Сведения о встроенной инициативе по соответствию требованиям стандарта ISO 27001:2013 (Azure для государственных организаций)
В этой статье подробно описано, как определение встроенной инициативы Политики Azure по соответствию нормативным требованиям согласуется с областями соответствия нормативным требованиям и мерами безопасности в стандарте ISO 27001:2013 (Azure для государственных организаций). Дополнительные сведения об этом стандарте соответствия см. на странице с описанием ISO 27001:2013. Сведения о термине Ответственность см. в статьях Определение службы "Политика Azure" и Разделение ответственности в облаке.
Далее представлены сопоставления для элементов управления ISO 27001:2013. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы ISO 27001:2013 по обеспечению соответствия нормативным требованиям.
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
Шифрование
Политика использования элементов управления шифрованием
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.10.1.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
| Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Документирование и распространение политики конфиденциальности | CMA_0188 . Документируйте и распространяйте политику конфиденциальности | Вручную, отключено | 1.1.0 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
| Реализация методов доставки уведомлений о конфиденциальности | CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности | Вручную, отключено | 1.1.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Предоставление уведомления о конфиденциальности | CMA_0414 . Предоставление уведомления о конфиденциальности | Вручную, отключено | 1.1.0 |
| Ограничение обмена данными | CMA_0449. Ограничение обмена данными | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Audit, Deny, Disabled | 1.1.0 |
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
Управление ключами
Id: ISO 27001:2013 A.10.1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
| Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
| Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
| Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Установка политики паролей | CMA_0256. Установка политики паролей | Вручную, отключено | 1.1.0 |
| Определение действий, разрешенных без проверки подлинности | CMA_0295. Определение действий, разрешенных без проверки подлинности | Вручную, отключено | 1.1.0 |
| Определение и проверка подлинности пользователей, отличных от организации | CMA_C1346. Определение и проверка подлинности пользователей, отличных от организации | Вручную, отключено | 1.1.0 |
| Реализация параметров для запоминающихся проверяющих секретов | CMA_0321. Реализация параметров для запоминаемых проверяющих секретов | Вручную, отключено | 1.1.0 |
| Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
| Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Завершение учетных данных учетной записи, контролируемых клиентом | CMA_C1022. Завершение учетных данных учетной записи, управляемой клиентом | Вручную, отключено | 1.1.0 |
Физическая и окружающая безопасность
Периметр физической безопасности
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.11.1.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
| Создание и обслуживание инвентаризации активов | CMA_0266. Создание и обслуживание инвентаризации активов | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
| Установка системы сигнализации | CMA_0338. Установка системы сигнализации | Вручную, отключено | 1.1.0 |
| Управление системой безопасной камеры наблюдения | CMA_0354 . Управление безопасной системой камеры наблюдения | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
Элементы управления физическими элементами входа
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.11.1.2: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
| Назначение персонала для надзора за несанкционированным обслуживанием | CMA_C1422 . Назначение персонала для надзора за несанкционированным обслуживанием | Вручную, отключено | 1.1.0 |
| Создание и обслуживание инвентаризации активов | CMA_0266. Создание и обслуживание инвентаризации активов | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
| Список авторизованных сотрудников удаленного обслуживания | CMA_C1420 — список авторизованных сотрудников удаленного обслуживания | Вручную, отключено | 1.1.0 |
| Управление персоналом по обслуживанию | CMA_C1421 — управление персоналом по обслуживанию | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
Защита офисов, помещений и помещений
Идентификатор: ISO 27001:2013 A.11.1.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
| Создание и обслуживание инвентаризации активов | CMA_0266. Создание и обслуживание инвентаризации активов | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
Защита от внешних и экологических угроз
Идентификатор: ОТВЕТСТВЕННОСТЬ ISO 27001:2013 A.11.1.4: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Создание отдельных альтернативных и первичных сайтов хранения | CMA_C1269. Создание отдельных альтернативных и первичных сайтов хранения | Вручную, отключено | 1.1.0 |
| Убедитесь, что альтернативные гарантии сайта хранилища эквивалентны первичному сайту | CMA_C1268. Убедитесь, что альтернативные меры защиты сайта хранилища эквивалентны первичному сайту | Вручную, отключено | 1.1.0 |
| Убедитесь, что информационная система завершается ошибкой в известном состоянии | CMA_C1662. Убедитесь, что информационная система завершается сбоем в известном состоянии | Вручную, отключено | 1.1.0 |
| Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании | CMA_C1267. Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании | Вручную, отключено | 1.1.0 |
| Создание альтернативного сайта обработки | CMA_0262. Создание альтернативного сайта обработки | Вручную, отключено | 1.1.0 |
| Выявление и устранение потенциальных проблем на альтернативном сайте хранилища | CMA_C1271. Выявление и устранение потенциальных проблем на альтернативном сайте хранилища | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
| Установка системы сигнализации | CMA_0338. Установка системы сигнализации | Вручную, отключено | 1.1.0 |
| Планирование непрерывности основных бизнес-функций | CMA_C1255 . Планирование непрерывности основных бизнес-функций | Вручную, отключено | 1.1.0 |
Работа в безопасных областях
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.11.1.5: совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
Доставка и загрузка областей
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.11.1.6: совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Определение требований для управления ресурсами | CMA_0125. Определение требований к управлению ресурсами | Вручную, отключено | 1.1.0 |
| Установка системы сигнализации | CMA_0338. Установка системы сигнализации | Вручную, отключено | 1.1.0 |
| Управление системой безопасной камеры наблюдения | CMA_0354 . Управление безопасной системой камеры наблюдения | Вручную, отключено | 1.1.0 |
| Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
Оборудование сидящего и защиты
Идентификатор: ISO 27001:2013 A.11.2.1 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
Вспомогательные служебные программы
Идентификатор: ОТВЕТСТВЕННОСТЬ ISO 27001:2013 A.11.2.2: Общие права владения
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование автоматического аварийного освещения | CMA_0209 . Использование автоматического аварийного освещения | Вручную, отключено | 1.1.0 |
| Установка требований для поставщиков услуг Интернета | CMA_0278. Создание требований для поставщиков услуг Интернета | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
Безопасность кабелей
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.11.2.3: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
Обслуживание оборудования:
Идентификатор: ISO 27001:2013 A.11.2.4 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Автоматизация действий удаленного обслуживания | CMA_C1402. Автоматизация действий удаленного обслуживания | Вручную, отключено | 1.1.0 |
| Управление действиями по обслуживанию и ремонту | CMA_0080 — управление работой по обслуживанию и ремонту | Вручную, отключено | 1.1.0 |
| Принятие персоналом документов о требованиях к конфиденциальности | CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности | Вручную, отключено | 1.1.0 |
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление нелокальным обслуживанием и диагностическими действиями | CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями | Вручную, отключено | 1.1.0 |
| Создание полных записей о действиях удаленного обслуживания | CMA_C1403. Создание полных записей о действиях удаленного обслуживания | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Обеспечение своевременной поддержки обслуживания | CMA_C1425 — своевременное обслуживание | Вручную, отключено | 1.1.0 |
Удаление ресурсов
Идентификатор: ISO 27001:2013 A.11.2.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление действиями по обслуживанию и ремонту | CMA_0080 — управление работой по обслуживанию и ремонту | Вручную, отключено | 1.1.0 |
| Определение требований для управления ресурсами | CMA_0125. Определение требований к управлению ресурсами | Вручную, отключено | 1.1.0 |
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление нелокальным обслуживанием и диагностическими действиями | CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями | Вручную, отключено | 1.1.0 |
| Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
Безопасность оборудования и ресурсов вне локальной среды
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.11.2.6: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение требований к мобильным устройствам | CMA_0122. Определение требований к мобильным устройствам | Вручную, отключено | 1.1.0 |
| Обеспечение гарантий безопасности, не необходимых при возвращении лиц | CMA_C1183. Обеспечение гарантий безопасности, не необходимых при возвращении лиц | Вручную, отключено | 1.1.0 |
| Создание условий для доступа к ресурсам | CMA_C1076. Создание условий для доступа к ресурсам | Вручную, отключено | 1.1.0 |
| Создание условий для обработки ресурсов | CMA_C1077. Создание условий для обработки ресурсов | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
| Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
| Не разрешать информационным системам сопровождаться отдельными лицами | CMA_C1182 — не разрешать информационным системам сопровождаться отдельными лицами | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Проверка элементов управления безопасностью для внешних информационных систем | CMA_0541. Проверка элементов управления безопасностью для внешних информационных систем | Вручную, отключено | 1.1.0 |
Безопасное удаление или повторное использование оборудования
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.11.2.7: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Выполнение проверки ликвидации | CMA_0391 . Выполнение проверки ликвидации | Вручную, отключено | 1.1.0 |
| Проверка удаления персональных данных в конце обработки | CMA_0540. Проверка удаления персональных данных в конце обработки | Вручную, отключено | 1.1.0 |
Автоматическое пользовательское оборудование
Идентификатор: ISO 27001:2013 A.11.2.8 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Автоматическое завершение сеанса пользователя | CMA_C1054 — Автоматическое завершение сеанса пользователя | Вручную, отключено | 1.1.0 |
Очистка рабочего стола и политика очистки экрана
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.11.2.9: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Безопасность операций
Документированные операционные процедуры
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.1.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Документация по распространению информационной системы | CMA_C1584 . Распространение документации по информационной системе | Вручную, отключено | 1.1.0 |
| Документировать определяемые клиентом действия | CMA_C1582 — документирование определяемых клиентом действий | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Получение документации по Администратор | CMA_C1580. Получение документации по Администратор | Вручную, отключено | 1.1.0 |
| Получение документации по функциям безопасности пользователей | CMA_C1581. Получение документации по функциям безопасности пользователей | Вручную, отключено | 1.1.0 |
| Документация по защите администраторов и пользователей | CMA_C1583 . Защита документации администратора и пользователя | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур управления конфигурацией | CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур идентификации и проверки подлинности | CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик целостности информации и процедур | CMA_C1667. Проверка и обновление политик целостности информации и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты мультимедиа | CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур обслуживания системы | CMA_C1395. Проверка и обновление политик и процедур обслуживания системы | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур оценки безопасности и авторизации | CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
Управление изменениями
Id: ISO 27001:2013 A.12.1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Уязвимости в кодировании адресов | CMA_0003 . Уязвимости в кодировании адресов | Вручную, отключено | 1.1.0 |
| Автоматизация запроса на утверждение предлагаемых изменений | CMA_C1192. Автоматизация запроса на утверждение предлагаемых изменений | Вручную, отключено | 1.1.0 |
| Автоматизация реализации утвержденных уведомлений об изменениях | CMA_C1196. Автоматизация реализации утвержденных уведомлений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для документирования реализованных изменений | CMA_C1195. Автоматизация процесса для документирования реализованных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для выделения неосмотренных предложений об изменениях | CMA_C1193 . Автоматизация процесса для выделения неразознаованных предложений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса запрета реализации неутвержденных изменений | CMA_C1194. Автоматизация процесса запрета реализации неутвержденных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация предлагаемых документированных изменений | CMA_C1191. Автоматизация предлагаемых документированных изменений | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Разработка и документирование требований к безопасности приложений | CMA_0148. Разработка и документирование требований к безопасности приложений | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Создание программы разработки безопасного программного обеспечения | CMA_0259. Создание программы разработки безопасного программного обеспечения | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
| Установка системы сигнализации | CMA_0338. Установка системы сигнализации | Вручную, отключено | 1.1.0 |
| Управление нелокальным обслуживанием и диагностическими действиями | CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | CMA_C1597. Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков реализации только утвержденных изменений | CMA_C1596. Требовать от разработчиков реализации только утвержденных изменений | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков управлять целостностью изменений | CMA_C1595. Требовать от разработчиков управления целостностью изменений | Вручную, отключено | 1.1.0 |
Управление емкостью
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.1.3: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Планирование емкости | CMA_C1252 . Планирование емкости | Вручную, отключено | 1.1.0 |
| Управление действиями по обработке данных аудита и их мониторинг | CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг | Вручную, отключено | 1.1.0 |
Разделение сред разработки, тестирования и эксплуатации
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.1.4: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Убедитесь, что нет незашифрованных статических аутентификаторов | CMA_C1340. Убедитесь, что нет незашифрованных статических аутентификаторов | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты piI | CMA_C1839. Реализация элементов управления для защиты piI | Вручную, отключено | 1.1.0 |
| Внедрение методик безопасности и конфиденциальности данных в обработке исследований | CMA_0331. Внедрение методик безопасности и конфиденциальности данных в обработке исследований | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Элементы управления вредоносными программами
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.2.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| Управление действиями по обслуживанию и ремонту | CMA_0080 — управление работой по обслуживанию и ремонту | Вручную, отключено | 1.1.0 |
| Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
| Управление нелокальным обслуживанием и диагностическими действиями | CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями | Вручную, отключено | 1.1.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Предоставление периодической подготовки по обеспечению осведомленности о безопасности | CMA_C1091. Предоставление периодической подготовки по повышению осведомленности о безопасности | Вручную, отключено | 1.1.0 |
| Предоставление обучения безопасности для новых пользователей | CMA_0419. Предоставление обучения безопасности для новых пользователей | Вручную, отключено | 1.1.0 |
| Предоставление обновленной подготовки по повышению осведомленности о безопасности | CMA_C1090. Предоставление обновленной подготовки по повышению осведомленности о безопасности | Вручную, отключено | 1.1.0 |
| Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
| Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
| Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Резервное копирование сведений
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.3.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
| Создание резервного копирования документации по информационной системе | CMA_C1289. Создание резервного копирования документации по информационной системе | Вручную, отключено | 1.1.0 |
| Создание отдельных альтернативных и первичных сайтов хранения | CMA_C1269. Создание отдельных альтернативных и первичных сайтов хранения | Вручную, отключено | 1.1.0 |
| Убедитесь, что информационная система завершается ошибкой в известном состоянии | CMA_C1662. Убедитесь, что информационная система завершается сбоем в известном состоянии | Вручную, отключено | 1.1.0 |
| Создание альтернативного сайта обработки | CMA_0262. Создание альтернативного сайта обработки | Вручную, отключено | 1.1.0 |
| Установка политик резервного копирования и процедур | CMA_0268. Создание политик резервного копирования и процедур | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Реализация восстановления на основе транзакций | CMA_C1296. Реализация восстановления на основе транзакций | Вручную, отключено | 1.1.0 |
| Выполнение проверки ликвидации | CMA_0391 . Выполнение проверки ликвидации | Вручную, отключено | 1.1.0 |
| Планирование непрерывности основных бизнес-функций | CMA_C1255 . Планирование непрерывности основных бизнес-функций | Вручную, отключено | 1.1.0 |
| Отдельно хранить сведения о резервном копировании | CMA_C1293 — отдельно хранить сведения о резервном копировании | Вручную, отключено | 1.1.0 |
| Передача сведений о резервном копировании на альтернативный сайт хранилища | CMA_C1294. Передача сведений о резервном копировании на альтернативный сайт хранилища | Вручную, отключено | 1.1.0 |
| Проверка удаления персональных данных в конце обработки | CMA_0540. Проверка удаления персональных данных в конце обработки | Вручную, отключено | 1.1.0 |
Ведение журнала событий
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.4.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1-preview |
| Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
| Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
| Аудит параметра диагностики для выбранных типов ресурсов | Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. | Проверить, если не существует | 2.0.1 |
| Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
| Авторизация, мониторинг и управление voip | CMA_0025 . Авторизация, мониторинг и управление voip | Вручную, отключено | 1.1.0 |
| Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
| Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | CMA_0053. Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | Вручную, отключено | 1.1.0 |
| Анализ полнотекстового журнала привилегированных команд | CMA_0056. Проведение полнотекстового анализа команд привилегированных пользователей | Вручную, отключено | 1.1.0 |
