Сведения о встроенной инициативе системы и управления организацией (SOC) 2 по соответствию нормативным требованиям
В следующей статье описано, как Политика Azure встроенное определение инициативы соответствия нормативным требованиям сопоставляется с доменами соответствия и элементами управления в системных и организационных элементах управления (SOC) 2. Дополнительные сведения об этом стандарте соответствия см. в разделе "Системные и организационные элементы управления" (SOC) 2. Сведения о термине Ответственность см. в статьях Определение службы "Политика Azure" и Разделение ответственности в облаке.
Ниже приведены сопоставления элементов управления System and Organization Controls (SOC) 2 . Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы SOC 2 типа 2 нормативных требований.
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
Дополнительные критерии для доступности
Управление емкостью
Id: SOC 2 Type 2 A1.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Планирование емкости | CMA_C1252 . Планирование емкости | Вручную, отключено | 1.1.0 |
Защита окружающей среды, программное обеспечение, процессы резервного копирования данных и инфраструктура восстановления
Id: SOC 2 Type 2 A1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Использование автоматического аварийного освещения | CMA_0209 . Использование автоматического аварийного освещения | Вручную, отключено | 1.1.0 |
| Создание альтернативного сайта обработки | CMA_0262. Создание альтернативного сайта обработки | Вручную, отключено | 1.1.0 |
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| Реализация методологии тестирования на проникновение | CMA_0306 . Реализация методологии тестирования на проникновение | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
| Установка системы сигнализации | CMA_0338. Установка системы сигнализации | Вручную, отключено | 1.1.0 |
| Восстановление и восстановление ресурсов после каких-либо нарушений | CMA_C1295 — восстановление и восстановление ресурсов после каких-либо нарушений | Вручную, отключено | 1.1.1 |
| Запуск атак имитации | CMA_0486. Выполнение атак имитации | Вручную, отключено | 1.1.0 |
| Отдельно хранить сведения о резервном копировании | CMA_C1293 — отдельно хранить сведения о резервном копировании | Вручную, отключено | 1.1.0 |
| Передача сведений о резервном копировании на альтернативный сайт хранилища | CMA_C1294. Передача сведений о резервном копировании на альтернативный сайт хранилища | Вручную, отключено | 1.1.0 |
Тестирование плана восстановления
Id: SOC 2 Type 2 A1.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Инициирование действий по тестированию планов на непредвиденные случаи | CMA_C1263. Инициирование действий по тестированию планов на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Просмотр результатов тестирования плана на непредвиденные случаи | CMA_C1262 . Просмотр результатов тестирования плана на непредвиденные случаи | Вручную, отключено | 1.1.0 |
| Тестирование плана непрерывности бизнес-процессов и аварийного восстановления | CMA_0509. Тестирование плана непрерывности бизнес-процессов и аварийного восстановления | Вручную, отключено | 1.1.0 |
Дополнительные критерии конфиденциальности
Защита конфиденциальной информации
Id: SOC 2 Type 2 C1.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Удаление конфиденциальной информации
Id: SOC 2 Type 2 C1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Среда управления
Принцип COSO 1
Id: SOC 2 Type 2 CC1.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Разработка кодекса поведения организации | CMA_0159 . Разработка кодекса поведения организации | Вручную, отключено | 1.1.0 |
| Принятие персоналом документов о требованиях к конфиденциальности | CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Запрет несправедливой практики | CMA_0396 . Запретить несправедливую практику | Вручную, отключено | 1.1.0 |
| Проверка и подписание измененных правил поведения | CMA_0465. Проверка и подписание измененных правил поведения | Вручную, отключено | 1.1.0 |
| Обновление правил поведения и соглашений о доступе | CMA_0521 . Обновление правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Обновление правил поведения и соглашений о доступе каждые 3 года | CMA_0522 — обновление правил поведения и соглашений о доступе каждые 3 года | Вручную, отключено | 1.1.0 |
Принцип COSO 2
Id: SOC 2 Type 2 CC1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Принцип COSO 3
Id: SOC 2 Type 2 CC1.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение старшего сотрудника по информационной безопасности | CMA_C1733 . Назначение старшего сотрудника по информационной безопасности | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
Принцип COSO 4
Id: SOC 2 Type 2 CC1.4 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Предоставление периодического обучения безопасности на основе ролей | CMA_C1095. Предоставление периодического обучения безопасности на основе ролей | Вручную, отключено | 1.1.0 |
| Предоставление периодической подготовки по обеспечению осведомленности о безопасности | CMA_C1091. Предоставление периодической подготовки по повышению осведомленности о безопасности | Вручную, отключено | 1.1.0 |
| Предоставление практических упражнений на основе ролей | CMA_C1096. Предоставление практических упражнений на основе ролей | Вручную, отключено | 1.1.0 |
| Предоставьте обучение безопасности перед предоставлением доступа | CMA_0418. Предоставьте обучение безопасности перед предоставлением доступа | Вручную, отключено | 1.1.0 |
| Предоставление обучения безопасности для новых пользователей | CMA_0419. Предоставление обучения безопасности для новых пользователей | Вручную, отключено | 1.1.0 |
