.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità	Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol.	modify	4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente	Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol.	modify	4.1.0
Tutte le risorse del log del flusso devono essere in stato abilitato	Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora.	Audit, Disabled	1.0.1
servizio app le app devono avere i log delle risorse abilitati	Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa.	AuditIfNotExists, Disabled	2.0.1
Controllare le funzioni con privilegi	CMA_0019 - Controllare le funzioni con privilegi	Manuale, Disabilitato	1.1.0
Controllare lo stato dell'account utente	CMA_0020 - Controllare lo stato dell'account utente	Manuale, Disabilitato	1.1.0
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza	Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione	Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create.	AuditIfNotExists, Disabled	1.0.1
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali	È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente.	AuditIfNotExists, Disabled	3.0.0
Azure Defender per il Servizio app deve essere abilitato	Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni.	AuditIfNotExists, Disabled	1.0.3
Azure Defender per Key Vault deve essere abilitato	Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault.	AuditIfNotExists, Disabled	1.0.3
Azure Defender per i server deve essere abilitato	Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette.	AuditIfNotExists, Disabled	1.0.3
Il profilo di log di Monitoraggio di Azure deve raccogliere i log per le categorie 'scrittura', 'eliminazione' e 'azione'	Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione'	AuditIfNotExists, Disabled	1.0.0
I cluster di log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia)	Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	audit, Audit, Deny, Deny, disabled, Disabled	1.1.0
I cluster di log di Monitoraggio di Azure devono essere crittografati con la chiave gestita dal cliente	Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	audit, Audit, Deny, Deny, disabled, Disabled	1.1.0
I log di Monitoraggio di Azure per Application Insights devono essere collegati a un'area di lavoro Log Analytics	Collegare il componente Application Insights a un'area di lavoro Log Analytics per la crittografia dei log. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso ai dati in Monitoraggio di Azure. Il collegamento del componente a un'area di lavoro Log Analytics abilitata con una chiave gestita dal cliente garantisce che i log di Application Insights soddisfino questo requisito di conformità, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	audit, Audit, Deny, Deny, disabled, Disabled	1.1.0
Monitoraggio di Azure deve raccogliere i log attività da tutte le aree	Questo criterio controlla il profilo del log di Monitoraggio di Azure che non esporta le attività da tutte le aree supportate da Azure, incluse quelle globali.	AuditIfNotExists, Disabled	2.0.0
La soluzione 'Sicurezza e controllo' di Monitoraggio di Azure deve essere distribuita	Questo criterio garantisce che il servizio Sicurezza e controllo sia distribuito.	AuditIfNotExists, Disabled	1.0.0
Correlare i record di controllo	CMA_0087 - Correlare i record di controllo	Manuale, Disabilitato	1.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows	Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Determinare gli eventi controllabili	CMA_0137 - Determinare gli eventi controllabili	Manuale, Disabilitato	1.1.0
Stabilire i requisiti per la revisione e la creazione di report di controllo	CMA_0277 - Stabilire i requisiti per la revisione e la creazione di report di controllo	Manuale, Disabilitato	1.1.0
I log dei flussi devono essere configurati per ogni gruppo di sicurezza di rete	Controllare che i gruppi di sicurezza di rete verifichino se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora.	Audit, Disabled	1.1.0
Integrare la revisione, l'analisi e la creazione di report di controllo	CMA_0339 - Integrare la revisione di controllo, l'analisi e la creazione di report	Manuale, Disabilitato	1.1.0
Integrare Cloud App Security con una soluzione siem	CMA_0340 - Integrare Cloud App Security con una soluzione siem	Manuale, Disabilitato	1.1.0
L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate	Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata.	AuditIfNotExists, Disabled	2.0.1
Microsoft Defender per Archiviazione deve essere abilitato	Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi.	AuditIfNotExists, Disabled	1.0.0
I log dei flussi di Network Watcher devono avere l'analisi del traffico abilitata	Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni di Azure e identificare le aree sensibili, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora.	Audit, Disabled	1.0.1
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Fornire avvisi in tempo reale per gli errori degli eventi di controllo	CMA_C1114 - Fornire avvisi in tempo reale per gli errori degli eventi di controllo	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
È necessario abilitare i log delle risorse negli account Batch	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
I log delle risorse devono essere abilitati in Key Vault	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
I log delle risorse in App per la logica devono essere abilitati	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.1.0
I log delle risorse nelle servizio di ricerca devono essere abilitati	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
I log delle risorse in bus di servizio devono essere abilitati	Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa	AuditIfNotExists, Disabled	5.0.0
Esaminare i log di provisioning degli account	CMA_0460 - Esaminare i log di provisioning degli account	Manuale, Disabilitato	1.1.0
Esaminare le assegnazioni di amministratore ogni settimana	CMA_0461 - Esaminare le assegnazioni degli amministratori ogni settimana	Manuale, Disabilitato	1.1.0
Esaminare i dati di controllo	CMA_0466 - Esaminare i dati di controllo	Manuale, Disabilitato	1.1.0
Esaminare la panoramica del report sull'identità cloud	CMA_0468 - Esaminare la panoramica del report sulle identità cloud	Manuale, Disabilitato	1.1.0
Esaminare gli eventi di accesso controllato alle cartelle	CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle	Manuale, Disabilitato	1.1.0
Esaminare gli eventi di protezione dagli exploit	CMA_0472 - Esaminare gli eventi di protezione dagli exploit	Manuale, Disabilitato	1.1.0
Esaminare l'attività di file e cartelle	CMA_0473 - Esaminare l'attività di file e cartelle	Manuale, Disabilitato	1.1.0
Esaminare le modifiche al gruppo di ruoli ogni settimana	CMA_0476 - Esaminare le modifiche al gruppo di ruoli ogni settimana	Manuale, Disabilitato	1.1.0
Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log	Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	audit, Audit, Deny, Deny, disabled, Disabled	1.1.0
L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK	Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0
L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali	Questo criterio controlla qualsiasi set di scalabilità di macchine virtuali Windows/Linux se l'estensione Log Analytics non è installata.	AuditIfNotExists, Disabled	1.0.1
Per le macchine virtuali deve essere installata l'estensione Log Analytics	Questo criterio controlla le macchine virtuali Windows/Linux se l'estensione Log Analytics non è installata.	AuditIfNotExists, Disabled	1.0.1