| Настройка возможностей аудита Azure | CMA_C1108. Настройка возможностей аудита Azure | Вручную, отключено | 1.1.1 |
| Сопоставление записей аудита | CMA_0087 — сопоставление записей аудита | Вручную, отключено | 1.1.0 |
| Dependency Agent должен быть включен для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, Disabled | 2.0.0 |
| Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несоответствующие, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, Disabled | 2.0.0 |
| Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
| Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Обнаружение любых индикаторов компрометации | CMA_C1702 . Обнаружение любых индикаторов компрометации | Вручную, отключено | 1.1.0 |
| Документируйте юридическую основу для обработки персональных данных | CMA_0206 . Документируйте юридическую основу для обработки персональных данных | Вручную, отключено | 1.1.0 |
| Принудительное применение и аудит ограничений доступа | CMA_C1203. Принудительное применение и аудит ограничений доступа | Вручную, отключено | 1.1.0 |
| Создание требований для проверки аудита и создания отчетов | CMA_0277. Создание требований для проверки и отчетности аудита | Вручную, отключено | 1.1.0 |
| Реализация методов для запросов потребителей | CMA_0319. Реализация методов для запросов потребителей | Вручную, отключено | 1.1.0 |
| Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
| Интеграция аудита, анализа и отчетности | CMA_0339 . Интеграция проверки аудита, анализа и отчетности | Вручную, отключено | 1.1.0 |
| Интеграция облачной безопасности приложений с siem | CMA_0340. Интеграция облачной безопасности приложений с siem | Вручную, отключено | 1.1.0 |
| Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1 |
| Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
| Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Мониторинг действий учетной записи | CMA_0377. Мониторинг действий учетной записи | Вручную, отключено | 1.1.0 |
| Мониторинг назначения привилегированной роли | CMA_0378 — Мониторинг назначения привилегированной роли | Вручную, отключено | 1.1.0 |
| Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
| Получение юридического мнения для мониторинга системных действий | CMA_C1688 . Получение юридического мнения для мониторинга системных действий | Вручную, отключено | 1.1.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Укажите сведения о мониторинге по мере необходимости | CMA_C1689. Предоставление сведений о мониторинге по мере необходимости | Вручную, отключено | 1.1.0 |
| Публикация процедур доступа в SORN | CMA_C1848 . Публикация процедур доступа в SORNs | Вручную, отключено | 1.1.0 |
| Публикация правил и правил, доступ к записям Закона о конфиденциальности | CMA_C1847 . Публикация правил и правил, обращаюющихся к записям Закона о конфиденциальности | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Сохранение политик и процедур безопасности | CMA_0454 — Сохранение политик и процедур безопасности | Вручную, отключено | 1.1.0 |
| Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Еженедельная проверка назначений администраторов | CMA_0461. Просмотр назначений администраторов еженедельно | Вручную, отключено | 1.1.0 |
| Просмотр и обновление событий, определенных в AU-02 | CMA_C1106. Просмотр и обновление событий, определенных в AU-02 | Вручную, отключено | 1.1.0 |
| Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
| Проверка изменений для любых несанкционированных изменений | CMA_C1204. Просмотр изменений для любых несанкционированных изменений | Вручную, отключено | 1.1.0 |
| Обзор отчета об идентификации облака | CMA_0468. Обзор отчета об идентификации облака | Вручную, отключено | 1.1.0 |
| Просмотр событий доступа к управляемым папкам | CMA_0471. Просмотр событий доступа к управляемым папкам | Вручную, отключено | 1.1.0 |
| Просмотр действия файлов и папок | CMA_0473 . Просмотр действия файлов и папок | Вручную, отключено | 1.1.0 |
| Еженедельная проверка изменений группы ролей | CMA_0476. Просмотр еженедельных изменений группы ролей | Вручную, отключено | 1.1.0 |
| Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
| Маршрутизация трафика через точки доступа к управляемой сети | CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети | Вручную, отключено | 1.1.0 |
| Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
| Использование Privileged Identity Management | CMA_0533 — Использование Privileged Identity Management | Вручную, отключено | 1.1.0 |
Защита сведений журнала
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.4.2: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
| Определение обязанностей процессоров | CMA_0127. Определение обязанностей процессоров | Вручную, отключено | 1.1.0 |
| Включение двойной или совместной авторизации | CMA_0226 — Включение двойной или совместной авторизации | Вручную, отключено | 1.1.0 |
| Выполнение проверки ликвидации | CMA_0391 . Выполнение проверки ликвидации | Вручную, отключено | 1.1.0 |
| Защита данных аудита | CMA_0401 — Защита данных аудита | Вручную, отключено | 1.1.0 |
| Запись раскрытия персональных данных третьим лицам | CMA_0422 — запись раскрытия персональных данных третьим лицам | Вручную, отключено | 1.1.0 |
| Обучение персонала по совместному использованию персональных данных и его последствиям | CMA_C1871 — обучение персонала по обмену персональными данными и его последствиями | Вручную, отключено | 1.1.0 |
| Проверка удаления персональных данных в конце обработки | CMA_0540. Проверка удаления персональных данных в конце обработки | Вручную, отключено | 1.1.0 |
Журналы администратора и оператора
Идентификатор: ISO 27001:2013 A.12.4.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1-preview |
| Аудит параметра диагностики для выбранных типов ресурсов | Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. | Проверить, если не существует | 2.0.1 |
| Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
| Авторизация, мониторинг и управление voip | CMA_0025 . Авторизация, мониторинг и управление voip | Вручную, отключено | 1.1.0 |
| Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
| Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | CMA_0053. Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | Вручную, отключено | 1.1.0 |
| Анализ полнотекстового журнала привилегированных команд | CMA_0056. Проведение полнотекстового анализа команд привилегированных пользователей | Вручную, отключено | 1.1.0 |
| Dependency Agent должен быть включен для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, Disabled | 2.0.0 |
| Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несоответствующие, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, Disabled | 2.0.0 |
| Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
| Включение двойной или совместной авторизации | CMA_0226 — Включение двойной или совместной авторизации | Вручную, отключено | 1.1.0 |
| Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
| Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1 |
| Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
| Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Мониторинг действий учетной записи | CMA_0377. Мониторинг действий учетной записи | Вручную, отключено | 1.1.0 |
| Мониторинг назначения привилегированной роли | CMA_0378 — Мониторинг назначения привилегированной роли | Вручную, отключено | 1.1.0 |
| Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
| Получение юридического мнения для мониторинга системных действий | CMA_C1688 . Получение юридического мнения для мониторинга системных действий | Вручную, отключено | 1.1.0 |
| Защита данных аудита | CMA_0401 — Защита данных аудита | Вручную, отключено | 1.1.0 |
| Укажите сведения о мониторинге по мере необходимости | CMA_C1689. Предоставление сведений о мониторинге по мере необходимости | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
| Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
| Маршрутизация трафика через точки доступа к управляемой сети | CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети | Вручную, отключено | 1.1.0 |
| Использование Privileged Identity Management | CMA_0533 — Использование Privileged Identity Management | Вручную, отключено | 1.1.0 |
Синхронизация времени
Идентификатор: ISO 27001:2013 A.12.4.4 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Расширение Log Analytics должно быть включено для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1-preview |
| Аудит параметра диагностики для выбранных типов ресурсов | Аудит параметров диагностики для выбранных типов ресурсов. Не забудьте выбрать только типы ресурсов, поддерживающие параметры диагностика. | Проверить, если не существует | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
| Компиляция записей аудита в системный аудит | CMA_C1140 . Компиляция записей аудита в системный аудит | Вручную, отключено | 1.1.0 |
| Dependency Agent должен быть включен для перечисленных образов виртуальных машин | Помечает виртуальные машины как несовместимые, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, Disabled | 2.0.0 |
| Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несоответствующие, если образ виртуальной машины не находится в заданном списке, а агент не установлен. Список образов ОС обновляется по мере расширения поддержки. | AuditIfNotExists, Disabled | 2.0.0 |
| Расширение Log Analytics должно быть включено в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин | Помечает масштабируемые наборы виртуальных машин как несовместимые, если образ виртуальной машины не находится в заданном списке и расширение не установлено. | AuditIfNotExists, Disabled | 2.0.1 |
| Использование системных часов для записей аудита | CMA_0535. Использование системных часов для записей аудита | Вручную, отключено | 1.1.0 |
Установка программного обеспечения в операционных системах
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.5.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Автоматизация запроса на утверждение предлагаемых изменений | CMA_C1192. Автоматизация запроса на утверждение предлагаемых изменений | Вручную, отключено | 1.1.0 |
| Автоматизация реализации утвержденных уведомлений об изменениях | CMA_C1196. Автоматизация реализации утвержденных уведомлений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для документирования реализованных изменений | CMA_C1195. Автоматизация процесса для документирования реализованных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для выделения неосмотренных предложений об изменениях | CMA_C1193 . Автоматизация процесса для выделения неразознаованных предложений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса запрета реализации неутвержденных изменений | CMA_C1194. Автоматизация процесса запрета реализации неутвержденных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация предлагаемых документированных изменений | CMA_C1191. Автоматизация предлагаемых документированных изменений | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Управление соответствием поставщиков облачных служб | CMA_0290. Управление соответствием поставщиков облачных служб | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Просмотр и настройка системных диагностических данных | CMA_0544. Просмотр и настройка системных диагностических данных | Вручную, отключено | 1.1.0 |
Управление техническими уязвимостями
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.6.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Проведение оценки рисков и распространение результатов | CMA_C1544. Проведение оценки рисков и распространение результатов | Вручную, отключено | 1.1.0 |
| Проведение оценки рисков и документирование результатов | CMA_C1542. Проведение оценки рисков и документирование результатов | Вручную, отключено | 1.1.0 |
| Включение исправления ошибок в управление конфигурацией | CMA_C1671. Включение исправления ошибок в управление конфигурацией | Вручную, отключено | 1.1.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Выбор дополнительного тестирования для оценки системы управления безопасностью | CMA_C1149. Выбор дополнительного тестирования для оценки системы безопасности | Вручную, отключено | 1.1.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
| На компьютерах должны быть установлены обновления системы | Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
Ограничения на установку программного обеспечения
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.12.6.2: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Автоматизация запроса на утверждение предлагаемых изменений | CMA_C1192. Автоматизация запроса на утверждение предлагаемых изменений | Вручную, отключено | 1.1.0 |
| Автоматизация реализации утвержденных уведомлений об изменениях | CMA_C1196. Автоматизация реализации утвержденных уведомлений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для документирования реализованных изменений | CMA_C1195. Автоматизация процесса для документирования реализованных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для выделения неосмотренных предложений об изменениях | CMA_C1193 . Автоматизация процесса для выделения неразознаованных предложений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса запрета реализации неутвержденных изменений | CMA_C1194. Автоматизация процесса запрета реализации неутвержденных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация предлагаемых документированных изменений | CMA_C1191. Автоматизация предлагаемых документированных изменений | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Управление соответствием поставщиков облачных служб | CMA_0290. Управление соответствием поставщиков облачных служб | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Просмотр и настройка системных диагностических данных | CMA_0544. Просмотр и настройка системных диагностических данных | Вручную, отключено | 1.1.0 |
Элементы управления аудитом информационных систем
Идентификатор: ISO 27001:2013 A.12.7.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование независимой команды для тестирования на проникновение | CMA_C1171 . Использование независимой команды для тестирования на проникновение | Вручную, отключено | 1.1.0 |
Безопасность связи
Элементы управления сетью
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.13.1.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Документирование и реализация рекомендаций по беспроводному доступу | CMA_0190 . Документируйте и реализуйте рекомендации по беспроводному доступу | Вручную, отключено | 1.1.0 |
| Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
| Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
| Использование защиты границ для изоляции информационных систем | CMA_C1639. Использование защиты границ для изоляции информационных систем | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Создание условий для доступа к ресурсам | CMA_C1076. Создание условий для доступа к ресурсам | Вручную, отключено | 1.1.0 |
| Создание условий для обработки ресурсов | CMA_C1077. Создание условий для обработки ресурсов | Вручную, отключено | 1.1.0 |
| Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация отказоустойчивой службы имени и адреса | CMA_0305. Реализация отказоустойчивой службы имени или адреса | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
| Реализация управляемого интерфейса для каждой внешней службы | CMA_C1626. Реализация управляемого интерфейса для каждой внешней службы | Вручную, отключено | 1.1.0 |
| Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Уведомление пользователей о входе в систему или доступе | CMA_0382. Уведомление пользователей о входе в систему или доступе | Вручную, отключено | 1.1.0 |
| Предотвращение разделения туннелирования для удаленных устройств | CMA_C1632. Предотвращение разделения туннелирования для удаленных устройств | Вручную, отключено | 1.1.0 |
| Создание, управление и распространение асимметричных ключей шифрования | CMA_C1646. Создание, управление и распространение асимметричных ключей шифрования | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита беспроводного доступа | CMA_0411 — защита беспроводного доступа | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Предоставление безопасных служб разрешения имен и адресов | CMA_0416. Предоставление безопасных служб разрешения имен и адресов | Вручную, отключено | 1.1.0 |
| Повторная авторизация или завершение сеанса пользователя | CMA_0421 — повторное выполнение проверки подлинности или завершение сеанса пользователя | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
| Защита интерфейса во внешних системах | CMA_0491 . Защита интерфейса для внешних систем | Вручную, отключено | 1.1.0 |
| Отдельные функции управления пользователями и информационной системой | CMA_0493 — отдельные функции управления пользователями и информационной системой | Вручную, отключено | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Использование выделенных компьютеров для административных задач | CMA_0527. Использование выделенных компьютеров для административных задач | Вручную, отключено | 1.1.0 |
| Проверка элементов управления безопасностью для внешних информационных систем | CMA_0541. Проверка элементов управления безопасностью для внешних информационных систем | Вручную, отключено | 1.1.0 |
Безопасность сетевых служб
Id: ISO 27001:2013 A.13.1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Определение и документирование надзора за правительством | CMA_C1587. Определение и документирование надзора за правительством | Вручную, отключено | 1.1.0 |
| Установка требований к электронной подписи и сертификатам | CMA_0271. Создание требований к электронной подписи и сертификату | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
| Предотвращение разделения туннелирования для удаленных устройств | CMA_C1632. Предотвращение разделения туннелирования для удаленных устройств | Вручную, отключено | 1.1.0 |
| Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | Вручную, отключено | 1.1.0 |
| Требовать соглашения о безопасности взаимодействия | CMA_C1151 . Требовать соглашения о безопасности взаимодействия | Вручную, отключено | 1.1.0 |
| Проверка соответствия поставщиков облачных служб политикам и соглашениям | CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям | Вручную, отключено | 1.1.0 |
| Маршрутизация трафика через точки доступа к управляемой сети | CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети | Вручную, отключено | 1.1.0 |
| Защита интерфейса во внешних системах | CMA_0491 . Защита интерфейса для внешних систем | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
| Обновление соглашений о безопасности взаимодействия | CMA_0519 . Обновление соглашений о безопасности взаимодействия | Вручную, отключено | 1.1.0 |
Разделение сетей
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.13.1.3: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Использование защиты границ для изоляции информационных систем | CMA_C1639. Использование защиты границ для изоляции информационных систем | Вручную, отключено | 1.1.0 |
| Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация отказоустойчивой службы имени и адреса | CMA_0305. Реализация отказоустойчивой службы имени или адреса | Вручную, отключено | 1.1.0 |
| Реализация управляемого интерфейса для каждой внешней службы | CMA_C1626. Реализация управляемого интерфейса для каждой внешней службы | Вручную, отключено | 1.1.0 |
| Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
| Управление потоком информации с помощью фильтров политик безопасности | CMA_C1029 — управление потоком информации с помощью фильтров политик безопасности | Вручную, отключено | 1.1.0 |
| Предотвращение разделения туннелирования для удаленных устройств | CMA_C1632. Предотвращение разделения туннелирования для удаленных устройств | Вручную, отключено | 1.1.0 |
| Предоставление безопасных служб разрешения имен и адресов | CMA_0416. Предоставление безопасных служб разрешения имен и адресов | Вручную, отключено | 1.1.0 |
| Защита интерфейса во внешних системах | CMA_0491 . Защита интерфейса для внешних систем | Вручную, отключено | 1.1.0 |
| Отдельные функции управления пользователями и информационной системой | CMA_0493 — отдельные функции управления пользователями и информационной системой | Вручную, отключено | 1.1.0 |
| Использование выделенных компьютеров для административных задач | CMA_0527. Использование выделенных компьютеров для административных задач | Вручную, отключено | 1.1.0 |
Политики и процедуры передачи информации
Идентификатор: ОТВЕТСТВЕННОСТЬ ISO 27001:2013 A.13.2.1: Общая ответственность
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Определение требований к мобильным устройствам | CMA_0122. Определение требований к мобильным устройствам | Вручную, отключено | 1.1.0 |
