Поделиться через


Управление безопасностью, версия 2: управление и стратегия

Примечание

Актуальная оценка системы безопасности Azure доступна здесь.

Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов.

GS-1: определение стратегии управления ресурсами и защиты данных

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
GS-1 2, 13 SC, AC

Убедитесь, что вы задокументировали и изложили четкую стратегию непрерывного мониторинга и защиты систем и данных. Определите приоритеты обнаружения, оценки, защиты и мониторинга критически важных для бизнеса данных и систем.

Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:

  • Стандарт классификации данных в соответствии с бизнес-рисками

  • Видение организацией обеспечения безопасности в отношении рисков и инвентаризации ресурсов

  • Утверждение организацией безопасности служб Azure для использования

  • Безопасность ресурсов на протяжении их жизненного цикла

  • Обязательная стратегия управления доступом в соответствии с классификацией данных организации.

  • Использование возможностей защиты данных собственных (Azure) и сторонних производителей.

  • Требования к шифрованию данных для передаваемых и неактивных данных.

  • Соответствующие криптографические стандарты

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-2: определение стратегии сегментации на уровне предприятия

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
GS-2 4, 9, 16 AC, CA, SC

Создайте стратегию корпоративного уровня для сегментирования доступа к ресурсам, используя сочетания удостоверения, сети, приложения, подписки, группы управления и других элементов управления.

Тщательно распределите потребность в разделении безопасности, чтобы обеспечить бесперебойную ежедневную работу систем, которые должны взаимодействовать друг с другом и получать доступ к данным.

Убедитесь, что стратегия сегментации реализована единообразно по всем типам элементов управления, включая безопасность сети, модели удостоверений и доступа, а также модели разрешения и доступа приложений, равно как и управление персоналом.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-3: определение стратегии управления состоянием безопасности

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
GS-3 20, 3, 5 RA, CM, SC

Непрерывно измеряйте и снижайте риски для отдельных ресурсов и среды, в которой они размещены. Определите приоритеты для важных ресурсов и областей, где существует высокий риск атак, таких как опубликованные приложения, точки входа в сеть и выхода из нее, конечные точки пользователя и администратора и т. д.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-4: согласование ролей, обязанностей и подотчетности в организации

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
GS-4 Недоступно PL, PM

Убедитесь, что вы задокументировали и изложили четкую стратегию для ролей и обязанностей в организации безопасности. Определение приоритетов для обеспечения четкой отчетности за принятие решений в области безопасности, обучение всех пользователей по общей модели ответственности и обучение технических команд по технологиям защиты облака.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-5: определение стратегии безопасности сети

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
GS-5 9 CA, SC

Определите подход к безопасности сети Azure в рамках общей стратегии управления доступом для обеспечения безопасности организации.

Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:

  • Централизованное управление сетью и ответственность за безопасность

  • Модель сегментации виртуальной сети, согласуемая со стратегией сегментации на уровне предприятия

  • Стратегия исправления в различных сценариях угроз и атак

  • Стратегия входящего и исходящего трафика Интернета

  • Стратегия взаимодействия гибридного облака и локальной среды

  • Актуальные артефакты безопасности сети (такие как схемы сети, эталонная архитектура сети)

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-6: определение стратегии использования удостоверений и привилегированного доступа

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
GS-6 16, 4 AC, AU, SC

Определите подходы для управления идентификацией Azure и привилегированным доступом в рамках общей стратегии управления доступом для обеспечения безопасности организации.

Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:

  • Централизованная система идентификации и аутентификации, а также взаимодействие с другими внутренними и внешними системами идентификации

  • Методы строгой проверки подлинности в различных вариантах использования и условиях

  • Защита пользователей с высоким уровнем привилегий

  • Мониторинг и обработка аномальных действий пользователей

  • Процесс проверки удостоверений пользователей и доступа, а также процесс сверки пользователей

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-7: определение стратегии ведения журналов и реагирования на угрозы

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
GS-7 19 IR, AU, RA, SC

Создайте стратегию ведения журнала и реагирования на угрозы для быстрого обнаружения и устранения угроз при соблюдении требований к соответствию. Определите приоритет для аналитиков с помощью высококачественных оповещений и эффективного взаимодействия, чтобы они могли сосредоточиться на угрозах, а не на интеграции и выполнении действий вручную.

Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:

  • Роль и обязанности организации по операциям безопасности (SecOps)

  • Четко определенный процесс реагирования на инциденты, согласующийся с NIST или другой отраслевой платформой

  • Сбор и хранение журналов для поддержки обнаружения угроз, реагирования на инциденты и обеспечения соответствия требованиям

  • Централизованная доступность и корреляция сведений об угрозах с использованием SIEM, собственных возможностей Azure и других источников

  • План информирования и уведомления ваших клиентов, поставщиков и широкой публики

  • Использование собственных платформ Azure и решений сторонних производителей для обработки инцидентов, например для ведения журналов и обнаружения угроз, проведения судебных расследований, устранения атак и удаления потенциально опасных компонентов

  • Процессы обработки инцидентов и действий, выполняемых после инцидента, таких как получение выводов и хранение доказательств

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

GS-8: определение стратегии резервного копирования и восстановления

Идентификатор Azure Идентификатор (ы) элементов управления CIS v7.1 Идентификатор (-ы) NIST SP 800-53 r4
GS-8 10 CP

Создайте стратегию резервного копирования и восстановления Azure для вашей организации.

Эта стратегия должна включать задокументированные руководство, политику и стандарты для следующих элементов:

  • Определение целевого времени восстановления (RTO) и целевой точки восстановления (RPO) в соответствии с целями обеспечения устойчивости бизнеса

  • Проектирование элементов избыточности в настройках приложений и инфраструктуры

  • Защита резервных копий посредством управления доступом и шифрования данных

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

Заинтересованные лица по безопасности клиентов (дополнительные сведения):