Rilevare e contenere attività di rete anomale in e all'interno dell'ambiente SWIFT locale o remoto.

ID: SWIFT CSCF v2022 6.5A Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux	Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche.	AuditIfNotExists, Disabled	1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows	Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche.	AuditIfNotExists, Disabled	1.0.2-preview
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet	Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale	AuditIfNotExists, Disabled	3.0.0
Avvisare il personale della fuga di informazioni	CMA_0007 - Avvisare il personale della fuga di informazioni	Manuale, Disabilitato	1.1.0
Autorizzare, monitorare e controllare voip	CMA_0025 - Autorizzare, monitorare e controllare voip	Manuale, Disabilitato	1.1.0
Azure Defender per il Servizio app deve essere abilitato	Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni.	AuditIfNotExists, Disabled	1.0.3
Azure Defender per Key Vault deve essere abilitato	Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault.	AuditIfNotExists, Disabled	1.0.3
Azure Defender per i server deve essere abilitato	Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette.	AuditIfNotExists, Disabled	1.0.3
Rilevare i servizi di rete che non sono stati autorizzati o approvati	CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati	Manuale, Disabilitato	1.1.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Operazioni di sicurezza dei documenti	CMA_0202 - Documentare le operazioni di sicurezza	Manuale, Disabilitato	1.1.0
Implementare la protezione dei limiti di sistema	CMA_0328 - Implementare la protezione dei limiti del sistema	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Microsoft Defender per Archiviazione deve essere abilitato	Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi.	AuditIfNotExists, Disabled	1.0.0
È consigliabile abilitare Network Watcher	Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area.	AuditIfNotExists, Disabled	3.0.0
Instradare il traffico attraverso i punti di accesso alla rete gestita	CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita	Manuale, Disabilitato	1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione	Manuale, Disabilitato	1.1.0
Attivare i sensori per la soluzione di sicurezza degli endpoint	CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint	Manuale, Disabilitato	1.1.0

Garantire un approccio coerente ed efficace per la gestione degli incidenti informatici.