Принцип COSO 5
Id: SOC 2 Type 2 CC1.5 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Реализация формального процесса санкций | CMA_0317 . Реализация формального процесса санкций | Вручную, отключено | 1.1.0 |
| Уведомление персонала о санкциях | CMA_0380 — уведомление персонала о санкциях | Вручную, отключено | 1.1.0 |
Коммуникация и информация
Принцип COSO 13
Id: SOC 2 Type 2 CC2.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Принцип COSO 14
Id: SOC 2 Type 2 CC2.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка допустимых политик и процедур использования | CMA_0143. Разработка допустимых политик и процедур использования | Вручную, отключено | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
| Применение правил поведения и соглашений о доступе | CMA_0248 . Применение правил поведения и соглашений о доступе | Вручную, отключено | 1.1.0 |
| Предоставление периодического обучения безопасности на основе ролей | CMA_C1095. Предоставление периодического обучения безопасности на основе ролей | Вручную, отключено | 1.1.0 |
| Предоставление периодической подготовки по обеспечению осведомленности о безопасности | CMA_C1091. Предоставление периодической подготовки по повышению осведомленности о безопасности | Вручную, отключено | 1.1.0 |
| Предоставьте обучение безопасности перед предоставлением доступа | CMA_0418. Предоставьте обучение безопасности перед предоставлением доступа | Вручную, отключено | 1.1.0 |
| Предоставление обучения безопасности для новых пользователей | CMA_0419. Предоставление обучения безопасности для новых пользователей | Вручную, отключено | 1.1.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Принцип COSO 15
Id: SOC 2 Type 2 CC2.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение обязанностей процессоров | CMA_0127. Определение обязанностей процессоров | Вручную, отключено | 1.1.0 |
| Результаты оценки безопасности | CMA_C1147. Результаты оценки безопасности | Вручную, отключено | 1.1.0 |
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Создание сторонних требований к безопасности персонала | CMA_C1529. Создание требований к безопасности сторонних сотрудников | Вручную, отключено | 1.1.0 |
| Реализация методов доставки уведомлений о конфиденциальности | CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Создание отчета об оценке безопасности | CMA_C1146 . Создание отчета об оценке безопасности | Вручную, отключено | 1.1.0 |
| Предоставление уведомления о конфиденциальности | CMA_0414 . Предоставление уведомления о конфиденциальности | Вручную, отключено | 1.1.0 |
| Требовать от сторонних поставщиков соблюдать политики и процедуры безопасности персонала | CMA_C1530. Требовать, чтобы сторонние поставщики соответствовали политикам и процедурам безопасности персонала | Вручную, отключено | 1.1.0 |
| Ограничение обмена данными | CMA_0449. Ограничение обмена данными | Вручную, отключено | 1.1.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
конфиденциальности
Принцип COSO 6
Id: SOC 2 Type 2 CC3.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Классификация сведений | CMA_0052 — классификация сведений | Вручную, отключено | 1.1.0 |
| Определение потребностей защиты информации | CMA_C1750. Определение потребностей защиты информации | Вручную, отключено | 1.1.0 |
| Разработка схем бизнес-классификации | CMA_0155 . Разработка схем классификации бизнеса | Вручную, отключено | 1.1.0 |
| Разработка служб SSP, удовлетворяющих критериям | CMA_C1492 . Разработка SSP, соответствующего критериям | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Принцип COSO 7
Id: SOC 2 Type 2 CC3.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
| Классификация сведений | CMA_0052 — классификация сведений | Вручную, отключено | 1.1.0 |
| Определение потребностей защиты информации | CMA_C1750. Определение потребностей защиты информации | Вручную, отключено | 1.1.0 |
| Разработка схем бизнес-классификации | CMA_0155 . Разработка схем классификации бизнеса | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
| В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
| На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Принцип COSO 8
Id: SOC 2 Type 2 CC3.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Принцип COSO 9
Id: SOC 2 Type 2 CC3.4 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка риска в отношениях сторонних производителей | CMA_0014. Оценка риска в отношениях сторонних производителей | Вручную, отключено | 1.1.0 |
| Определение требований к поставке товаров и услуг | CMA_0126. Определение требований к поставке товаров и услуг | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Установка политик для управления рисками цепочки поставок | CMA_0275. Создание политик для управления рисками цепочки поставок | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Мониторинг действий
Принцип COSO 16
Id: SOC 2 Type 2 CC4.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
| Выбор дополнительного тестирования для оценки системы управления безопасностью | CMA_C1149. Выбор дополнительного тестирования для оценки системы безопасности | Вручную, отключено | 1.1.0 |
Принцип COSO 17
Id: SOC 2 Type 2 CC4.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Результаты оценки безопасности | CMA_C1147. Результаты оценки безопасности | Вручную, отключено | 1.1.0 |
| Создание отчета об оценке безопасности | CMA_C1146 . Создание отчета об оценке безопасности | Вручную, отключено | 1.1.0 |
Действия элемента управления
Принцип COSO 10
Id: SOC 2 Type 2 CC5.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Принцип COSO 11
Id: SOC 2 Type 2 CC5.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Принцип COSO 12