| Документирование и реализация рекомендаций по беспроводному доступу | CMA_0190 . Документируйте и реализуйте рекомендации по беспроводному доступу | Вручную, отключено | 1.1.0 |
| Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
| Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
| Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Создание условий для доступа к ресурсам | CMA_C1076. Создание условий для доступа к ресурсам | Вручную, отключено | 1.1.0 |
| Создание условий для обработки ресурсов | CMA_C1077. Создание условий для обработки ресурсов | Вручную, отключено | 1.1.0 |
| Явно уведомлять об использовании вычислительных устройств для совместной работы | CMA_C1649. Явно уведомлять об использовании устройств для совместной работы с вычислительными устройствами | Вручную, отключено | 1.1.1 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация отказоустойчивой службы имени и адреса | CMA_0305. Реализация отказоустойчивой службы имени или адреса | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
| Реализация управляемого интерфейса для каждой внешней службы | CMA_C1626. Реализация управляемого интерфейса для каждой внешней службы | Вручную, отключено | 1.1.0 |
| Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
| Управление потоком информации с помощью фильтров политик безопасности | CMA_C1029 — управление потоком информации с помощью фильтров политик безопасности | Вручную, отключено | 1.1.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Создание, управление и распространение асимметричных ключей шифрования | CMA_C1646. Создание, управление и распространение асимметричных ключей шифрования | Вручную, отключено | 1.1.0 |
| Запрет удаленной активации устройств для совместной работы | CMA_C1648. Запрет удаленной активации устройств для совместной работы | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита беспроводного доступа | CMA_0411 — защита беспроводного доступа | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Предоставление безопасных служб разрешения имен и адресов | CMA_0416. Предоставление безопасных служб разрешения имен и адресов | Вручную, отключено | 1.1.0 |
| Требовать соглашения о безопасности взаимодействия | CMA_C1151 . Требовать соглашения о безопасности взаимодействия | Вручную, отключено | 1.1.0 |
| Защита интерфейса во внешних системах | CMA_0491 . Защита интерфейса для внешних систем | Вручную, отключено | 1.1.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| Обновление соглашений о безопасности взаимодействия | CMA_0519 . Обновление соглашений о безопасности взаимодействия | Вручную, отключено | 1.1.0 |
| Проверка элементов управления безопасностью для внешних информационных систем | CMA_0541. Проверка элементов управления безопасностью для внешних информационных систем | Вручную, отключено | 1.1.0 |
Соглашения о передаче информации
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.13.2.2: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение и документирование надзора за правительством | CMA_C1587. Определение и документирование надзора за правительством | Вручную, отключено | 1.1.0 |
| Принятие персоналом документов о требованиях к конфиденциальности | CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности | Вручную, отключено | 1.1.0 |
| Определение внешних поставщиков услуг | CMA_C1591. Определение внешних поставщиков услуг | Вручную, отключено | 1.1.0 |
| Реализация методов доставки уведомлений о конфиденциальности | CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности | Вручную, отключено | 1.1.0 |
| Получение согласия перед сбором или обработкой персональных данных | CMA_0385. Получение согласия перед сбором или обработкой персональных данных | Вручную, отключено | 1.1.0 |
| Предоставление уведомления о конфиденциальности | CMA_0414 . Предоставление уведомления о конфиденциальности | Вручную, отключено | 1.1.0 |
| Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | Вручную, отключено | 1.1.0 |
| Требовать соглашения о безопасности взаимодействия | CMA_C1151 . Требовать соглашения о безопасности взаимодействия | Вручную, отключено | 1.1.0 |
| Проверка соответствия поставщиков облачных служб политикам и соглашениям | CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
| Обновление соглашений о безопасности взаимодействия | CMA_0519 . Обновление соглашений о безопасности взаимодействия | Вручную, отключено | 1.1.0 |
Электронные сообщения
Идентификатор: ISO 27001:2013 A.13.2.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация отказоустойчивой службы имени и адреса | CMA_0305. Реализация отказоустойчивой службы имени или адреса | Вручную, отключено | 1.1.0 |
| Создание, управление и распространение асимметричных ключей шифрования | CMA_C1646. Создание, управление и распространение асимметричных ключей шифрования | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Предоставление безопасных служб разрешения имен и адресов | CMA_0416. Предоставление безопасных служб разрешения имен и адресов | Вручную, отключено | 1.1.0 |
Соглашения о конфиденциальности или неразглашении
Идентификатор: ISO 27001:2013 A.13.2.4 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Разработка кодекса поведения организации | CMA_0159 . Разработка кодекса поведения организации | Вручную, отключено | 1.1.0 |
| Разработка гарантий безопасности | CMA_0161. Разработка гарантий безопасности | Вручную, отключено | 1.1.0 |
| Документирование соглашений о доступе организации | CMA_0192 — документирование соглашений о доступе к организации | Вручную, отключено | 1.1.0 |
| Принятие персоналом документов о требованиях к конфиденциальности | CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Убедитесь, что соглашения о доступе подписаны или уволены своевременно | CMA_C1528. Убедитесь, что соглашения о доступе подписаны или уволены своевременно | Вручную, отключено | 1.1.0 |
| Запрет несправедливой практики | CMA_0396 . Запретить несправедливую практику | Вручную, отключено | 1.1.0 |
| Требовать, чтобы пользователи подписали соглашение о доступе | CMA_0440. Требовать, чтобы пользователи подписывать соглашение о доступе | Вручную, отключено | 1.1.0 |
| Проверка и подписание измененных правил поведения | CMA_0465. Проверка и подписание измененных правил поведения | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление соглашений о доступе организации | CMA_0520. Обновление соглашений о доступе к организации | Вручную, отключено | 1.1.0 |
| Обновление правил поведения и соглашений о доступе | CMA_0521 . Обновление правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Обновление правил поведения и соглашений о доступе каждые 3 года | CMA_0522 — обновление правил поведения и соглашений о доступе каждые 3 года | Вручную, отключено | 1.1.0 |
Приобретение системы, разработка и обслуживание
Анализ и спецификация требований к информационной безопасности
Идентификатор: ISO 27001:2013 A.14.1.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение ролей и обязанностей информационной безопасности | CMA_C1565. Определение ролей и обязанностей информационной безопасности | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Разработка концепции операций (CONOPS) | CMA_0141 . Разработка концепции операций (CONOPS) | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Разработка служб SSP, удовлетворяющих критериям | CMA_C1492 . Разработка SSP, соответствующего критериям | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Определение внешних поставщиков услуг | CMA_C1591. Определение внешних поставщиков услуг | Вручную, отключено | 1.1.0 |
| Определение лиц с ролями безопасности и обязанностями | CMA_C1566. Определение лиц с ролями безопасности и обязанностями | Вручную, отключено | 1.1.1 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Интеграция процесса управления рисками в SDLC | CMA_C1567 . Интеграция процесса управления рисками в SDLC | Вручную, отключено | 1.1.0 |
| Проверка и обновление архитектуры информационной безопасности | CMA_C1504. Проверка и обновление архитектуры информационной безопасности | Вручную, отключено | 1.1.0 |
| Обзор процесса разработки, стандартов и средств | CMA_C1610 — обзор процесса разработки, стандартов и инструментов | Вручную, отключено | 1.1.0 |
Защита служб приложений в общедоступных сетях
Id: ISO 27001:2013 A.14.1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
| Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
| Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
| Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Принудительное обеспечение уникальности пользователей | CMA_0250 — Принудительное обеспечение уникальности пользователей | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
| Определение и проверка подлинности пользователей, отличных от организации | CMA_C1346. Определение и проверка подлинности пользователей, отличных от организации | Вручную, отключено | 1.1.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация отказоустойчивой службы имени и адреса | CMA_0305. Реализация отказоустойчивой службы имени или адреса | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
| Управление потоком информации с помощью фильтров политик безопасности | CMA_C1029 — управление потоком информации с помощью фильтров политик безопасности | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Уведомление пользователей о входе в систему или доступе | CMA_0382. Уведомление пользователей о входе в систему или доступе | Вручную, отключено | 1.1.0 |
| Создание, управление и распространение асимметричных ключей шифрования | CMA_C1646. Создание, управление и распространение асимметричных ключей шифрования | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Предоставление безопасных служб разрешения имен и адресов | CMA_0416. Предоставление безопасных служб разрешения имен и адресов | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
| Поддержка личных учетных данных для проверки, выданных юридическими органами | CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами | Вручную, отключено | 1.1.0 |
Защита транзакций служб приложений
Идентификатор: ISO 27001:2013 A.14.1.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
| Использование защиты границ для изоляции информационных систем | CMA_C1639. Использование защиты границ для изоляции информационных систем | Вручную, отключено | 1.1.0 |
| Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Принудительное обеспечение уникальности пользователей | CMA_0250 — Принудительное обеспечение уникальности пользователей | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Определение и проверка подлинности пользователей, отличных от организации | CMA_C1346. Определение и проверка подлинности пользователей, отличных от организации | Вручную, отключено | 1.1.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация отказоустойчивой службы имени и адреса | CMA_0305. Реализация отказоустойчивой службы имени или адреса | Вручную, отключено | 1.1.0 |
| Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
| Управление потоком информации с помощью фильтров политик безопасности | CMA_C1029 — управление потоком информации с помощью фильтров политик безопасности | Вручную, отключено | 1.1.0 |
| Предотвращение разделения туннелирования для удаленных устройств | CMA_C1632. Предотвращение разделения туннелирования для удаленных устройств | Вручную, отключено | 1.1.0 |
| Создание, управление и распространение асимметричных ключей шифрования | CMA_C1646. Создание, управление и распространение асимметричных ключей шифрования | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Предоставление безопасных служб разрешения имен и адресов | CMA_0416. Предоставление безопасных служб разрешения имен и адресов | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
| Защита интерфейса во внешних системах | CMA_0491 . Защита интерфейса для внешних систем | Вручную, отключено | 1.1.0 |
| Отдельные функции управления пользователями и информационной системой | CMA_0493 — отдельные функции управления пользователями и информационной системой | Вручную, отключено | 1.1.0 |
| Поддержка личных учетных данных для проверки, выданных юридическими органами | CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами | Вручную, отключено | 1.1.0 |
| Использование выделенных компьютеров для административных задач | CMA_0527. Использование выделенных компьютеров для административных задач | Вручную, отключено | 1.1.0 |
Политика безопасной разработки
Идентификатор: ISO 27001:2013 A.14.2.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение ролей и обязанностей информационной безопасности | CMA_C1565. Определение ролей и обязанностей информационной безопасности | Вручную, отключено | 1.1.0 |
| Определение лиц с ролями безопасности и обязанностями | CMA_C1566. Определение лиц с ролями безопасности и обязанностями | Вручную, отключено | 1.1.1 |
| Интеграция процесса управления рисками в SDLC | CMA_C1567 . Интеграция процесса управления рисками в SDLC | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков сборки архитектуры безопасности | CMA_C1612. Требовать от разработчиков сборки архитектуры безопасности | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков описания точных функций безопасности | CMA_C1613. Требовать, чтобы разработчики описывали точную функциональность безопасности | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков предоставления единого подхода к защите безопасности | CMA_C1614. Требовать, чтобы разработчики предоставляли единый подход к защите безопасности | Вручную, отключено | 1.1.0 |
| Обзор процесса разработки, стандартов и средств | CMA_C1610 — обзор процесса разработки, стандартов и инструментов | Вручную, отключено | 1.1.0 |
Процедуры управления изменениями системы
Идентификатор: ISO 27001:2013 A.14.2.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Уязвимости в кодировании адресов | CMA_0003 . Уязвимости в кодировании адресов | Вручную, отключено | 1.1.0 |
| Автоматизация запроса на утверждение предлагаемых изменений | CMA_C1192. Автоматизация запроса на утверждение предлагаемых изменений | Вручную, отключено | 1.1.0 |
| Автоматизация реализации утвержденных уведомлений об изменениях | CMA_C1196. Автоматизация реализации утвержденных уведомлений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для документирования реализованных изменений | CMA_C1195. Автоматизация процесса для документирования реализованных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для выделения неосмотренных предложений об изменениях | CMA_C1193 . Автоматизация процесса для выделения неразознаованных предложений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса запрета реализации неутвержденных изменений | CMA_C1194. Автоматизация процесса запрета реализации неутвержденных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация предлагаемых документированных изменений | CMA_C1191. Автоматизация предлагаемых документированных изменений | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Разработка и документирование требований к безопасности приложений | CMA_0148. Разработка и документирование требований к безопасности приложений | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Создание программы разработки безопасного программного обеспечения | CMA_0259. Создание программы разработки безопасного программного обеспечения | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Включение исправления ошибок в управление конфигурацией | CMA_C1671. Включение исправления ошибок в управление конфигурацией | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | CMA_C1597. Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков реализации только утвержденных изменений | CMA_C1596. Требовать от разработчиков реализации только утвержденных изменений | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков управлять целостностью изменений | CMA_C1595. Требовать от разработчиков управления целостностью изменений | Вручную, отключено | 1.1.0 |
Технический обзор приложений после изменения операционной платформы
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.14.2.3: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Автоматизация запроса на утверждение предлагаемых изменений | CMA_C1192. Автоматизация запроса на утверждение предлагаемых изменений | Вручную, отключено | 1.1.0 |
| Автоматизация реализации утвержденных уведомлений об изменениях | CMA_C1196. Автоматизация реализации утвержденных уведомлений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для документирования реализованных изменений | CMA_C1195. Автоматизация процесса для документирования реализованных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для выделения неосмотренных предложений об изменениях | CMA_C1193 . Автоматизация процесса для выделения неразознаованных предложений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса запрета реализации неутвержденных изменений | CMA_C1194. Автоматизация процесса запрета реализации неутвержденных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация предлагаемых документированных изменений | CMA_C1191. Автоматизация предлагаемых документированных изменений | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Включение исправления ошибок в управление конфигурацией | CMA_C1671. Включение исправления ошибок в управление конфигурацией | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Ограничения на изменения пакетов программного обеспечения
Идентификатор: ISO 27001:2013 A.14.2.4 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Уязвимости в кодировании адресов | CMA_0003 . Уязвимости в кодировании адресов | Вручную, отключено | 1.1.0 |
| Автоматизация запроса на утверждение предлагаемых изменений | CMA_C1192. Автоматизация запроса на утверждение предлагаемых изменений | Вручную, отключено | 1.1.0 |
| Автоматизация реализации утвержденных уведомлений об изменениях | CMA_C1196. Автоматизация реализации утвержденных уведомлений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для документирования реализованных изменений | CMA_C1195. Автоматизация процесса для документирования реализованных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для выделения неосмотренных предложений об изменениях | CMA_C1193 . Автоматизация процесса для выделения неразознаованных предложений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса запрета реализации неутвержденных изменений | CMA_C1194. Автоматизация процесса запрета реализации неутвержденных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация предлагаемых документированных изменений | CMA_C1191. Автоматизация предлагаемых документированных изменений | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Разработка и документирование требований к безопасности приложений | CMA_0148. Разработка и документирование требований к безопасности приложений | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Создание программы разработки безопасного программного обеспечения | CMA_0259. Создание программы разработки безопасного программного обеспечения | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | CMA_C1597. Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков реализации только утвержденных изменений | CMA_C1596. Требовать от разработчиков реализации только утвержденных изменений | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков управлять целостностью изменений | CMA_C1595. Требовать от разработчиков управления целостностью изменений | Вручную, отключено | 1.1.0 |
Принципы безопасного проектирования системы
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.14.2.5: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Выполнение проверки входных данных | CMA_C1723. Выполнение проверки входных данных | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков сборки архитектуры безопасности | CMA_C1612. Требовать от разработчиков сборки архитектуры безопасности | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков описания точных функций безопасности | CMA_C1613. Требовать, чтобы разработчики описывали точную функциональность безопасности | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков предоставления единого подхода к защите безопасности | CMA_C1614. Требовать, чтобы разработчики предоставляли единый подход к защите безопасности | Вручную, отключено | 1.1.0 |
| Обзор процесса разработки, стандартов и средств | CMA_C1610 — обзор процесса разработки, стандартов и инструментов | Вручную, отключено | 1.1.0 |
Защита среды разработки
Идентификатор: ОТВЕТСТВЕННОСТЬ ISO 27001:2013 A.14.2.6: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Определение ролей и обязанностей информационной безопасности | CMA_C1565. Определение ролей и обязанностей информационной безопасности | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Определение лиц с ролями безопасности и обязанностями | CMA_C1566. Определение лиц с ролями безопасности и обязанностями | Вручную, отключено | 1.1.1 |