ID: SWIFT CSCF v2022 7.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Risolvere i problemi di sicurezza delle informazioni	CMA_C1742 - Risolvere i problemi di sicurezza delle informazioni	Manuale, Disabilitato	1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	1.1.0
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta	Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza.	AuditIfNotExists, Disabled	2.1.0
Identificare le classi di eventi imprevisti e azioni eseguite	CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite	Manuale, Disabilitato	1.1.0
Incorporare eventi simulati nel training di risposta agli eventi imprevisti	CMA_C1356 - Incorporare eventi simulati in formazione sulla risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Fornire formazione sulla perdita di informazioni	CMA_0413 - Fornire formazione sulla perdita di informazioni	Manuale, Disabilitato	1.1.0
Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti	CMA_C1352 - Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza	Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza.	AuditIfNotExists, Disabled	1.0.1

Assicurarsi che tutti i membri del personale siano consapevoli e soddisfino le proprie responsabilità di sicurezza eseguendo attività di sensibilizzazione regolari e mantenendo la conoscenza della sicurezza del personale con accesso con privilegi.

ID: SWIFT CSCF v2022 7.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Documentare le attività di formazione sulla sicurezza e sulla privacy	CMA_0198 - Documentare le attività di formazione sulla sicurezza e sulla privacy	Manuale, Disabilitato	1.1.0
Fornire formazione periodica sulla sicurezza basata sui ruoli	CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli	Manuale, Disabilitato	1.1.0
Fornire formazione periodica sulla sensibilizzazione sulla sicurezza	CMA_C1091 - Fornire una formazione periodica di sensibilizzazione sulla sicurezza	Manuale, Disabilitato	1.1.0
Fornire formazione sulla privacy	CMA_0415 - Fornire formazione sulla privacy	Manuale, Disabilitato	1.1.0
Fornire esercizi pratici basati sui ruoli	CMA_C1096 - Fornire esercizi pratici basati sui ruoli	Manuale, Disabilitato	1.1.0
Fornire formazione sulla sicurezza basata sui ruoli	CMA_C1094 - Fornire formazione sulla sicurezza basata sui ruoli	Manuale, Disabilitato	1.1.0
Fornire formazione basata sui ruoli sulle attività sospette	CMA_C1097 - Fornire formazione basata sui ruoli sulle attività sospette	Manuale, Disabilitato	1.1.0
Fornire formazione sulla consapevolezza della sicurezza per le minacce interne	CMA_0417 - Fornire formazione sulla consapevolezza della sicurezza per le minacce interne	Manuale, Disabilitato	1.1.0
Fornire formazione sulla sicurezza prima di fornire l'accesso	CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso	Manuale, Disabilitato	1.1.0
Fornire formazione sulla sicurezza per i nuovi utenti	CMA_0419 - Fornire formazione sulla sicurezza per i nuovi utenti	Manuale, Disabilitato	1.1.0
Fornire formazione aggiornata sulla consapevolezza della sicurezza	CMA_C1090 - Fornire formazione aggiornata sulla consapevolezza della sicurezza	Manuale, Disabilitato	1.1.0

Convalidare la configurazione della sicurezza operativa e identificare le lacune di sicurezza eseguendo test di penetrazione.

ID: SWIFT CSCF v2022 7.3A Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Impiegare un team indipendente per i test di penetrazione	CMA_C1171 - Impiegare un team indipendente per i test di penetrazione	Manuale, Disabilitato	1.1.0
Richiedere agli sviluppatori di compilare l'architettura di sicurezza	CMA_C1612 - Richiedere agli sviluppatori di creare un'architettura di sicurezza	Manuale, Disabilitato	1.1.0

Valutare il rischio e l'idoneità dell'organizzazione in base a scenari di attacchi informatici plausibili.