Id: SOC 2 Type 2 CC5.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка списка разрешений обнаружения | CMA_0068. Настройка списка разрешений по обнаружению | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Логические и физические контроль доступа
Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа
Id: SOC 2 Type 2 CC6.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
| Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
| Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом | Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Сертификаты должны иметь указанный максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| Учетные записи Cognitive Services должны поддерживать шифрование данных с использованием ключа, управляемого клиентом | Для соблюдения стандартов соответствия нормативным требованиям обычно требуется использовать ключи, управляемые клиентом. Они позволяют шифровать данные, хранящиеся в Cognitive Services, с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения о ключах, управляемых клиентом, см. здесь: https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Создание инвентаризации данных | CMA_0096. Создание инвентаризации данных | Вручную, отключено | 1.1.0 |
| Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
| Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
| Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
| Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
| Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
| Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
| Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
| Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
| Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
| Для ключей Key Vault должна быть задана дата окончания срока действия | Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
| Для секретов Key Vault должна быть задана дата окончания срока действия | Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
| В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Audit, Deny, Disabled | 2.1.0 |
| В хранилищах ключей должно быть включено обратимое удаление | Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. | Audit, Deny, Disabled | 3.0.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Обслуживание записей обработки персональных данных | CMA_0353 . Сохранение записей об обработке персональных данных | Вручную, отключено | 1.1.0 |
| Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists, Disabled | 1.0.4 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Уведомление пользователей о входе в систему или доступе | CMA_0382. Уведомление пользователей о входе в систему или доступе | Вручную, отключено | 1.1.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Серверы PostgreSQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists, Disabled | 1.0.4 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Audit, Deny, Disabled | 1.1.0 |
| Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.0 |
| Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.1 |
| Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Disabled | 1.0.3 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
Доступ к подготовке и удалению
Id: SOC 2 Type 2 CC6.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение диспетчеров учетных записей | CMA_0015. Назначение диспетчеров учетных записей | Вручную, отключено | 1.1.0 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Права доступа к документам | CMA_0186 . Права доступа к документам | Вручную, отключено | 1.1.0 |
| Создание условий для членства в роли | CMA_0269. Создание условий для членства в роли | Вручную, отключено | 1.1.0 |
| Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Проверка учетных записей пользователей | CMA_0480 — Проверка учетных записей пользователей | Вручную, отключено | 1.1.0 |
Доступ на основе Rol и минимальные привилегии
Id: SOC 2 Type 2 CC6.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Контроль доступа на основе ролей Azure (RBAC) следует использовать в службах Kubernetes | Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте контроль доступа на основе ролей Azure (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройке соответствующих политик авторизации. | Audit, Disabled | 1.0.3 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
| Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Мониторинг назначения привилегированной роли | CMA_0378 — Мониторинг назначения привилегированной роли | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Проверка учетных записей пользователей | CMA_0480 — Проверка учетных записей пользователей | Вручную, отключено | 1.1.0 |
| Проверка привилегий пользователя | CMA_C1039 — Проверка привилегий пользователя | Вручную, отключено | 1.1.0 |
| Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
| Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
| Использование Privileged Identity Management | CMA_0533 — Использование Privileged Identity Management | Вручную, отключено | 1.1.0 |
Ограниченный физический доступ
Id: SOC 2 Type 2 CC6.4 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
Логические и физические средства защиты от физических ресурсов
Id: SOC 2 Type 2 CC6.5 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Меры безопасности для угроз вне системных границ
Идентификатор: владение SOC 2 типа 2 CC6.6: shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
| Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
| Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
| Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