| Интеграция процесса управления рисками в SDLC | CMA_C1567 . Интеграция процесса управления рисками в SDLC | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Разработка на аутсорсинге
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.14.2.7: общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Уязвимости в кодировании адресов | CMA_0003 . Уязвимости в кодировании адресов | Вручную, отключено | 1.1.0 |
| Оценка риска в отношениях сторонних производителей | CMA_0014. Оценка риска в отношениях сторонних производителей | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Определение требований к поставке товаров и услуг | CMA_0126. Определение требований к поставке товаров и услуг | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Разработка и документирование требований к безопасности приложений | CMA_0148. Разработка и документирование требований к безопасности приложений | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Создание программы разработки безопасного программного обеспечения | CMA_0259. Создание программы разработки безопасного программного обеспечения | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Установка политик для управления рисками цепочки поставок | CMA_0275. Создание политик для управления рисками цепочки поставок | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | CMA_C1597. Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков реализации только утвержденных изменений | CMA_C1596. Требовать от разработчиков реализации только утвержденных изменений | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков управлять целостностью изменений | CMA_C1595. Требовать от разработчиков управления целостностью изменений | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков получения доказательств выполнения плана оценки безопасности | CMA_C1602. Требовать от разработчиков получения доказательств выполнения плана оценки безопасности | Вручную, отключено | 1.1.0 |
Тестирование системы безопасности
Идентификатор: ISO 27001:2013 A.14.2.8 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Результаты оценки безопасности | CMA_C1147. Результаты оценки безопасности | Вручную, отключено | 1.1.0 |
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
| Убедитесь, что нет незашифрованных статических аутентификаторов | CMA_C1340. Убедитесь, что нет незашифрованных статических аутентификаторов | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Создание отчета об оценке безопасности | CMA_C1146 . Создание отчета об оценке безопасности | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков получения доказательств выполнения плана оценки безопасности | CMA_C1602. Требовать от разработчиков получения доказательств выполнения плана оценки безопасности | Вручную, отключено | 1.1.0 |
Тестирование принятия системы
Идентификатор: ISO 27001:2013 A.14.2.9 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение официального авторизации (AO) | CMA_C1158. Назначение официального разрешения (AO) | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Убедитесь, что ресурсы авторизованы | CMA_C1159. Убедитесь, что ресурсы авторизованы | Вручную, отключено | 1.1.0 |
| Убедитесь, что нет незашифрованных статических аутентификаторов | CMA_C1340. Убедитесь, что нет незашифрованных статических аутентификаторов | Вручную, отключено | 1.1.0 |
Защита тестовых данных
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.14.3.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Убедитесь, что нет незашифрованных статических аутентификаторов | CMA_C1340. Убедитесь, что нет незашифрованных статических аутентификаторов | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Выполнение проверки ликвидации | CMA_0391 . Выполнение проверки ликвидации | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Проверка удаления персональных данных в конце обработки | CMA_0540. Проверка удаления персональных данных в конце обработки | Вручную, отключено | 1.1.0 |
Отношения поставщика
Политика информационной безопасности для отношений поставщиков
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.15.1.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка риска в отношениях сторонних производителей | CMA_0014. Оценка риска в отношениях сторонних производителей | Вручную, отключено | 1.1.0 |
| Определение требований к поставке товаров и услуг | CMA_0126. Определение требований к поставке товаров и услуг | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Установка политик для управления рисками цепочки поставок | CMA_0275. Создание политик для управления рисками цепочки поставок | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
Адресация безопасности в соглашении поставщика
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.15.1.2: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка риска в отношениях сторонних производителей | CMA_0014. Оценка риска в отношениях сторонних производителей | Вручную, отключено | 1.1.0 |
| Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | CMA_0053. Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | Вручную, отключено | 1.1.0 |
| Определение требований к поставке товаров и услуг | CMA_0126. Определение требований к поставке товаров и услуг | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Разработка кодекса поведения организации | CMA_0159 . Разработка кодекса поведения организации | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Принятие персоналом документов о требованиях к конфиденциальности | CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Установка политик для управления рисками цепочки поставок | CMA_0275. Создание политик для управления рисками цепочки поставок | Вручную, отключено | 1.1.0 |
| Определение внешних поставщиков услуг | CMA_C1591. Определение внешних поставщиков услуг | Вручную, отключено | 1.1.0 |
| Запрет несправедливой практики | CMA_0396 . Запретить несправедливую практику | Вручную, отключено | 1.1.0 |
| Проверка и подписание измененных правил поведения | CMA_0465. Проверка и подписание измененных правил поведения | Вручную, отключено | 1.1.0 |
| Обновление правил поведения и соглашений о доступе | CMA_0521 . Обновление правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Обновление правил поведения и соглашений о доступе каждые 3 года | CMA_0522 — обновление правил поведения и соглашений о доступе каждые 3 года | Вручную, отключено | 1.1.0 |
Цепочка поставок информационных технологий и коммуникаций
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.15.1.3: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка риска в отношениях сторонних производителей | CMA_0014. Оценка риска в отношениях сторонних производителей | Вручную, отключено | 1.1.0 |
| Определение требований к поставке товаров и услуг | CMA_0126. Определение требований к поставке товаров и услуг | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Установка политик для управления рисками цепочки поставок | CMA_0275. Создание политик для управления рисками цепочки поставок | Вручную, отключено | 1.1.0 |
Мониторинг и проверка служб поставщиков
Идентификатор: ISO 27001:2013 A.15.2.1 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение и документирование надзора за правительством | CMA_C1587. Определение и документирование надзора за правительством | Вручную, отключено | 1.1.0 |
| Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | Вручную, отключено | 1.1.0 |
| Проверка соответствия поставщиков облачных служб политикам и соглашениям | CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Управление изменениями в службах поставщиков
Идентификатор: ISO 27001:2013 A.15.2.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение и документирование надзора за правительством | CMA_C1587. Определение и документирование надзора за правительством | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | Вручную, отключено | 1.1.0 |
| Проверка соответствия поставщиков облачных служб политикам и соглашениям | CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Управление нарушениями информационной безопасности
Обязанности и процедуры
Идентификатор: ISO 27001:2013 A.16.1.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка событий информационной безопасности | CMA_0013. Оценка событий информационной безопасности | Вручную, отключено | 1.1.0 |
| Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
| Сохранение записей о нарушении данных | CMA_0351. Сохранение записей о нарушении данных | Вручную, отключено | 1.1.0 |
| Обслуживание плана реагирования на инциденты | CMA_0352 — обслуживание плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Защита плана реагирования на инциденты | CMA_0405 . Защита плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
Создание отчетов о событиях информационной безопасности
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.16.1.2: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Сопоставление записей аудита | CMA_0087 — сопоставление записей аудита | Вручную, отключено | 1.1.0 |
| Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
| Создание требований для проверки аудита и создания отчетов | CMA_0277. Создание требований для проверки и отчетности аудита | Вручную, отключено | 1.1.0 |
| Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
| Интеграция аудита, анализа и отчетности | CMA_0339 . Интеграция проверки аудита, анализа и отчетности | Вручную, отключено | 1.1.0 |
| Интеграция облачной безопасности приложений с siem | CMA_0340. Интеграция облачной безопасности приложений с siem | Вручную, отключено | 1.1.0 |
| Отчет о нетипичном поведении учетных записей пользователей | CMA_C1025 . Отчет о нетипичном поведении учетных записей пользователей | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Еженедельная проверка назначений администраторов | CMA_0461. Просмотр назначений администраторов еженедельно | Вручную, отключено | 1.1.0 |
| Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
| Обзор отчета об идентификации облака | CMA_0468. Обзор отчета об идентификации облака | Вручную, отключено | 1.1.0 |
| Просмотр событий доступа к управляемым папкам | CMA_0471. Просмотр событий доступа к управляемым папкам | Вручную, отключено | 1.1.0 |
| Просмотр действия файлов и папок | CMA_0473 . Просмотр действия файлов и папок | Вручную, отключено | 1.1.0 |
| Еженедельная проверка изменений группы ролей | CMA_0476. Просмотр еженедельных изменений группы ролей | Вручную, отключено | 1.1.0 |
Отчеты о слабых местах информационной безопасности
Идентификатор: ISO 27001:2013 A.16.1.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
| Включение исправления ошибок в управление конфигурацией | CMA_C1671. Включение исправления ошибок в управление конфигурацией | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Отчет о нетипичном поведении учетных записей пользователей | CMA_C1025 . Отчет о нетипичном поведении учетных записей пользователей | Вручную, отключено | 1.1.0 |
Оценка и принятие решений о событиях информационной безопасности
Идентификатор: ISO 27001:2013 A.16.1.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка событий информационной безопасности | CMA_0013. Оценка событий информационной безопасности | Вручную, отключено | 1.1.0 |
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Сопоставление записей аудита | CMA_0087 — сопоставление записей аудита | Вручную, отключено | 1.1.0 |
| Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Разработка гарантий безопасности | CMA_0161. Разработка гарантий безопасности | Вручную, отключено | 1.1.0 |
| Включение защиты сети | CMA_0238. Включение защиты сети | Вручную, отключено | 1.1.0 |
| Искоренение загрязненной информации | CMA_0253 . Искоренение загрязненной информации | Вручную, отключено | 1.1.0 |
| Создание требований для проверки аудита и создания отчетов | CMA_0277. Создание требований для проверки и отчетности аудита | Вручную, отключено | 1.1.0 |
| Выполнение действий в ответ на утечки информации | CMA_0281. Выполнение действий в ответ на утечки информации | Вручную, отключено | 1.1.0 |
| Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
| Интеграция аудита, анализа и отчетности | CMA_0339 . Интеграция проверки аудита, анализа и отчетности | Вручную, отключено | 1.1.0 |
| Интеграция облачной безопасности приложений с siem | CMA_0340. Интеграция облачной безопасности приложений с siem | Вручную, отключено | 1.1.0 |
| Обслуживание плана реагирования на инциденты | CMA_0352 — обслуживание плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Отчет о нетипичном поведении учетных записей пользователей | CMA_C1025 . Отчет о нетипичном поведении учетных записей пользователей | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Еженедельная проверка назначений администраторов | CMA_0461. Просмотр назначений администраторов еженедельно | Вручную, отключено | 1.1.0 |
| Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
| Обзор отчета об идентификации облака | CMA_0468. Обзор отчета об идентификации облака | Вручную, отключено | 1.1.0 |
| Просмотр событий доступа к управляемым папкам | CMA_0471. Просмотр событий доступа к управляемым папкам | Вручную, отключено | 1.1.0 |
| Просмотр действия файлов и папок | CMA_0473 . Просмотр действия файлов и папок | Вручную, отключено | 1.1.0 |
| Еженедельная проверка изменений группы ролей | CMA_0476. Просмотр еженедельных изменений группы ролей | Вручную, отключено | 1.1.0 |
| Просмотр и исследование ограниченных пользователей | CMA_0545 . Просмотр и исследование ограниченных пользователей | Вручную, отключено | 1.1.0 |
Реагирование на инциденты информационной безопасности
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.16.1.5: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка событий информационной безопасности | CMA_0013. Оценка событий информационной безопасности | Вручную, отключено | 1.1.0 |
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Разработка гарантий безопасности | CMA_0161. Разработка гарантий безопасности | Вручную, отключено | 1.1.0 |
| Включение защиты сети | CMA_0238. Включение защиты сети | Вручную, отключено | 1.1.0 |
| Искоренение загрязненной информации | CMA_0253 . Искоренение загрязненной информации | Вручную, отключено | 1.1.0 |
| Выполнение действий в ответ на утечки информации | CMA_0281. Выполнение действий в ответ на утечки информации | Вручную, отключено | 1.1.0 |
| Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
| Обслуживание плана реагирования на инциденты | CMA_0352 — обслуживание плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Отчет о нетипичном поведении учетных записей пользователей | CMA_C1025 . Отчет о нетипичном поведении учетных записей пользователей | Вручную, отключено | 1.1.0 |
| Просмотр и исследование ограниченных пользователей | CMA_0545 . Просмотр и исследование ограниченных пользователей | Вручную, отключено | 1.1.0 |
Обучение из инцидентов информационной безопасности
Id: ISO 27001:2013 A.16.1.6 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка событий информационной безопасности | CMA_0013. Оценка событий информационной безопасности | Вручную, отключено | 1.1.0 |
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Разработка гарантий безопасности | CMA_0161. Разработка гарантий безопасности | Вручную, отключено | 1.1.0 |
| Обнаружение любых индикаторов компрометации | CMA_C1702 . Обнаружение любых индикаторов компрометации | Вручную, отключено | 1.1.0 |
| Включение защиты сети | CMA_0238. Включение защиты сети | Вручную, отключено | 1.1.0 |
| Искоренение загрязненной информации | CMA_0253 . Искоренение загрязненной информации | Вручную, отключено | 1.1.0 |
| Выполнение действий в ответ на утечки информации | CMA_0281. Выполнение действий в ответ на утечки информации | Вручную, отключено | 1.1.0 |
| Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
| Обслуживание плана реагирования на инциденты | CMA_0352 — обслуживание плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Отчет о нетипичном поведении учетных записей пользователей | CMA_C1025 . Отчет о нетипичном поведении учетных записей пользователей | Вручную, отключено | 1.1.0 |
| Просмотр и исследование ограниченных пользователей | CMA_0545 . Просмотр и исследование ограниченных пользователей | Вручную, отключено | 1.1.0 |
Коллекция доказательств
Id: ISO 27001:2013 A.16.1.7 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
| Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | CMA_0053. Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | Вручную, отключено | 1.1.0 |
| Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
| Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
| Отчет о нетипичном поведении учетных записей пользователей | CMA_C1025 . Отчет о нетипичном поведении учетных записей пользователей | Вручную, отключено | 1.1.0 |
| Сохранение политик и процедур безопасности | CMA_0454 — Сохранение политик и процедур безопасности | Вручную, отключено | 1.1.0 |
| Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
Аспекты информационной безопасности управления непрерывностью бизнес-процессов
Планирование непрерывности информационной безопасности
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.17.1.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Обмен данными об изменениях плана на непредвиденные случаи | CMA_C1249 . Обмен данными о изменениях плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления | CMA_0146. Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления | Вручную, отключено | 1.1.0 |
| Разработка плана на непредвиденные случаи | CMA_C1244 . Разработка плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур планирования непредвиденных обстоятельств | CMA_0156 . Разработка политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Распространение политик и процедур | CMA_0185. Распространение политик и процедур | Вручную, отключено | 1.1.0 |
| Планирование возобновления основных бизнес-функций | CMA_C1253 . Планирование возобновления основных бизнес-функций | Вручную, отключено | 1.1.0 |
| Возобновление всех миссий и бизнес-функций | CMA_C1254 — возобновление всех миссий и бизнес-функций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Просмотр плана на непредвиденные случаи | CMA_C1247 . Просмотр плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Обновление плана на непредвиденные случаи | CMA_C1248 — обновление плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
Реализация непрерывности информационной безопасности
Id: ISO 27001:2013 A.17.1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Обмен данными об изменениях плана на непредвиденные случаи | CMA_C1249 . Обмен данными о изменениях плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Создание резервного копирования документации по информационной системе | CMA_C1289. Создание резервного копирования документации по информационной системе | Вручную, отключено | 1.1.0 |
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Создание отдельных альтернативных и первичных сайтов хранения | CMA_C1269. Создание отдельных альтернативных и первичных сайтов хранения | Вручную, отключено | 1.1.0 |
| Разработка плана на непредвиденные случаи | CMA_C1244 . Разработка плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Убедитесь, что альтернативные гарантии сайта хранилища эквивалентны первичному сайту | CMA_C1268. Убедитесь, что альтернативные меры защиты сайта хранилища эквивалентны первичному сайту | Вручную, отключено | 1.1.0 |
| Убедитесь, что информационная система завершается ошибкой в известном состоянии | CMA_C1662. Убедитесь, что информационная система завершается сбоем в известном состоянии | Вручную, отключено | 1.1.0 |
| Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании | CMA_C1267. Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании | Вручную, отключено | 1.1.0 |
| Создание альтернативного сайта обработки | CMA_0262. Создание альтернативного сайта обработки | Вручную, отключено | 1.1.0 |
| Установка политик резервного копирования и процедур | CMA_0268. Создание политик резервного копирования и процедур | Вручную, отключено | 1.1.0 |
| Установка требований для поставщиков услуг Интернета | CMA_0278. Создание требований для поставщиков услуг Интернета | Вручную, отключено | 1.1.0 |
| Выявление и устранение потенциальных проблем на альтернативном сайте хранилища | CMA_C1271. Выявление и устранение потенциальных проблем на альтернативном сайте хранилища | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Реализация восстановления на основе транзакций | CMA_C1296. Реализация восстановления на основе транзакций | Вручную, отключено | 1.1.0 |
| Планирование непрерывности основных бизнес-функций | CMA_C1255 . Планирование непрерывности основных бизнес-функций | Вручную, отключено | 1.1.0 |
| Планирование возобновления основных бизнес-функций | CMA_C1253 . Планирование возобновления основных бизнес-функций | Вручную, отключено | 1.1.0 |