ID: SWIFT CSCF v2022 7.4A Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire la valutazione dei rischi	CMA_C1543 - Eseguire la valutazione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire la valutazione dei rischi e distribuirne i risultati	CMA_C1544 - Eseguire la valutazione dei rischi e distribuirne i risultati	Manuale, Disabilitato	1.1.0
Condurre la valutazione dei rischi e documentarne i risultati	CMA_C1542 - Eseguire la valutazione dei rischi e documentarne i risultati	Manuale, Disabilitato	1.1.0
Definire una strategia di gestione dei rischi	CMA_0258 - Stabilire una strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Implementare la strategia di gestione dei rischi	CMA_C1744 - Implementare la strategia di gestione dei rischi	Manuale, Disabilitato	1.1.0
Eseguire una valutazione dei rischi	CMA_0388 - Eseguire una valutazione dei rischi	Manuale, Disabilitato	1.1.0
Esaminare e aggiornare criteri e procedure di valutazione dei rischi	CMA_C1537 - Esaminare e aggiornare i criteri e le procedure di valutazione dei rischi	Manuale, Disabilitato	1.1.0

8. Impostare e monitorare le prestazioni

Garantire la disponibilità impostando e monitorando formalmente gli obiettivi da raggiungere

ID: SWIFT CSCF v2022 8.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Coordinare i piani di emergenza con i piani correlati	CMA_0086 - Coordinare i piani di emergenza con i piani correlati	Manuale, Disabilitato	1.1.0
Sviluppare un piano di emergenza	CMA_C1244 - Sviluppare un piano di emergenza	Manuale, Disabilitato	1.1.0
Ottenere un parere legale per le attività del sistema di monitoraggio	CMA_C1688 - Ottenere un parere legale per le attività del sistema di monitoraggio	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Pianificare la continuazione delle funzioni aziendali essenziali	CMA_C1255 - Pianificare la continuazione delle funzioni aziendali essenziali	Manuale, Disabilitato	1.1.0
Pianificare la ripresa delle funzioni aziendali essenziali	CMA_C1253 - Pianificare la ripresa delle funzioni aziendali essenziali	Manuale, Disabilitato	1.1.0
Fornire informazioni di monitoraggio in base alle esigenze	CMA_C1689 - Fornire informazioni di monitoraggio in base alle esigenze	Manuale, Disabilitato	1.1.0
Riprendere tutte le funzioni aziendali e di missione	CMA_C1254 - Riprendere tutte le funzioni aziendali e di missione	Manuale, Disabilitato	1.1.0

Garantire disponibilità, capacità e qualità dei servizi ai clienti

ID: SWIFT CSCF v2022 8.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Pianificare la capacità	CMA_C1252 - Pianificare la capacità	Manuale, Disabilitato	1.1.0
Coordinare i piani di emergenza con i piani correlati	CMA_0086 - Coordinare i piani di emergenza con i piani correlati	Manuale, Disabilitato	1.1.0
Creare azioni alternative per le anomalie identificate	CMA_C1711 - Creare azioni alternative per le anomalie identificate	Manuale, Disabilitato	1.1.0
Sviluppare un piano di emergenza	CMA_C1244 - Sviluppare un piano di emergenza	Manuale, Disabilitato	1.1.0
Notificare al personale eventuali test di verifica della sicurezza non superati	CMA_C1710 - Notificare al personale eventuali test di verifica della sicurezza non superati	Manuale, Disabilitato	1.1.0
Eseguire la verifica delle funzioni di sicurezza a una frequenza definita	CMA_C1709 - Eseguire la verifica della funzione di sicurezza a una frequenza definita	Manuale, Disabilitato	1.1.0
Pianificare la continuazione delle funzioni aziendali essenziali	CMA_C1255 - Pianificare la continuazione delle funzioni aziendali essenziali	Manuale, Disabilitato	1.1.0

Garantire la disponibilità anticipata delle versioni SWIFTNet e degli standard FIN per il test corretto da parte del cliente prima di procedere in tempo reale.