| Реализация защиты границ системы | CMA_0328 . Реализация защиты границ системы | Вручную, отключено | 1.1.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Уведомление пользователей о входе в систему или доступе | CMA_0382. Уведомление пользователей о входе в систему или доступе | Вручную, отключено | 1.1.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
Ограничение перемещения информации авторизованным пользователям
Id: SOC 2 Type 2 CC6.7 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
| Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Определение требований к мобильным устройствам | CMA_0122. Определение требований к мобильным устройствам | Вручную, отключено | 1.1.0 |
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения
Id: SOC 2 Type 2 CC6.8 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Audit, Disabled | 3.1.0-устаревший |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Linux. | AuditIfNotExists, Disabled | 5.1.0-preview |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | AuditIfNotExists, Disabled | 4.0.0 (предварительная версия) |
| [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Windows. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | Включение безопасной загрузки на поддерживаемых виртуальных машинах Windows помогает предотвратить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | Audit, Disabled | 4.0.0 (предварительная версия) |
| [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. | Audit, Disabled | 2.0.0-preview |
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Аудит виртуальных машин, которые не используют управляемые диски | Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. | audit | 1.0.0 |
| Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure | Расширение Политики Azure для Azure Arc обеспечивает согласованное и централизованное применение масштабных мер безопасности для кластеров Kubernetes с поддержкой Arc. Узнайте больше по адресу https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. | Audit, Disabled | 1.0.2 |
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Документация по оценка защиты конечных точек представлена на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо установить Endpoint Protection на ваших компьютерах | Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Кластеры Kubernetes должны отключить учетные данные API автоподключения | Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Кластеры Kubernetes не должны использовать пространство имен по умолчанию | Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Должны быть установлены только утвержденные расширения виртуальных машин | Эта политика управляет неутвержденными расширениями виртуальных машин. | Audit, Deny, Disabled | 1.0.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
| Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
| Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Audit, Deny, Disabled | 1.0.0 |
| Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
| Проверка программного обеспечения, встроенного ПО и целостности данных | CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных | Вручную, отключено | 1.1.0 |
| Просмотр и настройка системных диагностических данных | CMA_0544. Просмотр и настройка системных диагностических данных | Вручную, отключено | 1.1.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Системные операции
Обнаружение и мониторинг новых уязвимостей
Id: SOC 2 Type 2 CC7.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Настройка действий для несоответствующих устройств | CMA_0062 — Настройка действий для несоответствующих устройств | Вручную, отключено | 1.1.0 |
| Разработка и настройка базовых конфигураций | CMA_0153 — Разработка и настройка базовых конфигураций | Вручную, отключено | 1.1.0 |
| Включение обнаружения сетевых устройств | CMA_0220. Включение обнаружения сетевых устройств | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Создание совета по контролю за конфигурацией | CMA_0254 — Создание совета по контролю за конфигурацией | Вручную, отключено | 1.1.0 |
| Определение и документирование плана управления конфигурацией | CMA_0264 — Определение и документирование плана управления конфигурацией | Вручную, отключено | 1.1.0 |
| Реализация средства автоматизированного управления конфигурацией | CMA_0311 — Реализация средства автоматизированного управления конфигурацией | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
| Проверка программного обеспечения, встроенного ПО и целостности данных | CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных | Вручную, отключено | 1.1.0 |
| Просмотр и настройка системных диагностических данных | CMA_0544. Просмотр и настройка системных диагностических данных | Вручную, отключено | 1.1.0 |
| В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
| На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Мониторинг системных компонентов для аномального поведения
Id: SOC 2 Type 2 CC7.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
| Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
| Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для реляционных баз данных с открытым кодом должен быть включен | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Audit, Disabled | 2.0.1 |
| Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
| Управление действиями по обработке данных аудита и их мониторинг | CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг | Вручную, отключено | 1.1.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Обнаружение инцидентов безопасности
Id: SOC 2 Type 2 CC7.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проверка и обновление политик и процедур реагирования на инциденты | CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты | Вручную, отключено | 1.1.0 |
Реагирование на инциденты безопасности