| Восстановление и восстановление ресурсов после каких-либо нарушений | CMA_C1295 — восстановление и восстановление ресурсов после каких-либо нарушений | Вручную, отключено | 1.1.1 |
| Возобновление всех миссий и бизнес-функций | CMA_C1254 — возобновление всех миссий и бизнес-функций | Вручную, отключено | 1.1.0 |
Проверка, проверка и оценка непрерывности информационной безопасности
Идентификатор: ISO 27001:2013 A.17.1.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Инициирование действий по тестированию планов на непредвиденные случаи | CMA_C1263. Инициирование действий по тестированию планов на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Просмотр результатов тестирования плана на непредвиденные случаи | CMA_C1262 . Просмотр результатов тестирования плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Тестирование плана непрерывности бизнес-процессов и аварийного восстановления | CMA_0509. Тестирование плана непрерывности бизнес-процессов и аварийного восстановления | Вручную, отключено | 1.1.0 |
Доступность информационных средств обработки данных
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.17.2.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Обмен данными об изменениях плана на непредвиденные случаи | CMA_C1249 . Обмен данными о изменениях плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Создание отдельных альтернативных и первичных сайтов хранения | CMA_C1269. Создание отдельных альтернативных и первичных сайтов хранения | Вручную, отключено | 1.1.0 |
| Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления | CMA_0146. Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления | Вручную, отключено | 1.1.0 |
| Разработка плана на непредвиденные случаи | CMA_C1244 . Разработка плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур планирования непредвиденных обстоятельств | CMA_0156 . Разработка политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Распространение политик и процедур | CMA_0185. Распространение политик и процедур | Вручную, отключено | 1.1.0 |
| Убедитесь, что альтернативные гарантии сайта хранилища эквивалентны первичному сайту | CMA_C1268. Убедитесь, что альтернативные меры защиты сайта хранилища эквивалентны первичному сайту | Вручную, отключено | 1.1.0 |
| Убедитесь, что информационная система завершается ошибкой в известном состоянии | CMA_C1662. Убедитесь, что информационная система завершается сбоем в известном состоянии | Вручную, отключено | 1.1.0 |
| Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании | CMA_C1267. Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании | Вручную, отключено | 1.1.0 |
| Создание альтернативного сайта обработки | CMA_0262. Создание альтернативного сайта обработки | Вручную, отключено | 1.1.0 |
| Выявление и устранение потенциальных проблем на альтернативном сайте хранилища | CMA_C1271. Выявление и устранение потенциальных проблем на альтернативном сайте хранилища | Вручную, отключено | 1.1.0 |
| Планирование непрерывности основных бизнес-функций | CMA_C1255 . Планирование непрерывности основных бизнес-функций | Вручную, отключено | 1.1.0 |
| Планирование возобновления основных бизнес-функций | CMA_C1253 . Планирование возобновления основных бизнес-функций | Вручную, отключено | 1.1.0 |
| Возобновление всех миссий и бизнес-функций | CMA_C1254 — возобновление всех миссий и бизнес-функций | Вручную, отключено | 1.1.0 |
| Просмотр плана на непредвиденные случаи | CMA_C1247 . Просмотр плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Обновление плана на непредвиденные случаи | CMA_C1248 — обновление плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
Соответствие нормативным требованиям
Идентификация применимых законов и договорных требований
Идентификатор: ISO 27001:2013 A.18.1.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Защита плана программы информационной безопасности | CMA_C1732 . Защита плана программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур управления конфигурацией | CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур идентификации и проверки подлинности | CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик целостности информации и процедур | CMA_C1667. Проверка и обновление политик целостности информации и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты мультимедиа | CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур обслуживания системы | CMA_C1395. Проверка и обновление политик и процедур обслуживания системы | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур оценки безопасности и авторизации | CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Права на интеллектуальную собственность
Идентификатор: ISO 27001:2013 A.18.1.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Требование соблюдения прав интеллектуальной собственности | CMA_0432. Требование соответствия прав интеллектуальной собственности | Вручную, отключено | 1.1.0 |
| Отслеживание использования лицензий на программное обеспечение | CMA_C1235 . Отслеживание использования лицензий на программное обеспечение | Вручную, отключено | 1.1.0 |
Защита записей
Идентификатор: ISO 27001:2013 A.18.1.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Создание резервного копирования документации по информационной системе | CMA_C1289. Создание резервного копирования документации по информационной системе | Вручную, отключено | 1.1.0 |
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Включение двойной или совместной авторизации | CMA_0226 — Включение двойной или совместной авторизации | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Убедитесь, что информационная система завершается ошибкой в известном состоянии | CMA_C1662. Убедитесь, что информационная система завершается сбоем в известном состоянии | Вручную, отключено | 1.1.0 |
| Установка политик резервного копирования и процедур | CMA_0268. Создание политик резервного копирования и процедур | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Реализация восстановления на основе транзакций | CMA_C1296. Реализация восстановления на основе транзакций | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Защита данных аудита | CMA_0401 — Защита данных аудита | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Конфиденциальность и защита личных сведений
Идентификатор: ISO 27001:2013 A.18.1.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Управление действиями соответствия | CMA_0358 . Управление действиями соответствия требованиям | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Регулирование криптографических элементов управления
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.18.1.5: общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Аутентификация в криптографическом модуле | CMA_0021 — Аутентификация в криптографическом модуле | Вручную, отключено | 1.1.0 |
| Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Независимый обзор информационной безопасности
Идентификатор: ОТВЕТСТВЕННОСТЬ ISO 27001:2013 A.18.2.1: Общие права владения
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование независимой команды для тестирования на проникновение | CMA_C1171 . Использование независимой команды для тестирования на проникновение | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
Соответствие политикам безопасности и стандартам
Идентификатор: ISO 27001:2013 A.18.2.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | CMA_0053. Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений | Вручную, отключено | 1.1.0 |
| Настройка списка разрешений обнаружения | CMA_0068. Настройка списка разрешений по обнаружению | Вручную, отключено | 1.1.0 |
| Результаты оценки безопасности | CMA_C1147. Результаты оценки безопасности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Создание отчета об оценке безопасности | CMA_C1146 . Создание отчета об оценке безопасности | Вручную, отключено | 1.1.0 |
| Защита плана программы информационной безопасности | CMA_C1732 . Защита плана программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур управления конфигурацией | CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур идентификации и проверки подлинности | CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик целостности информации и процедур | CMA_C1667. Проверка и обновление политик целостности информации и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты мультимедиа | CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур обслуживания системы | CMA_C1395. Проверка и обновление политик и процедур обслуживания системы | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур оценки безопасности и авторизации | CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации | Вручную, отключено | 1.1.0 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Проверка технического соответствия
Идентификатор: ISO 27001:2013 A.18.2.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Результаты оценки безопасности | CMA_C1147. Результаты оценки безопасности | Вручную, отключено | 1.1.0 |
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
| Использование независимой команды для тестирования на проникновение | CMA_C1171 . Использование независимой команды для тестирования на проникновение | Вручную, отключено | 1.1.0 |
| Создание отчета об оценке безопасности | CMA_C1146 . Создание отчета об оценке безопасности | Вручную, отключено | 1.1.0 |
Политики информационной безопасности
Политики информационной безопасности
Идентификатор: ISO 27001:2013 A.5.1.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Установка требований к конфиденциальности для подрядчиков и поставщиков услуг | CMA_C1810. Создание требований к конфиденциальности для подрядчиков и поставщиков услуг | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Управление действиями соответствия | CMA_0358 . Управление действиями соответствия требованиям | Вручную, отключено | 1.1.0 |
| Защита плана программы информационной безопасности | CMA_C1732 . Защита плана программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур управления конфигурацией | CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур идентификации и проверки подлинности | CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик целостности информации и процедур | CMA_C1667. Проверка и обновление политик целостности информации и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты мультимедиа | CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур обслуживания системы | CMA_C1395. Проверка и обновление политик и процедур обслуживания системы | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур оценки безопасности и авторизации | CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Проверка политик для информационной безопасности
Идентификатор: ISO 27001:2013 A.5.1.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Защита плана программы информационной безопасности | CMA_C1732 . Защита плана программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур управления конфигурацией | CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур идентификации и проверки подлинности | CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик целостности информации и процедур | CMA_C1667. Проверка и обновление политик целостности информации и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты мультимедиа | CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур обслуживания системы | CMA_C1395. Проверка и обновление политик и процедур обслуживания системы | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур оценки безопасности и авторизации | CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Организация защиты информации
Роли и обязанности по информационной безопасности
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.6.1.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
| Обмен данными об изменениях плана на непредвиденные случаи | CMA_C1249 . Обмен данными о изменениях плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Создание защиты плана конфигурации | CMA_C1233. Создание защиты плана конфигурации | Вручную, отключено | 1.1.0 |
| Определение и документирование надзора за правительством | CMA_C1587. Определение и документирование надзора за правительством | Вручную, отключено | 1.1.0 |
| Определение ролей и обязанностей информационной безопасности | CMA_C1565. Определение ролей и обязанностей информационной безопасности | Вручную, отключено | 1.1.0 |
| Назначение отдельных лиц для выполнения определенных ролей и обязанностей | CMA_C1747 . Назначение отдельных лиц для выполнения определенных ролей и обязанностей | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления | CMA_0146. Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Разработка и настройка базовых конфигураций | CMA_0153 — Разработка и настройка базовых конфигураций | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка плана идентификации элементов конфигурации | CMA_C1231. Разработка плана идентификации элементов конфигурации | Вручную, отключено | 1.1.0 |
| Разработка плана управления конфигурацией | CMA_C1232. Разработка плана управления конфигурацией | Вручную, отключено | 1.1.0 |
| Разработка плана на непредвиденные случаи | CMA_C1244 . Разработка плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур планирования непредвиденных обстоятельств | CMA_0156 . Разработка политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Распространение политик и процедур | CMA_0185. Распространение политик и процедур | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Документирование и реализация процедур жалоб на конфиденциальность | CMA_0189 . Документирование и реализация процедур жалоб на конфиденциальность | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Документируйте требования к безопасности сторонних сотрудников | CMA_C1531 . Документируйте требования к безопасности сторонних сотрудников | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Обеспечение общедоступной доступности сведений о программе конфиденциальности | CMA_C1867. Обеспечение общедоступной информации о программе конфиденциальности | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Определение и документирование плана управления конфигурацией | CMA_0264 — Определение и документирование плана управления конфигурацией | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Создание сторонних требований к безопасности персонала | CMA_C1529. Создание требований к безопасности сторонних сотрудников | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Определение лиц с ролями безопасности и обязанностями | CMA_C1566. Определение лиц с ролями безопасности и обязанностями | Вручную, отключено | 1.1.1 |
| Реализация средства автоматизированного управления конфигурацией | CMA_0311 — Реализация средства автоматизированного управления конфигурацией | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Интеграция процесса управления рисками в SDLC | CMA_C1567 . Интеграция процесса управления рисками в SDLC | Вручную, отключено | 1.1.0 |
| Управление состоянием безопасности информационных систем | CMA_C1746. Управление состоянием безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Мониторинг соответствия сторонних поставщиков | CMA_C1533 . Мониторинг соответствия сторонним поставщикам | Вручную, отключено | 1.1.0 |
| Планирование возобновления основных бизнес-функций | CMA_C1253 . Планирование возобновления основных бизнес-функций | Вручную, отключено | 1.1.0 |
| Защита плана программы информационной безопасности | CMA_C1732 . Защита плана программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | Вручную, отключено | 1.1.0 |
| Требовать уведомления о передаче или прекращении работы стороннего персонала | CMA_C1532 . Требовать уведомления о передаче или прекращении передачи или прекращения сторонним персоналом | Вручную, отключено | 1.1.0 |
| Требовать от сторонних поставщиков соблюдать политики и процедуры безопасности персонала | CMA_C1530. Требовать, чтобы сторонние поставщики соответствовали политикам и процедурам безопасности персонала | Вручную, отключено | 1.1.0 |
| Возобновление всех миссий и бизнес-функций | CMA_C1254 — возобновление всех миссий и бизнес-функций | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур управления конфигурацией | CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур идентификации и проверки подлинности | CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик целостности информации и процедур | CMA_C1667. Проверка и обновление политик целостности информации и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты мультимедиа | CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур обслуживания системы | CMA_C1395. Проверка и обновление политик и процедур обслуживания системы | Вручную, отключено | 1.1.0 |
| Проверка соответствия поставщиков облачных служб политикам и соглашениям | CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям | Вручную, отключено | 1.1.0 |
| Просмотр плана на непредвиденные случаи | CMA_C1247 . Просмотр плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур оценки безопасности и авторизации | CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
| Обновление плана на непредвиденные случаи | CMA_C1248 — обновление плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Разделение обязанностей
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.6.1.2: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Определение авторизации доступа для поддержки разделения обязанностей | CMA_0116. Определение авторизации доступа для поддержки разделения обязанностей | Вручную, отключено | 1.1.0 |
| Разделение обязанностей | CMA_0204 . Разделение обязанностей в документе | Вручную, отключено | 1.1.0 |
| Отдельные обязанности отдельных лиц | CMA_0492 - Отдельные обязанности отдельных лиц | Вручную, отключено | 1.1.0 |
| Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Контакт с властями
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.6.1.3: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление контактами для властей и групп специальных интересов | CMA_0359 . Управление контактами для властей и специальных групп интересов | Вручную, отключено | 1.1.0 |
Контакт со специальными группами интересов
Идентификатор: ISO 27001:2013 A.6.1.4 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Распространение оповещений системы безопасности персоналу | CMA_C1705 . Распространение оповещений системы безопасности персоналу | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Создание программы аналитики угроз | CMA_0260. Создание программы аналитики угроз | Вручную, отключено | 1.1.0 |
| Создание внутренних оповещений системы безопасности | CMA_C1704. Создание внутренних оповещений системы безопасности | Вручную, отключено | 1.1.0 |
| Реализация директив безопасности | CMA_C1706. Реализация директив безопасности | Вручную, отключено | 1.1.0 |
| Управление контактами для властей и групп специальных интересов | CMA_0359 . Управление контактами для властей и специальных групп интересов | Вручную, отключено | 1.1.0 |
Информационная безопасность в управлении проектами
Идентификатор: ISO 27001:2013 A.6.1.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Выравнивание бизнес-целей и целей ИТ | CMA_0008 . Выравнивание бизнес-целей и целей ИТ | Вручную, отключено | 1.1.0 |
| Выделение ресурсов при определении требований к информационной системе | CMA_C1561. Выделение ресурсов при определении требований к информационной системе | Вручную, отключено | 1.1.0 |
| Определение и документирование надзора за правительством | CMA_C1587. Определение и документирование надзора за правительством | Вручную, отключено | 1.1.0 |
| Определение ролей и обязанностей информационной безопасности | CMA_C1565. Определение ролей и обязанностей информационной безопасности | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Создание дискретного элемента строки в документации по бюджету | CMA_C1563. Создание дискретного элемента строки в документации по бюджету | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление выделением ресурсов | CMA_0293. Управление выделением ресурсов | Вручную, отключено | 1.1.0 |
| Определение лиц с ролями безопасности и обязанностями | CMA_C1566. Определение лиц с ролями безопасности и обязанностями | Вручную, отключено | 1.1.1 |
| Интеграция процесса управления рисками в SDLC | CMA_C1567 . Интеграция процесса управления рисками в SDLC | Вручную, отключено | 1.1.0 |
| Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | Вручную, отключено | 1.1.0 |
| Проверка соответствия поставщиков облачных служб политикам и соглашениям | CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям | Вручную, отключено | 1.1.0 |
| Обзор процесса разработки, стандартов и средств | CMA_C1610 — обзор процесса разработки, стандартов и инструментов | Вручную, отключено | 1.1.0 |