ID: SWIFT CSCF v2022 8.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Risolvere le vulnerabilità di codifica	CMA_0003 - Risolvere le vulnerabilità di codifica	Manuale, Disabilitato	1.1.0
Sviluppare e documentare i requisiti di sicurezza delle applicazioni	CMA_0148 - Sviluppare e documentare i requisiti di sicurezza delle applicazioni	Manuale, Disabilitato	1.1.0
Documentare l'ambiente del sistema informativo nei contratti di acquisizione	CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione	Manuale, Disabilitato	1.1.0
Stabilire un programma di sviluppo software sicuro	CMA_0259 - Stabilire un programma di sviluppo software sicuro	Manuale, Disabilitato	1.1.0
Eseguire analisi delle vulnerabilità	CMA_0393 - Eseguire analisi delle vulnerabilità	Manuale, Disabilitato	1.1.0
Correggere i difetti del sistema informativo	CMA_0427 - Correggere i difetti del sistema informativo	Manuale, Disabilitato	1.1.0
Richiedere agli sviluppatori di documentare le modifiche approvate e il potenziale impatto	CMA_C1597 - Richiedere agli sviluppatori di documentare le modifiche approvate e il potenziale impatto	Manuale, Disabilitato	1.1.0
Richiedere agli sviluppatori di implementare solo le modifiche approvate	CMA_C1596 - Richiedere agli sviluppatori di implementare solo le modifiche approvate	Manuale, Disabilitato	1.1.0
Richiedere agli sviluppatori di gestire l'integrità delle modifiche	CMA_C1595 - Richiedere agli sviluppatori di gestire l'integrità delle modifiche	Manuale, Disabilitato	1.1.0
Richiedere agli sviluppatori di produrre prove di esecuzione del piano di valutazione della sicurezza	CMA_C1602 - Richiedere agli sviluppatori di produrre prove di esecuzione del piano di valutazione della sicurezza	Manuale, Disabilitato	1.1.0
Verificare l'integrità del software, del firmware e delle informazioni	CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni	Manuale, Disabilitato	1.1.0

9. Garantire la disponibilità tramite resilienza

I provider devono garantire che il servizio rimanga disponibile per i clienti in caso di disturbo o malfunzionamento locale.

ID: SWIFT CSCF v2022 9.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire test di risposta agli eventi imprevisti	CMA_0060 - Eseguire test di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Coordinare i piani di emergenza con i piani correlati	CMA_0086 - Coordinare i piani di emergenza con i piani correlati	Manuale, Disabilitato	1.1.0
Sviluppare un piano di emergenza	CMA_C1244 - Sviluppare un piano di emergenza	Manuale, Disabilitato	1.1.0
Sviluppare criteri e procedure di pianificazione dell'emergenza	CMA_0156 - Sviluppare criteri e procedure di pianificazione dell'emergenza	Manuale, Disabilitato	1.1.0
Distribuire criteri e procedure	CMA_0185 - Distribuire criteri e procedure	Manuale, Disabilitato	1.1.0
Stabilire un programma di sicurezza delle informazioni	CMA_0263 - Stabilire un programma di sicurezza delle informazioni	Manuale, Disabilitato	1.1.0
Fornire formazione per l'emergenza	CMA_0412 - Fornire formazione per l'emergenza	Manuale, Disabilitato	1.1.0
Eseguire attacchi di simulazione	CMA_0486 - Eseguire attacchi di simulazione	Manuale, Disabilitato	1.1.0

I provider devono assicurarsi che il servizio rimanga disponibile per i clienti in caso di emergenza del sito.

ID: SWIFT CSCF v2022 9.2 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Eseguire il backup della documentazione del sistema informativo	CMA_C1289 - Eseguire il backup della documentazione del sistema informativo	Manuale, Disabilitato	1.1.0
Creare siti di archiviazione alternativi e primari separati	CMA_C1269 - Creare siti di archiviazione alternativi e primari separati	Manuale, Disabilitato	1.1.0
Assicurarsi che le misure di sicurezza del sito di archiviazione alternative siano equivalenti al sito primario	CMA_C1268 - Assicurarsi che le misure di sicurezza alternative del sito di archiviazione siano equivalenti al sito primario	Manuale, Disabilitato	1.1.0
Stabilire un sito di archiviazione alternativo che facilita le operazioni di ripristino	CMA_C1270 : stabilire un sito di archiviazione alternativo che facilita le operazioni di ripristino	Manuale, Disabilitato	1.1.0
Stabilire un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup	CMA_C1267 : stabilire un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup	Manuale, Disabilitato	1.1.0
Stabilire un sito di elaborazione alternativo	CMA_0262 - Stabilire un sito di elaborazione alternativo	Manuale, Disabilitato	1.1.0
Stabilire i requisiti per i provider di servizi Internet	CMA_0278 - Stabilire i requisiti per i provider di servizi Internet	Manuale, Disabilitato	1.1.0
Identificare e attenuare potenziali problemi in un sito di archiviazione alternativo	CMA_C1271 - Identificare e attenuare potenziali problemi in un sito di archiviazione alternativo	Manuale, Disabilitato	1.1.0
Preparare il sito di elaborazione alternativo per l'uso come sito operativo	CMA_C1278 - Preparare il sito di elaborazione alternativo da usare come sito operativo	Manuale, Disabilitato	1.1.0
Ripristinare e ricostituire le risorse dopo eventuali interruzioni	CMA_C1295 - Ripristinare e ricostituire le risorse dopo qualsiasi interruzione	Manuale, Disabilitato	1.1.1
Ripristinare lo stato operativo delle risorse	CMA_C1297 - Ripristinare le risorse allo stato operativo	Manuale, Disabilitato	1.1.1
Archiviare separatamente le informazioni di backup	CMA_C1293 - Archiviare separatamente le informazioni di backup	Manuale, Disabilitato	1.1.0
Trasferire le informazioni di backup in un sito di archiviazione alternativo	CMA_C1294 - Trasferire le informazioni di backup in un sito di archiviazione alternativo	Manuale, Disabilitato	1.1.0

L'ufficio di servizio deve garantire che il servizio rimanga disponibile per i clienti in caso di disturbo, pericolo o incidente.

ID: SWIFT CSCF v2022 9.3 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza	CMA_0146 - Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza	Manuale, Disabilitato	1.1.0
Sviluppare un piano di emergenza	CMA_C1244 - Sviluppare un piano di emergenza	Manuale, Disabilitato	1.1.0
Impiegare l'illuminazione automatica di emergenza	CMA_0209 - Usare l'illuminazione automatica di emergenza	Manuale, Disabilitato	1.1.0
Implementare una metodologia di test di penetrazione	CMA_0306 - Implementare una metodologia di test di penetrazione	Manuale, Disabilitato	1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure	Manuale, Disabilitato	1.1.0
Esaminare e aggiornare criteri e procedure fisici e ambientali	CMA_C1446 - Rivedere e aggiornare criteri e procedure fisiche e ambientali	Manuale, Disabilitato	1.1.0
Eseguire attacchi di simulazione	CMA_0486 - Eseguire attacchi di simulazione	Manuale, Disabilitato	1.1.0

La disponibilità e la qualità del servizio dei provider vengono assicurate tramite l'utilizzo dei pacchetti di connettività SWIFT consigliati e la larghezza di banda linea appropriata

ID: SWIFT CSCF v2022 9.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Autorizzare, monitorare e controllare voip	CMA_0025 - Autorizzare, monitorare e controllare voip	Manuale, Disabilitato	1.1.0
Pianificare la capacità	CMA_C1252 - Pianificare la capacità	Manuale, Disabilitato	1.1.0
Implementare la protezione dei limiti di sistema	CMA_0328 - Implementare la protezione dei limiti del sistema	Manuale, Disabilitato	1.1.0
Gestire i gateway	CMA_0363 - Gestire i gateway	Manuale, Disabilitato	1.1.0
Instradare il traffico attraverso i punti di accesso alla rete gestita	CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita	Manuale, Disabilitato	1.1.0

10. Essere pronti in caso di grave emergenza

La continuità aziendale viene garantita tramite un piano documentato comunicato alle parti potenzialmente interessate (service bureau e clienti).