| Безопасное обязательство от руководства | CMA_0489 — обеспечение приверженности руководства | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Политика мобильных устройств
Идентификатор: ISO 27001:2013 A.6.2.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Определение требований к мобильным устройствам | CMA_0122. Определение требований к мобильным устройствам | Вручную, отключено | 1.1.0 |
| Документирование и реализация рекомендаций по беспроводному доступу | CMA_0190 . Документируйте и реализуйте рекомендации по беспроводному доступу | Вручную, отключено | 1.1.0 |
| Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
| Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
| Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Уведомление пользователей о входе в систему или доступе | CMA_0382. Уведомление пользователей о входе в систему или доступе | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита беспроводного доступа | CMA_0411 — защита беспроводного доступа | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Телерабочие
Идентификатор: ISO 27001:2013 A.6.2.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
| Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Уведомление пользователей о входе в систему или доступе | CMA_0382. Уведомление пользователей о входе в систему или доступе | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Обеспечение безопасности со стороны персонала
Проверка
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.7.1.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Очистка персонала с доступом к секретной информации | CMA_0054 . Очистка персонала с доступом к секретной информации | Вручную, отключено | 1.1.0 |
| Реализация проверки персонала | CMA_0322 . Реализация скрининга персонала | Вручную, отключено | 1.1.0 |
| Перепросмотр отдельных лиц с определенной частотой | CMA_C1512 — повторно экранировать отдельных лиц с определенной частотой | Вручную, отключено | 1.1.0 |
Условия занятости
Id: ISO 27001:2013 A.7.1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Разработка гарантий безопасности | CMA_0161. Разработка гарантий безопасности | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Документирование соглашений о доступе организации | CMA_0192 — документирование соглашений о доступе к организации | Вручную, отключено | 1.1.0 |
| Принятие персоналом документов о требованиях к конфиденциальности | CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Убедитесь, что соглашения о доступе подписаны или уволены своевременно | CMA_C1528. Убедитесь, что соглашения о доступе подписаны или уволены своевременно | Вручную, отключено | 1.1.0 |
| Обеспечение общедоступной доступности сведений о программе конфиденциальности | CMA_C1867. Обеспечение общедоступной информации о программе конфиденциальности | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Реализация методов доставки уведомлений о конфиденциальности | CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности | Вручную, отключено | 1.1.0 |
| Получение согласия перед сбором или обработкой персональных данных | CMA_0385. Получение согласия перед сбором или обработкой персональных данных | Вручную, отключено | 1.1.0 |
| Предоставление уведомления о конфиденциальности | CMA_0414 . Предоставление уведомления о конфиденциальности | Вручную, отключено | 1.1.0 |
| Требовать, чтобы пользователи подписали соглашение о доступе | CMA_0440. Требовать, чтобы пользователи подписывать соглашение о доступе | Вручную, отключено | 1.1.0 |
| Обновление соглашений о доступе организации | CMA_0520. Обновление соглашений о доступе к организации | Вручную, отключено | 1.1.0 |
Обязанности управления
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.7.2.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение и документирование надзора за правительством | CMA_C1587. Определение и документирование надзора за правительством | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Документирование соглашений о доступе организации | CMA_0192 — документирование соглашений о доступе к организации | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Документируйте требования к безопасности сторонних сотрудников | CMA_C1531 . Документируйте требования к безопасности сторонних сотрудников | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Убедитесь, что соглашения о доступе подписаны или уволены своевременно | CMA_C1528. Убедитесь, что соглашения о доступе подписаны или уволены своевременно | Вручную, отключено | 1.1.0 |
| Создание сторонних требований к безопасности персонала | CMA_C1529. Создание требований к безопасности сторонних сотрудников | Вручную, отключено | 1.1.0 |
| Мониторинг соответствия сторонних поставщиков | CMA_C1533 . Мониторинг соответствия сторонним поставщикам | Вручную, отключено | 1.1.0 |
| Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | Вручную, отключено | 1.1.0 |
| Требовать уведомления о передаче или прекращении работы стороннего персонала | CMA_C1532 . Требовать уведомления о передаче или прекращении передачи или прекращения сторонним персоналом | Вручную, отключено | 1.1.0 |
| Требовать от сторонних поставщиков соблюдать политики и процедуры безопасности персонала | CMA_C1530. Требовать, чтобы сторонние поставщики соответствовали политикам и процедурам безопасности персонала | Вручную, отключено | 1.1.0 |
| Требовать, чтобы пользователи подписали соглашение о доступе | CMA_0440. Требовать, чтобы пользователи подписывать соглашение о доступе | Вручную, отключено | 1.1.0 |
| Проверка соответствия поставщиков облачных служб политикам и соглашениям | CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
| Обновление соглашений о доступе организации | CMA_0520. Обновление соглашений о доступе к организации | Вручную, отключено | 1.1.0 |
Осведомленность о информационной безопасности, образование и обучение
Идентификатор: ISO 27001:2013 A.7.2.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Использование автоматизированной среды обучения | CMA_C1357. Использование автоматизированной среды обучения | Вручную, отключено | 1.1.0 |
| Создание программы разработки и улучшения рабочей силы информационной безопасности | CMA_C1752. Создание программы разработки и улучшения рабочей силы информационной безопасности | Вручную, отключено | 1.1.0 |
| Мониторинг завершения обучения безопасности и конфиденциальности | CMA_0379 . Мониторинг завершения обучения безопасности и конфиденциальности | Вручную, отключено | 1.1.0 |
| Предоставление обучения на непредвиденные случаи | CMA_0412. Предоставление обучения на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Предоставление обучения утечки информации | CMA_0413. Предоставление обучения утечки информации | Вручную, отключено | 1.1.0 |
| Предоставление периодического обучения безопасности на основе ролей | CMA_C1095. Предоставление периодического обучения безопасности на основе ролей | Вручную, отключено | 1.1.0 |
| Предоставление периодической подготовки по обеспечению осведомленности о безопасности | CMA_C1091. Предоставление периодической подготовки по повышению осведомленности о безопасности | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Предоставление обучения безопасности на основе ролей | CMA_C1094. Предоставление обучения безопасности на основе ролей | Вручную, отключено | 1.1.0 |
| Предоставьте обучение безопасности перед предоставлением доступа | CMA_0418. Предоставьте обучение безопасности перед предоставлением доступа | Вручную, отключено | 1.1.0 |
| Предоставление обучения безопасности для новых пользователей | CMA_0419. Предоставление обучения безопасности для новых пользователей | Вручную, отключено | 1.1.0 |
| Предоставление обновленной подготовки по повышению осведомленности о безопасности | CMA_C1090. Предоставление обновленной подготовки по повышению осведомленности о безопасности | Вручную, отключено | 1.1.0 |
| Сохранение записей обучения | CMA_0456 — сохранение записей обучения | Вручную, отключено | 1.1.0 |
| Обучение персонала по раскрытию неопубликованных сведений | CMA_C1084 — обучение персонала по раскрытию неопубликованных сведений | Вручную, отключено | 1.1.0 |
Дисциплинарный процесс
Идентификатор: ISO 27001:2013 A.7.2.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация формального процесса санкций | CMA_0317 . Реализация формального процесса санкций | Вручную, отключено | 1.1.0 |
| Уведомление персонала о санкциях | CMA_0380 — уведомление персонала о санкциях | Вручную, отключено | 1.1.0 |
Прекращение или изменение обязанностей по трудоустройству
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.7.3.1: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проведение собеседования на выходе после завершения | CMA_0058 — проведение собеседования о выходе после завершения | Вручную, отключено | 1.1.0 |
| Отключение структур проверки подлинности при удалении | CMA_0169 — Отключение структур проверки подлинности при удалении | Вручную, отключено | 1.1.0 |
| Инициирование действий по передаче или переназначения | CMA_0333. Инициирование действий по передаче или переназначения | Вручную, отключено | 1.1.0 |
| Изменение авторизации доступа при передаче персонала | CMA_0374. Изменение авторизации доступа при передаче персонала | Вручную, отключено | 1.1.0 |
| Уведомление о завершении или передаче | CMA_0381 — уведомление о завершении или передаче | Вручную, отключено | 1.1.0 |
| Защита от кражи данных и предотвращение кражи данных от сотрудников | CMA_0398 . Защита от кражи данных и предотвращение кражи данных от сотрудников | Вручную, отключено | 1.1.0 |
| Повторное вычисление доступа при передаче персонала | CMA_0424 — повторное вычисление доступа при передаче персонала | Вручную, отключено | 1.1.0 |
| Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
Управление активами
Инвентаризация активов
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.8.1.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Создание инвентаризации данных | CMA_0096. Создание инвентаризации данных | Вручную, отключено | 1.1.0 |
| Обслуживание записей обработки персональных данных | CMA_0353 . Сохранение записей об обработке персональных данных | Вручную, отключено | 1.1.0 |
Владение активами
Id: ISO 27001:2013 A.8.1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| Управление использованием переносимых устройств хранения | CMA_0083 . Управление использованием переносимых устройств хранения | Вручную, отключено | 1.1.0 |
| Создание инвентаризации данных | CMA_0096. Создание инвентаризации данных | Вручную, отключено | 1.1.0 |
| Создание и обслуживание инвентаризации активов | CMA_0266. Создание и обслуживание инвентаризации активов | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Обслуживание записей обработки персональных данных | CMA_0353 . Сохранение записей об обработке персональных данных | Вручную, отключено | 1.1.0 |
| Ограничение использования мультимедиа | CMA_0450. Ограничение использования носителей | Вручную, отключено | 1.1.0 |
Допустимое использование ресурсов
Id: ISO 27001:2013 A.8.1.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
Возврат ресурсов
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.8.1.4: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проведение собеседования на выходе после завершения | CMA_0058 — проведение собеседования о выходе после завершения | Вручную, отключено | 1.1.0 |
| Отключение структур проверки подлинности при удалении | CMA_0169 — Отключение структур проверки подлинности при удалении | Вручную, отключено | 1.1.0 |
| Инициирование действий по передаче или переназначения | CMA_0333. Инициирование действий по передаче или переназначения | Вручную, отключено | 1.1.0 |
| Изменение авторизации доступа при передаче персонала | CMA_0374. Изменение авторизации доступа при передаче персонала | Вручную, отключено | 1.1.0 |
| Уведомление о завершении или передаче | CMA_0381 — уведомление о завершении или передаче | Вручную, отключено | 1.1.0 |
| Защита от кражи данных и предотвращение кражи данных от сотрудников | CMA_0398 . Защита от кражи данных и предотвращение кражи данных от сотрудников | Вручную, отключено | 1.1.0 |
| Повторное вычисление доступа при передаче персонала | CMA_0424 — повторное вычисление доступа при передаче персонала | Вручную, отключено | 1.1.0 |
| Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
Классификация информации
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.8.2.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Классификация сведений | CMA_0052 — классификация сведений | Вручную, отключено | 1.1.0 |
| Разработка схем бизнес-классификации | CMA_0155 . Разработка схем классификации бизнеса | Вручную, отключено | 1.1.0 |
| Убедитесь, что классификация безопасности утверждена | CMA_C1540. Убедитесь, что классификация безопасности утверждена | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
Маркировка сведений
Идентификатор: ISO 27001:2013 A.8.2.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Обработка ресурсов
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.8.2.3: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Управление использованием переносимых устройств хранения | CMA_0083 . Управление использованием переносимых устройств хранения | Вручную, отключено | 1.1.0 |
| Определение требований для управления ресурсами | CMA_0125. Определение требований к управлению ресурсами | Вручную, отключено | 1.1.0 |
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация отказоустойчивой службы имени и адреса | CMA_0305. Реализация отказоустойчивой службы имени или адреса | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Создание, управление и распространение асимметричных ключей шифрования | CMA_C1646. Создание, управление и распространение асимметричных ключей шифрования | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
| Предоставление безопасных служб разрешения имен и адресов | CMA_0416. Предоставление безопасных служб разрешения имен и адресов | Вручную, отключено | 1.1.0 |
| Ограничение использования мультимедиа | CMA_0450. Ограничение использования носителей | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Управление съемным носителем
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.8.3.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| Управление использованием переносимых устройств хранения | CMA_0083 . Управление использованием переносимых устройств хранения | Вручную, отключено | 1.1.0 |
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
| Ограничение использования мультимедиа | CMA_0450. Ограничение использования носителей | Вручную, отключено | 1.1.0 |
Удаление носителей
Id: ISO 27001:2013 A.8.3.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Передача физических носителей
Идентификатор: ISO 27001:2013 A.8.3.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
Управление доступом
Политика управления доступом
Идентификатор: ISO 27001:2013 A.9.1.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
Доступ к сетям и сетевым службам
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.9.1.2: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, Disabled | 1.4.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, Disabled | 1.4.0 |
| Аудит виртуальных машин, которые не используют управляемые диски | Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. | audit | 1.0.0 |
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
| Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
| Включение обнаружения сетевых устройств | CMA_0220. Включение обнаружения сетевых устройств | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Принудительное обеспечение уникальности пользователей | CMA_0250 — Принудительное обеспечение уникальности пользователей | Вручную, отключено | 1.1.0 |
| Установка требований к электронной подписи и сертификатам | CMA_0271. Создание требований к электронной подписи и сертификату | Вручную, отключено | 1.1.0 |
| Определение действий, разрешенных без проверки подлинности | CMA_0295. Определение действий, разрешенных без проверки подлинности | Вручную, отключено | 1.1.0 |
| Определение и проверка подлинности пользователей, отличных от организации | CMA_C1346. Определение и проверка подлинности пользователей, отличных от организации | Вручную, отключено | 1.1.0 |
| Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
| Маршрутизация трафика через точки доступа к управляемой сети | CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети | Вручную, отключено | 1.1.0 |
| Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
| Поддержка личных учетных данных для проверки, выданных юридическими органами | CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами | Вручную, отключено | 1.1.0 |
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
Регистрация пользователей и отмена регистрации
Идентификатор: ISO 27001:2013 A.9.2.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение диспетчеров учетных записей | CMA_0015. Назначение диспетчеров учетных записей | Вручную, отключено | 1.1.0 |
| Назначение системных идентификаторов | CMA_0018. Назначение системных идентификаторов | Вручную, отключено | 1.1.0 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Определение типов учетных записей информационной системы | CMA_0121. Определение типов учетных записей информационной системы | Вручную, отключено | 1.1.0 |
| Права доступа к документам | CMA_0186 . Права доступа к документам | Вручную, отключено | 1.1.0 |
| Включение обнаружения сетевых устройств | CMA_0220. Включение обнаружения сетевых устройств | Вручную, отключено | 1.1.0 |
| Принудительное обеспечение уникальности пользователей | CMA_0250 — Принудительное обеспечение уникальности пользователей | Вручную, отключено | 1.1.0 |
| Установка типов и процессов аутентификатора | CMA_0267. Установка типов и процессов аутентификатора | Вручную, отключено | 1.1.0 |
| Создание условий для членства в роли | CMA_0269. Создание условий для членства в роли | Вручную, отключено | 1.1.0 |
| Создание процедур для первоначального распространения аутентификатора | CMA_0276. Создание процедур для начального распространения аутентификатора | Вручную, отключено | 1.1.0 |
| Определение действий, разрешенных без проверки подлинности | CMA_0295. Определение действий, разрешенных без проверки подлинности | Вручную, отключено | 1.1.0 |
| Определение и проверка подлинности пользователей, отличных от организации | CMA_C1346. Определение и проверка подлинности пользователей, отличных от организации | Вручную, отключено | 1.1.0 |
| Реализация обучения для защиты структур проверки подлинности | CMA_0329 — Реализация обучения для защиты структур проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление временем существования и повторное использование средства проверки подлинности | CMA_0355. Управление временем существования и повторное использование средства проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление аутентификаторами | CMA_C1321 — управление аутентификаторами | Вручную, отключено | 1.1.0 |
| Уведомление диспетчеров учетных записей, контролируемых клиентом | CMA_C1009 . Уведомление диспетчеров учетных записей, контролируемых клиентом | Вручную, отключено | 1.1.0 |
| Запрет повторного использования идентификатора для определенного периода времени | CMA_C1314. Запрет повторного использования идентификатора для определенного периода времени | Вручную, отключено | 1.1.0 |
| Обновление аутентификаторов | CMA_0425 . Обновление аутентификаторов | Вручную, отключено | 1.1.0 |
| Повторная проверка подлинности для измененных групп и учетных записей | CMA_0426 — повторное выполнение проверки подлинности для измененных групп и учетных записей | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Проверка и повторное вычисление привилегий | CMA_C1207. Проверка и повторное вычисление привилегий | Вручную, отключено | 1.1.0 |
| Проверка учетных записей пользователей | CMA_0480 — Проверка учетных записей пользователей | Вручную, отключено | 1.1.0 |
| Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
| Поддержка личных учетных данных для проверки, выданных юридическими органами | CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами | Вручную, отключено | 1.1.0 |
| Проверка удостоверения перед распространением аутентификаторов | CMA_0538. Проверка удостоверения перед распространением аутентификаторов | Вручную, отключено | 1.1.0 |
Подготовка доступа пользователей
Идентификатор: ISO 27001:2013 A.9.2.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение диспетчеров учетных записей | CMA_0015. Назначение диспетчеров учетных записей | Вручную, отключено | 1.1.0 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
| Определение типов учетных записей информационной системы | CMA_0121. Определение типов учетных записей информационной системы | Вручную, отключено | 1.1.0 |