ID: SWIFT CSCF v2022 10.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Coordinare i piani di emergenza con i piani correlati	CMA_0086 - Coordinare i piani di emergenza con i piani correlati	Manuale, Disabilitato	1.1.0
Sviluppare un piano di emergenza	CMA_C1244 - Sviluppare un piano di emergenza	Manuale, Disabilitato	1.1.0
Pianificare la continuazione delle funzioni aziendali essenziali	CMA_C1255 - Pianificare la continuazione delle funzioni aziendali essenziali	Manuale, Disabilitato	1.1.0
Pianificare la ripresa delle funzioni aziendali essenziali	CMA_C1253 - Pianificare la ripresa delle funzioni aziendali essenziali	Manuale, Disabilitato	1.1.0
Riprendere tutte le funzioni aziendali e di missione	CMA_C1254 - Riprendere tutte le funzioni aziendali e di missione	Manuale, Disabilitato	1.1.0

11. Monitorare in caso di grave emergenza

Garantire un approccio coerente ed efficace per il monitoraggio e l'escalation degli eventi.

ID: SWIFT CSCF v2022 11.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Operazioni di sicurezza dei documenti	CMA_0202 - Documentare le operazioni di sicurezza	Manuale, Disabilitato	1.1.0
Ottenere un parere legale per le attività del sistema di monitoraggio	CMA_C1688 - Ottenere un parere legale per le attività del sistema di monitoraggio	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Fornire informazioni di monitoraggio in base alle esigenze	CMA_C1689 - Fornire informazioni di monitoraggio in base alle esigenze	Manuale, Disabilitato	1.1.0
Attivare i sensori per la soluzione di sicurezza degli endpoint	CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint	Manuale, Disabilitato	1.1.0

Garantire un approccio coerente ed efficace per la gestione degli eventi imprevisti (Gestione dei problemi).

ID: SWIFT CSCF v2022 11.2 Proprietà: Condiviso

Garantire un'escalation adeguata dei malfunzionamenti operativi in caso di impatto sul cliente.

ID: SWIFT CSCF v2022 11.4 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Automatizzare il processo per documentare le modifiche implementate	CMA_C1195 - Automatizzare il processo per documentare le modifiche implementate	Manuale, Disabilitato	1.1.0
Automatizzare il processo per evidenziare le proposte di modifica non presentate	CMA_C1193 - Automatizzare il processo per evidenziare le proposte di modifica non presentate	Manuale, Disabilitato	1.1.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Operazioni di sicurezza dei documenti	CMA_0202 - Documentare le operazioni di sicurezza	Manuale, Disabilitato	1.1.0
Abilitare la protezione di rete	CMA_0238 - Abilitare la protezione di rete	Manuale, Disabilitato	1.1.0
Eradicare le informazioni contaminate	CMA_0253 - Eliminare le informazioni contaminate	Manuale, Disabilitato	1.1.0
Stabilire e documentare i processi di controllo delle modifiche	CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche	Manuale, Disabilitato	1.1.0
Stabilire i requisiti di gestione della configurazione per gli sviluppatori	CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori	Manuale, Disabilitato	1.1.0
Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni	CMA_C1376 - Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni	Manuale, Disabilitato	1.1.0
Eseguire azioni in risposta alla perdita di informazioni	CMA_0281 - Eseguire azioni in risposta a spill di informazioni	Manuale, Disabilitato	1.1.0
Implementare la gestione degli eventi imprevisti	CMA_0318 - Implementare la gestione degli eventi imprevisti	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Eseguire il controllo per il controllo delle modifiche della configurazione	CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione	Manuale, Disabilitato	1.1.0
Visualizzare e analizzare gli utenti con restrizioni	CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni	Manuale, Disabilitato	1.1.0

Un supporto efficace viene offerto ai clienti in caso di problemi durante l'orario di ufficio.

ID: SWIFT CSCF v2022 11.5 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Operazioni di sicurezza dei documenti	CMA_0202 - Documentare le operazioni di sicurezza	Manuale, Disabilitato	1.1.0
Abilitare la protezione di rete	CMA_0238 - Abilitare la protezione di rete	Manuale, Disabilitato	1.1.0
Eradicare le informazioni contaminate	CMA_0253 - Eliminare le informazioni contaminate	Manuale, Disabilitato	1.1.0
Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni	CMA_C1376 - Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni	Manuale, Disabilitato	1.1.0
Eseguire azioni in risposta alla perdita di informazioni	CMA_0281 - Eseguire azioni in risposta a spill di informazioni	Manuale, Disabilitato	1.1.0
Identificare il personale di risposta agli eventi imprevisti	CMA_0301 - Identificare il personale di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Implementare la gestione degli eventi imprevisti	CMA_0318 - Implementare la gestione degli eventi imprevisti	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Visualizzare e analizzare gli utenti con restrizioni	CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni	Manuale, Disabilitato	1.1.0

12. Verificare che le informazioni siano disponibili

Garantire la qualità del servizio ai clienti tramite dipendenti certificati SWIFT.