| Права доступа к документам | CMA_0186 . Права доступа к документам | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Создание условий для членства в роли | CMA_0269. Создание условий для членства в роли | Вручную, отключено | 1.1.0 |
| Ограничение привилегий для внесения изменений в рабочую среду | CMA_C1206. Ограничение прав на внесение изменений в рабочую среду | Вручную, отключено | 1.1.0 |
| Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Уведомление диспетчеров учетных записей, контролируемых клиентом | CMA_C1009 . Уведомление диспетчеров учетных записей, контролируемых клиентом | Вручную, отключено | 1.1.0 |
| Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Проверка и повторное вычисление привилегий | CMA_C1207. Проверка и повторное вычисление привилегий | Вручную, отключено | 1.1.0 |
| Проверка учетных записей пользователей | CMA_0480 — Проверка учетных записей пользователей | Вручную, отключено | 1.1.0 |
Управление правами привилегированного доступа
Идентификатор: ISO 27001:2013 A.9.2.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Назначение диспетчеров учетных записей | CMA_0015. Назначение диспетчеров учетных записей | Вручную, отключено | 1.1.0 |
| Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
| Определение типов учетных записей информационной системы | CMA_0121. Определение типов учетных записей информационной системы | Вручную, отключено | 1.1.0 |
| Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
| Права доступа к документам | CMA_0186 . Права доступа к документам | Вручную, отключено | 1.1.0 |
| Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Создание условий для членства в роли | CMA_0269. Создание условий для членства в роли | Вручную, отключено | 1.1.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Ограничение привилегий для внесения изменений в рабочую среду | CMA_C1206. Ограничение прав на внесение изменений в рабочую среду | Вручную, отключено | 1.1.0 |
| Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Мониторинг назначения привилегированной роли | CMA_0378 — Мониторинг назначения привилегированной роли | Вручную, отключено | 1.1.0 |
| Уведомление диспетчеров учетных записей, контролируемых клиентом | CMA_C1009 . Уведомление диспетчеров учетных записей, контролируемых клиентом | Вручную, отключено | 1.1.0 |
| Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Проверка и повторное вычисление привилегий | CMA_C1207. Проверка и повторное вычисление привилегий | Вручную, отключено | 1.1.0 |
| Проверка учетных записей пользователей | CMA_0480 — Проверка учетных записей пользователей | Вручную, отключено | 1.1.0 |
| Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Использование Privileged Identity Management | CMA_0533 — Использование Privileged Identity Management | Вручную, отключено | 1.1.0 |
Управление секретной информацией для аутентификации пользователей
Идентификатор: ISO 27001:2013 A.9.2.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, Disabled | 1.4.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Отключение структур проверки подлинности при удалении | CMA_0169 — Отключение структур проверки подлинности при удалении | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Установка политики паролей | CMA_0256. Установка политики паролей | Вручную, отключено | 1.1.0 |
| Установка типов и процессов аутентификатора | CMA_0267. Установка типов и процессов аутентификатора | Вручную, отключено | 1.1.0 |
| Создание процедур для первоначального распространения аутентификатора | CMA_0276. Создание процедур для начального распространения аутентификатора | Вручную, отключено | 1.1.0 |
| Реализация параметров для запоминающихся проверяющих секретов | CMA_0321. Реализация параметров для запоминаемых проверяющих секретов | Вручную, отключено | 1.1.0 |
| Реализация обучения для защиты структур проверки подлинности | CMA_0329 — Реализация обучения для защиты структур проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление временем существования и повторное использование средства проверки подлинности | CMA_0355. Управление временем существования и повторное использование средства проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление аутентификаторами | CMA_C1321 — управление аутентификаторами | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Обновление аутентификаторов | CMA_0425 . Обновление аутентификаторов | Вручную, отключено | 1.1.0 |
| Повторная проверка подлинности для измененных групп и учетных записей | CMA_0426 — повторное выполнение проверки подлинности для измененных групп и учетных записей | Вручную, отключено | 1.1.0 |
| Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
| Проверка удостоверения перед распространением аутентификаторов | CMA_0538. Проверка удостоверения перед распространением аутентификаторов | Вручную, отключено | 1.1.0 |
Обзор прав доступа пользователей
Идентификатор: ISO 27001:2013 A.9.2.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение диспетчеров учетных записей | CMA_0015. Назначение диспетчеров учетных записей | Вручную, отключено | 1.1.0 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Определение типов учетных записей информационной системы | CMA_0121. Определение типов учетных записей информационной системы | Вручную, отключено | 1.1.0 |
| Права доступа к документам | CMA_0186 . Права доступа к документам | Вручную, отключено | 1.1.0 |
| Создание условий для членства в роли | CMA_0269. Создание условий для членства в роли | Вручную, отключено | 1.1.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Уведомление диспетчеров учетных записей, контролируемых клиентом | CMA_C1009 . Уведомление диспетчеров учетных записей, контролируемых клиентом | Вручную, отключено | 1.1.0 |
| Переназначение или удаление привилегий пользователя при необходимости | CMA_C1040 — Переназначение или удаление привилегий пользователя при необходимости | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Проверка и повторное вычисление привилегий | CMA_C1207. Проверка и повторное вычисление привилегий | Вручную, отключено | 1.1.0 |
| Проверка учетных записей пользователей | CMA_0480 — Проверка учетных записей пользователей | Вручную, отключено | 1.1.0 |
| Проверка привилегий пользователя | CMA_C1039 — Проверка привилегий пользователя | Вручную, отключено | 1.1.0 |
Удаление или корректировка прав доступа
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 A.9.2.6: общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение диспетчеров учетных записей | CMA_0015. Назначение диспетчеров учетных записей | Вручную, отключено | 1.1.0 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Определение типов учетных записей информационной системы | CMA_0121. Определение типов учетных записей информационной системы | Вручную, отключено | 1.1.0 |
| Права доступа к документам | CMA_0186 . Права доступа к документам | Вручную, отключено | 1.1.0 |
| Создание условий для членства в роли | CMA_0269. Создание условий для членства в роли | Вручную, отключено | 1.1.0 |
| Инициирование действий по передаче или переназначения | CMA_0333. Инициирование действий по передаче или переназначения | Вручную, отключено | 1.1.0 |
| Изменение авторизации доступа при передаче персонала | CMA_0374. Изменение авторизации доступа при передаче персонала | Вручную, отключено | 1.1.0 |
| Уведомление диспетчеров учетных записей, контролируемых клиентом | CMA_C1009 . Уведомление диспетчеров учетных записей, контролируемых клиентом | Вручную, отключено | 1.1.0 |
| Уведомление о завершении или передаче | CMA_0381 — уведомление о завершении или передаче | Вручную, отключено | 1.1.0 |
| Повторное вычисление доступа при передаче персонала | CMA_0424 — повторное вычисление доступа при передаче персонала | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Проверка и повторное вычисление привилегий | CMA_C1207. Проверка и повторное вычисление привилегий | Вручную, отключено | 1.1.0 |
| Проверка учетных записей пользователей | CMA_0480 — Проверка учетных записей пользователей | Вручную, отключено | 1.1.0 |
Использование сведений о секретной проверке подлинности
Идентификатор: ISO 27001:2013 A.9.3.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Отключение структур проверки подлинности при удалении | CMA_0169 — Отключение структур проверки подлинности при удалении | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Установка политики паролей | CMA_0256. Установка политики паролей | Вручную, отключено | 1.1.0 |
| Установка типов и процессов аутентификатора | CMA_0267. Установка типов и процессов аутентификатора | Вручную, отключено | 1.1.0 |
| Создание процедур для первоначального распространения аутентификатора | CMA_0276. Создание процедур для начального распространения аутентификатора | Вручную, отключено | 1.1.0 |
| Реализация параметров для запоминающихся проверяющих секретов | CMA_0321. Реализация параметров для запоминаемых проверяющих секретов | Вручную, отключено | 1.1.0 |
| Реализация обучения для защиты структур проверки подлинности | CMA_0329 — Реализация обучения для защиты структур проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление временем существования и повторное использование средства проверки подлинности | CMA_0355. Управление временем существования и повторное использование средства проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление аутентификаторами | CMA_C1321 — управление аутентификаторами | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Обновление аутентификаторов | CMA_0425 . Обновление аутентификаторов | Вручную, отключено | 1.1.0 |
| Повторная проверка подлинности для измененных групп и учетных записей | CMA_0426 — повторное выполнение проверки подлинности для измененных групп и учетных записей | Вручную, отключено | 1.1.0 |
| Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
| Завершение учетных данных учетной записи, контролируемых клиентом | CMA_C1022. Завершение учетных данных учетной записи, управляемой клиентом | Вручную, отключено | 1.1.0 |
| Проверка удостоверения перед распространением аутентификаторов | CMA_0538. Проверка удостоверения перед распространением аутентификаторов | Вручную, отключено | 1.1.0 |
Ограничение доступа к информации
Идентификатор: ISO 27001:2013 A.9.4.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Ограничение привилегий для внесения изменений в рабочую среду | CMA_C1206. Ограничение прав на внесение изменений в рабочую среду | Вручную, отключено | 1.1.0 |
| Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Безопасные процедуры входа в систему
Идентификатор: ISO 27001:2013 A.9.4.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Включение обнаружения сетевых устройств | CMA_0220. Включение обнаружения сетевых устройств | Вручную, отключено | 1.1.0 |
| Принудительное применение ограничения последовательных неудачных попыток входа | CMA_C1044. Принудительное применение ограничения последовательных неудачных попыток входа | Вручную, отключено | 1.1.0 |
| Принудительное обеспечение уникальности пользователей | CMA_0250 — Принудительное обеспечение уникальности пользователей | Вручную, отключено | 1.1.0 |
| Установка требований к электронной подписи и сертификатам | CMA_0271. Создание требований к электронной подписи и сертификату | Вручную, отключено | 1.1.0 |
| Создание сообщений об ошибках | CMA_C1724. Создание сообщений об ошибках | Вручную, отключено | 1.1.0 |
| Определение действий, разрешенных без проверки подлинности | CMA_0295. Определение действий, разрешенных без проверки подлинности | Вручную, отключено | 1.1.0 |
| Определение и проверка подлинности пользователей, отличных от организации | CMA_C1346. Определение и проверка подлинности пользователей, отличных от организации | Вручную, отключено | 1.1.0 |
| Неясные сведения о обратной связи во время проверки подлинности | CMA_C1344 — неузнаемые сведения о обратной связи во время проверки подлинности | Вручную, отключено | 1.1.0 |
| Отображение сообщений об ошибках | CMA_C1725 — отображение сообщений об ошибках | Вручную, отключено | 1.1.0 |
| Маршрутизация трафика через точки доступа к управляемой сети | CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети | Вручную, отключено | 1.1.0 |
| Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
| Поддержка личных учетных данных для проверки, выданных юридическими органами | CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами | Вручную, отключено | 1.1.0 |
| Автоматическое завершение сеанса пользователя | CMA_C1054 — Автоматическое завершение сеанса пользователя | Вручную, отключено | 1.1.0 |
Система управления паролями
Идентификатор: ISO 27001:2013 A.9.4.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists, Disabled | 1.1.0 |
| Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет максимального возраста пароля, установленного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней | AuditIfNotExists, Disabled | 1.1.0 |
| Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет минимального возраста пароля, установленного на указанное количество дней. Значение по умолчанию для минимального возраста пароля — 1 день | AuditIfNotExists, Disabled | 1.1.0 |
| Аудит компьютеров Windows без включенного параметра сложности пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. | AuditIfNotExists, Disabled | 1.0.0 |
| Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists, Disabled | 1.1.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Отключение структур проверки подлинности при удалении | CMA_0169 — Отключение структур проверки подлинности при удалении | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Установка политики паролей | CMA_0256. Установка политики паролей | Вручную, отключено | 1.1.0 |
| Установка типов и процессов аутентификатора | CMA_0267. Установка типов и процессов аутентификатора | Вручную, отключено | 1.1.0 |
| Создание процедур для первоначального распространения аутентификатора | CMA_0276. Создание процедур для начального распространения аутентификатора | Вручную, отключено | 1.1.0 |
| Реализация параметров для запоминающихся проверяющих секретов | CMA_0321. Реализация параметров для запоминаемых проверяющих секретов | Вручную, отключено | 1.1.0 |
| Реализация обучения для защиты структур проверки подлинности | CMA_0329 — Реализация обучения для защиты структур проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление временем существования и повторное использование средства проверки подлинности | CMA_0355. Управление временем существования и повторное использование средства проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление аутентификаторами | CMA_C1321 — управление аутентификаторами | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Обновление аутентификаторов | CMA_0425 . Обновление аутентификаторов | Вручную, отключено | 1.1.0 |
| Повторная проверка подлинности для измененных групп и учетных записей | CMA_0426 — повторное выполнение проверки подлинности для измененных групп и учетных записей | Вручную, отключено | 1.1.0 |
| Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
| Проверка удостоверения перед распространением аутентификаторов | CMA_0538. Проверка удостоверения перед распространением аутентификаторов | Вручную, отключено | 1.1.0 |
Использование привилегированных программ служебной программы
Идентификатор: ISO 27001:2013 A.9.4.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
| Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Управление доступом к исходному коду программы
Идентификатор: ISO 27001:2013 A.9.4.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
| Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Ограничение привилегий для внесения изменений в рабочую среду | CMA_C1206. Ограничение прав на внесение изменений в рабочую среду | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Улучшение
Неконформенность и исправление действия
Идентификатор: ISO 27001:2013 C.10.1.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Неконформенность и исправление действия
Идентификатор: ISO 27001:2013 C.10.1.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Неконформенность и исправление действия
Идентификатор: ISO 27001:2013 C.10.1.f Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Неконформенность и исправление действия
Идентификатор: ISO 27001:2013 C.10.1.g Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Контекст организации
Определение область системы управления информационной безопасностью
Идентификатор: ISO 27001:2013 C.4.3.a Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка служб SSP, удовлетворяющих критериям | CMA_C1492 . Разработка SSP, соответствующего критериям | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
Определение область системы управления информационной безопасностью
Идентификатор: ISO 27001:2013 C.4.3.b Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка служб SSP, удовлетворяющих критериям | CMA_C1492 . Разработка SSP, соответствующего критериям | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
Определение область системы управления информационной безопасностью
Id: ISO 27001:2013 C.4.3.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Выравнивание бизнес-целей и целей ИТ | CMA_0008 . Выравнивание бизнес-целей и целей ИТ | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Разработка служб SSP, удовлетворяющих критериям | CMA_C1492 . Разработка SSP, соответствующего критериям | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Использование бизнес-дела для записи необходимых ресурсов | CMA_C1735. Использование бизнес-дела для записи необходимых ресурсов | Вручную, отключено | 1.1.0 |
| Обеспечение планирования капитала и инвестиционных запросов включают необходимые ресурсы | CMA_C1734. Обеспечение планирования капитала и инвестиционных запросов включают необходимые ресурсы | Вручную, отключено | 1.1.0 |
| Установка требований к конфиденциальности для подрядчиков и поставщиков услуг | CMA_C1810. Создание требований к конфиденциальности для подрядчиков и поставщиков услуг | Вручную, отключено | 1.1.0 |
| Управление выделением ресурсов | CMA_0293. Управление выделением ресурсов | Вручную, отключено | 1.1.0 |
| Безопасное обязательство от руководства | CMA_0489 — обеспечение приверженности руководства | Вручную, отключено | 1.1.0 |
Система управления информационной безопасностью
Идентификатор: ОТВЕТСТВЕННОСТЬ ISO 27001:2013 C.4.4 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Лидерство
Руководство и приверженность
Идентификатор: ISO 27001:2013 C.5.1.a Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Руководство и приверженность
Идентификатор: ISO 27001:2013 C.5.1.b Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур управления конфигурацией | CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур идентификации и проверки подлинности | CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик целостности информации и процедур | CMA_C1667. Проверка и обновление политик целостности информации и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты мультимедиа | CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур обслуживания системы | CMA_C1395. Проверка и обновление политик и процедур обслуживания системы | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур оценки безопасности и авторизации | CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Руководство и приверженность
Id: ISO 27001:2013 C.5.1.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Выравнивание бизнес-целей и целей ИТ | CMA_0008 . Выравнивание бизнес-целей и целей ИТ | Вручную, отключено | 1.1.0 |
| Выделение ресурсов при определении требований к информационной системе | CMA_C1561. Выделение ресурсов при определении требований к информационной системе | Вручную, отключено | 1.1.0 |
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
| Использование бизнес-дела для записи необходимых ресурсов | CMA_C1735. Использование бизнес-дела для записи необходимых ресурсов | Вручную, отключено | 1.1.0 |
| Обеспечение планирования капитала и инвестиционных запросов включают необходимые ресурсы | CMA_C1734. Обеспечение планирования капитала и инвестиционных запросов включают необходимые ресурсы | Вручную, отключено | 1.1.0 |
| Обеспечение общедоступной доступности сведений о программе конфиденциальности | CMA_C1867. Обеспечение общедоступной информации о программе конфиденциальности | Вручную, отключено | 1.1.0 |
| Создание дискретного элемента строки в документации по бюджету | CMA_C1563. Создание дискретного элемента строки в документации по бюджету | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление выделением ресурсов | CMA_0293. Управление выделением ресурсов | Вручную, отключено | 1.1.0 |
| Безопасное обязательство от руководства | CMA_0489 — обеспечение приверженности руководства | Вручную, отключено | 1.1.0 |
Руководство и приверженность
Идентификатор: ISO 27001:2013 C.5.1.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
Руководство и приверженность
Идентификатор: ISO 27001:2013 C.5.1.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
| Определение метрик производительности | CMA_0124. Определение метрик производительности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
Руководство и приверженность
Идентификатор: ISO 27001:2013 C.5.1.f Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Выравнивание бизнес-целей и целей ИТ | CMA_0008 . Выравнивание бизнес-целей и целей ИТ | Вручную, отключено | 1.1.0 |
| Выделение ресурсов при определении требований к информационной системе | CMA_C1561. Выделение ресурсов при определении требований к информационной системе | Вручную, отключено | 1.1.0 |
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
| Использование бизнес-дела для записи необходимых ресурсов | CMA_C1735. Использование бизнес-дела для записи необходимых ресурсов | Вручную, отключено | 1.1.0 |
| Обеспечение планирования капитала и инвестиционных запросов включают необходимые ресурсы | CMA_C1734. Обеспечение планирования капитала и инвестиционных запросов включают необходимые ресурсы | Вручную, отключено | 1.1.0 |
| Создание дискретного элемента строки в документации по бюджету | CMA_C1563. Создание дискретного элемента строки в документации по бюджету | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление выделением ресурсов | CMA_0293. Управление выделением ресурсов | Вручную, отключено | 1.1.0 |
| Безопасное обязательство от руководства | CMA_0489 — обеспечение приверженности руководства | Вручную, отключено | 1.1.0 |
Руководство и приверженность
Идентификатор: ISO 27001:2013 C.5.1.g Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
| Определение метрик производительности | CMA_0124. Определение метрик производительности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
Руководство и приверженность
Идентификатор: ISO 27001:2013 C.5.1.h Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
Политика
Идентификатор: ISO 27001:2013 C.5.2.a Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Политика
Идентификатор: ISO 27001:2013 C.5.2.b Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Политика
Id: ISO 27001:2013 C.5.2.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур управления конфигурацией | CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур идентификации и проверки подлинности | CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик целостности информации и процедур | CMA_C1667. Проверка и обновление политик целостности информации и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты мультимедиа | CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур обслуживания системы | CMA_C1395. Проверка и обновление политик и процедур обслуживания системы | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур оценки безопасности и авторизации | CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Политика
Идентификатор: ISO 27001:2013 C.5.2.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур управления доступом | CMA_0457. Проверка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур управления конфигурацией | CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур идентификации и проверки подлинности | CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик целостности информации и процедур | CMA_C1667. Проверка и обновление политик целостности информации и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты мультимедиа | CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик безопасности персонала и процедур | CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала | Вручную, отключено | 1.1.0 |
| Обзор и обновление физических и экологических политик и процедур | CMA_C1446 — обзор и обновление физических и экологических политик и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур защиты системы и коммуникаций | CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур приобретения систем и служб | CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик и процедур обслуживания системы | CMA_C1395. Проверка и обновление политик и процедур обслуживания системы | Вручную, отключено | 1.1.0 |
| Проверка политик и процедур оценки безопасности и авторизации | CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Политика
Идентификатор: ISO 27001:2013 C.5.2.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Политика
Id: ISO 27001:2013 C.5.2.f Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка политик и процедур управления доступом | CMA_0144. Разработка политик и процедур управления доступом | Вручную, отключено | 1.1.0 |
| Документирование действий по обеспечению безопасности и конфиденциальности | CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности | Вручную, отключено | 1.1.0 |
| Управление политиками и процедурами | CMA_0292 . Управление политиками и процедурами | Вручную, отключено | 1.1.0 |
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Политика
Идентификатор: ISO 27001:2013 C.5.2.g Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Обновление плана конфиденциальности, политик и процедур | CMA_C1807 . Обновление плана конфиденциальности, политик и процедур | Вручную, отключено | 1.1.0 |
Роли организации, обязанности и полномочия
Идентификатор: ISO 27001:2013 C.5.3.b Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение метрик производительности | CMA_0124. Определение метрик производительности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
Планирование
Общие
Идентификатор: ISO 27001:2013 C.6.1.1.a Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
Общие
Идентификатор: ISO 27001:2013 C.6.1.1.b Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
Общие
Id: ISO 27001:2013 C.6.1.1.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
Общие
Идентификатор: ISO 27001:2013 C.6.1.1.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
Общие
Идентификатор: ISO 27001:2013 C.6.1.1.e.1 Ответственность: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
Общие
Id: ISO 27001:2013 C.6.1.1.e.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.2.a.1 Владение: совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.2.a.2: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.2.b Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.2.c.1: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.2.c.2: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.2.d.1 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.2.d.2: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ОТВЕТСТВЕННОСТЬ ISO 27001:2013 C.6.1.2.d.3: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.2.e.1 Ответственность: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.2.e.2 Ответственность: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация стратегии управления рисками | CMA_C1744. Реализация стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Обработка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.3.a Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
Обработка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.3.b Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
Обработка рисков информационной безопасности
Идентификатор: ОТВЕТСТВЕННОСТЬ ISO 27001:2013 C.6.1.3.c : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
Обработка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.3.d Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка служб SSP, удовлетворяющих критериям | CMA_C1492 . Разработка SSP, соответствующего критериям | Вручную, отключено | 1.1.0 |
Обработка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.3.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
Обработка рисков информационной безопасности
Идентификатор: ISO 27001:2013 C.6.1.3.f Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
Цели информационной безопасности и планирование их достижения
Идентификатор: ISO 27001:2013 C.6.2.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
Поддержка
Ресурсы
Id: ISO 27001:2013 C.7.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Выравнивание бизнес-целей и целей ИТ | CMA_0008 . Выравнивание бизнес-целей и целей ИТ | Вручную, отключено | 1.1.0 |
| Выделение ресурсов при определении требований к информационной системе | CMA_C1561. Выделение ресурсов при определении требований к информационной системе | Вручную, отключено | 1.1.0 |
| Использование бизнес-дела для записи необходимых ресурсов | CMA_C1735. Использование бизнес-дела для записи необходимых ресурсов | Вручную, отключено | 1.1.0 |
| Обеспечение планирования капитала и инвестиционных запросов включают необходимые ресурсы | CMA_C1734. Обеспечение планирования капитала и инвестиционных запросов включают необходимые ресурсы | Вручную, отключено | 1.1.0 |
| Создание дискретного элемента строки в документации по бюджету | CMA_C1563. Создание дискретного элемента строки в документации по бюджету | Вручную, отключено | 1.1.0 |
| Управление выделением ресурсов | CMA_0293. Управление выделением ресурсов | Вручную, отключено | 1.1.0 |
| Безопасное обязательство от руководства | CMA_0489 — обеспечение приверженности руководства | Вручную, отключено | 1.1.0 |
Компетенции
Идентификатор: ISO 27001:2013 C.7.2.a Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Принятие персоналом документов о требованиях к конфиденциальности | CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности | Вручную, отключено | 1.1.0 |
| Мониторинг завершения обучения безопасности и конфиденциальности | CMA_0379 . Мониторинг завершения обучения безопасности и конфиденциальности | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Компетенции
Идентификатор: ISO 27001:2013 C.7.2.b Владение: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Мониторинг завершения обучения безопасности и конфиденциальности | CMA_0379 . Мониторинг завершения обучения безопасности и конфиденциальности | Вручную, отключено | 1.1.0 |
Компетенции
Id: ISO 27001:2013 C.7.2.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Мониторинг завершения обучения безопасности и конфиденциальности | CMA_0379 . Мониторинг завершения обучения безопасности и конфиденциальности | Вручную, отключено | 1.1.0 |
Компетенции
Идентификатор: ISO 27001:2013 C.7.2.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Сохранение записей обучения | CMA_0456 — сохранение записей обучения | Вручную, отключено | 1.1.0 |
Сведения
Идентификатор: ISO 27001:2013 C.7.3.a Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Сведения
Id: ISO 27001:2013 C.7.3.b Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Сведения
Id: ISO 27001:2013 C.7.3.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Коммуникации
Идентификатор: ISO 27001:2013 C.7.4.a Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение авторизованного персонала для публикации общедоступной информации | CMA_C1083 . Назначение авторизованного персонала для публикации общедоступной информации | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Коммуникации
Id: ISO 27001:2013 C.7.4.b Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение авторизованного персонала для публикации общедоступной информации | CMA_C1083 . Назначение авторизованного персонала для публикации общедоступной информации | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Коммуникации
Id: ISO 27001:2013 C.7.4.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение авторизованного персонала для публикации общедоступной информации | CMA_C1083 . Назначение авторизованного персонала для публикации общедоступной информации | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Коммуникации
Идентификатор: ISO 27001:2013 C.7.4.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение авторизованного персонала для публикации общедоступной информации | CMA_C1083 . Назначение авторизованного персонала для публикации общедоступной информации | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Коммуникации
Идентификатор: ISO 27001:2013 C.7.4.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение авторизованного персонала для публикации общедоступной информации | CMA_C1083 . Назначение авторизованного персонала для публикации общедоступной информации | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Создание и обновление
Id: ISO 27001:2013 C.7.5.2.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка служб SSP, удовлетворяющих критериям | CMA_C1492 . Разработка SSP, соответствующего критериям | Вручную, отключено | 1.1.0 |
Управление документированных сведений
Идентификатор: ISO 27001:2013 C.7.5.3.a Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
Управление документированных сведений
Идентификатор: ISO 27001:2013 C.7.5.3.b Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Управление документированных сведений
Идентификатор: ОТВЕТСТВЕННОСТЬ ISO 27001:2013 C.7.5.3.c: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
Управление документированных сведений
Идентификатор: ISO 27001:2013 C.7.5.3.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Управление документированных сведений
Идентификатор: ISO 27001:2013 C.7.5.3.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Управление документированных сведений
Идентификатор: ISO 27001:2013 C.7.5.3.f Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик планирования и процедур | CMA_C1491. Проверка и обновление политик планирования и процедур | Вручную, отключено | 1.1.0 |
Операция
Оперативное планирование и управление
Id: ISO 27001:2013 C.8.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Автоматизация запроса на утверждение предлагаемых изменений | CMA_C1192. Автоматизация запроса на утверждение предлагаемых изменений | Вручную, отключено | 1.1.0 |
| Автоматизация реализации утвержденных уведомлений об изменениях | CMA_C1196. Автоматизация реализации утвержденных уведомлений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для документирования реализованных изменений | CMA_C1195. Автоматизация процесса для документирования реализованных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для выделения неосмотренных предложений об изменениях | CMA_C1193 . Автоматизация процесса для выделения неразознаованных предложений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса запрета реализации неутвержденных изменений | CMA_C1194. Автоматизация процесса запрета реализации неутвержденных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация предлагаемых документированных изменений | CMA_C1191. Автоматизация предлагаемых документированных изменений | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | CMA_C1597. Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков реализации только утвержденных изменений | CMA_C1596. Требовать от разработчиков реализации только утвержденных изменений | Вручную, отключено | 1.1.0 |
| Требовать от разработчиков управлять целостностью изменений | CMA_C1595. Требовать от разработчиков управления целостностью изменений | Вручную, отключено | 1.1.0 |
| Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Оценка рисков информационной безопасности
Id: ISO 27001:2013 C.8.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проведение оценки рисков и документирование результатов | CMA_C1542. Проведение оценки рисков и документирование результатов | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка и обновление политик оценки рисков и процедур | CMA_C1537 . Проверка и обновление политик и процедур оценки рисков | Вручную, отключено | 1.1.0 |
Обработка рисков информационной безопасности
Id: ISO 27001:2013 C.8.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
| Защита интерфейса во внешних системах | CMA_0491 . Защита интерфейса для внешних систем | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Оценка производительности
Мониторинг, измерение, анализ и оценка
Идентификатор: ISO 27001:2013 C.9.1.a Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка списка разрешений обнаружения | CMA_0068. Настройка списка разрешений по обнаружению | Вручную, отключено | 1.1.0 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Мониторинг, измерение, анализ и оценка
Идентификатор: ISO 27001:2013 C.9.1.b Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка списка разрешений обнаружения | CMA_0068. Настройка списка разрешений по обнаружению | Вручную, отключено | 1.1.0 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Мониторинг, измерение, анализ и оценка
Id: ISO 27001:2013 C.9.1.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка списка разрешений обнаружения | CMA_0068. Настройка списка разрешений по обнаружению | Вручную, отключено | 1.1.0 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Мониторинг, измерение, анализ и оценка
Идентификатор: ISO 27001:2013 C.9.1.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка списка разрешений обнаружения | CMA_0068. Настройка списка разрешений по обнаружению | Вручную, отключено | 1.1.0 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Мониторинг, измерение, анализ и оценка
Идентификатор: ISO 27001:2013 C.9.1.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка списка разрешений обнаружения | CMA_0068. Настройка списка разрешений по обнаружению | Вручную, отключено | 1.1.0 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Мониторинг, измерение, анализ и оценка
Идентификатор: ISO 27001:2013 C.9.1.f Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка списка разрешений обнаружения | CMA_0068. Настройка списка разрешений по обнаружению | Вручную, отключено | 1.1.0 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Внутренний аудит
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 C.9.2.a.1: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
Внутренний аудит
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 C.9.2.a.2: Совместное владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
Внутренний аудит
Id: ISO 27001:2013 C.9.2.b Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
Внутренний аудит
Id: ISO 27001:2013 C.9.2.c Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
Внутренний аудит
Идентификатор: ISO 27001:2013 C.9.2.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
Внутренний аудит
Идентификатор: ISO 27001:2013 C.9.2.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка уровня аудита, анализа и отчетности | CMA_C1123. Настройка уровня аудита, анализа и отчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур аудита и подотчетности | CMA_0154 . Разработка политик и процедур аудита и подотчетности | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Использование независимых оценщиков для проведения оценки контроля безопасности | CMA_C1148. Использование независимых оценщиков для проведения оценки контроля безопасности | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
Внутренний аудит
Идентификатор: ISO 27001:2013 C.9.2.f Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Результаты оценки безопасности | CMA_C1147. Результаты оценки безопасности | Вручную, отключено | 1.1.0 |
Внутренний аудит
Идентификатор: ISO 27001:2013 C.9.2.g Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
| Сохранение политик и процедур безопасности | CMA_0454 — Сохранение политик и процедур безопасности | Вручную, отключено | 1.1.0 |
| Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
Обзор управления
Идентификатор: ISO 27001:2013 C.9.3.a Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Реализация планов действий и вех для процесса программы безопасности | CMA_C1737 . Реализация планов действий и вех для процесса программы безопасности | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Обзор управления
Id: ISO 27001:2013 C.9.3.b Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Обзор управления
Id: ISO 27001:2013 C.9.3.c.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Определение метрик производительности | CMA_0124. Определение метрик производительности | Вручную, отключено | 1.1.0 |
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Обзор управления
Id: ISO 27001:2013 C.9.3.c.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Обзор управления
Идентификатор: ВЛАДЕНИЕ ISO 27001:2013 C.9.3.c.3: Общее владение
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Определение метрик производительности | CMA_0124. Определение метрик производительности | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Обзор управления
Id: ISO 27001:2013 C.9.3.c.4 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Определение метрик производительности | CMA_0124. Определение метрик производительности | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Обзор управления
Идентификатор: ISO 27001:2013 C.9.3.d Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Обзор управления
Идентификатор: ISO 27001:2013 C.9.3.e Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Обзор управления
Идентификатор: ISO 27001:2013 C.9.3.f Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Оценка рисков | CMA_C1543 . Оценка рисков | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправлять несоответствующие ресурсы.