ID: SWIFT CSCF v2022 12.1 Proprietà: Condiviso

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Fornire formazione periodica sulla sicurezza basata sui ruoli	CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli	Manuale, Disabilitato	1.1.0
Fornire formazione sulla sicurezza basata sui ruoli	CMA_C1094 - Fornire formazione sulla sicurezza basata sui ruoli	Manuale, Disabilitato	1.1.0
Fornire formazione sulla sicurezza prima di fornire l'accesso	CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso	Manuale, Disabilitato	1.1.0

Passaggi successivi

Articoli aggiuntivi su Criteri di Azure:

Panoramica della Conformità con le normative.
Vedere la struttura della definizione dell'iniziativa.
Vedere altri esempi in Esempi di Criteri di Azure.
Leggere Informazioni sugli effetti di Criteri.
Informazioni su come correggere le risorse non conformi.

Nome _{(Portale di Azure)}	Descrizione	Effetti	Versione _(GitHub)
Valutare gli eventi di sicurezza delle informazioni	CMA_0013 - Valutare gli eventi di sicurezza delle informazioni	Manuale, Disabilitato	1.1.0
Eseguire test di risposta agli eventi imprevisti	CMA_0060 - Eseguire test di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Sviluppare un piano di risposta agli eventi imprevisti	CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Sviluppare misure di sicurezza	CMA_0161 - Sviluppare misure di sicurezza	Manuale, Disabilitato	1.1.0
Operazioni di sicurezza dei documenti	CMA_0202 - Documentare le operazioni di sicurezza	Manuale, Disabilitato	1.1.0
Abilitare la protezione di rete	CMA_0238 - Abilitare la protezione di rete	Manuale, Disabilitato	1.1.0
Eradicare le informazioni contaminate	CMA_0253 - Eliminare le informazioni contaminate	Manuale, Disabilitato	1.1.0
Stabilire un programma di sicurezza delle informazioni	CMA_0263 - Stabilire un programma di sicurezza delle informazioni	Manuale, Disabilitato	1.1.0
Eseguire azioni in risposta alla perdita di informazioni	CMA_0281 - Eseguire azioni in risposta a spill di informazioni	Manuale, Disabilitato	1.1.0
Identificare le classi di eventi imprevisti e azioni eseguite	CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite	Manuale, Disabilitato	1.1.0
Implementare la gestione degli eventi imprevisti	CMA_0318 - Implementare la gestione degli eventi imprevisti	Manuale, Disabilitato	1.1.0
Incorporare eventi simulati nel training di risposta agli eventi imprevisti	CMA_C1356 - Incorporare eventi simulati in formazione sulla risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Gestire i record di violazione dei dati	CMA_0351 - Gestire i record di violazione dei dati	Manuale, Disabilitato	1.1.0
Gestire il piano di risposta agli eventi imprevisti	CMA_0352 - Gestire il piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Eseguire un'analisi delle tendenze sulle minacce	CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce	Manuale, Disabilitato	1.1.0
Proteggere il piano di risposta agli eventi imprevisti	CMA_0405 - Proteggere il piano di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Fornire formazione sulla perdita di informazioni	CMA_0413 - Fornire formazione sulla perdita di informazioni	Manuale, Disabilitato	1.1.0
Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti	CMA_C1352 - Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti	Manuale, Disabilitato	1.1.0
Eseguire attacchi di simulazione	CMA_0486 - Eseguire attacchi di simulazione	Manuale, Disabilitato	1.1.0
Visualizzare e analizzare gli utenti con restrizioni	CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni	Manuale, Disabilitato	1.1.0