Id: SOC 2 Type 2 CC7.4 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка событий информационной безопасности | CMA_0013. Оценка событий информационной безопасности | Вручную, отключено | 1.1.0 |
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Разработка гарантий безопасности | CMA_0161. Разработка гарантий безопасности | Вручную, отключено | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
| Включение защиты сети | CMA_0238. Включение защиты сети | Вручную, отключено | 1.1.0 |
| Искоренение загрязненной информации | CMA_0253 . Искоренение загрязненной информации | Вручную, отключено | 1.1.0 |
| Выполнение действий в ответ на утечки информации | CMA_0281. Выполнение действий в ответ на утечки информации | Вручную, отключено | 1.1.0 |
| Определение классов инцидентов и действий, выполненных | CMA_C1365. Определение классов инцидентов и действий, выполненных | Вручную, отключено | 1.1.0 |
| Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
| Включение динамической перенастройки развернутых пользователем ресурсов | CMA_C1364. Включение динамической перенастройки развернутых пользователем ресурсов | Вручную, отключено | 1.1.0 |
| Обслуживание плана реагирования на инциденты | CMA_0352 — обслуживание плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
| Просмотр и исследование ограниченных пользователей | CMA_0545 . Просмотр и исследование ограниченных пользователей | Вручную, отключено | 1.1.0 |
Восстановление после выявленных инцидентов безопасности
Id: SOC 2 Type 2 CC7.5 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка событий информационной безопасности | CMA_0013. Оценка событий информационной безопасности | Вручную, отключено | 1.1.0 |
| Проведение тестирования реагирования на инциденты | CMA_0060. Проведение тестирования реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Координация с внешними организациями для достижения кросс-организационной перспективы | CMA_C1368 . Координация с внешними организациями для достижения межорганиционной перспективы | Вручную, отключено | 1.1.0 |
| Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Разработка гарантий безопасности | CMA_0161. Разработка гарантий безопасности | Вручную, отключено | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
| Включение защиты сети | CMA_0238. Включение защиты сети | Вручную, отключено | 1.1.0 |
| Искоренение загрязненной информации | CMA_0253 . Искоренение загрязненной информации | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Выполнение действий в ответ на утечки информации | CMA_0281. Выполнение действий в ответ на утечки информации | Вручную, отключено | 1.1.0 |
| Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
| Обслуживание плана реагирования на инциденты | CMA_0352 — обслуживание плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Запуск атак имитации | CMA_0486. Выполнение атак имитации | Вручную, отключено | 1.1.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
| Просмотр и исследование ограниченных пользователей | CMA_0545 . Просмотр и исследование ограниченных пользователей | Вручную, отключено | 1.1.0 |
Управление изменениями
Изменения инфраструктуры, данных и программного обеспечения
Id: SOC 2 Type 2 CC8.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Audit, Disabled | 3.1.0-устаревший |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Linux. | AuditIfNotExists, Disabled | 5.1.0-preview |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | AuditIfNotExists, Disabled | 4.0.0 (предварительная версия) |
| [Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Windows. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | Включение безопасной загрузки на поддерживаемых виртуальных машинах Windows помогает предотвратить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | Audit, Disabled | 4.0.0 (предварительная версия) |
| [Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. | Audit, Disabled | 2.0.0-preview |
| Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Аудит виртуальных машин, которые не используют управляемые диски | Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. | audit | 1.0.0 |
| Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure | Расширение Политики Azure для Azure Arc обеспечивает согласованное и централизованное применение масштабных мер безопасности для кластеров Kubernetes с поддержкой Arc. Узнайте больше по адресу https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. | Audit, Disabled | 1.0.2 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Настройка действий для несоответствующих устройств | CMA_0062 — Настройка действий для несоответствующих устройств | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Разработка и настройка базовых конфигураций | CMA_0153 — Разработка и настройка базовых конфигураций | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Создание совета по контролю за конфигурацией | CMA_0254 — Создание совета по контролю за конфигурацией | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Определение и документирование плана управления конфигурацией | CMA_0264 — Определение и документирование плана управления конфигурацией | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Реализация средства автоматизированного управления конфигурацией | CMA_0311 — Реализация средства автоматизированного управления конфигурацией | Вручную, отключено | 1.1.0 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Кластеры Kubernetes должны отключить учетные данные API автоподключения | Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Кластеры Kubernetes не должны использовать пространство имен по умолчанию | Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Должны быть установлены только утвержденные расширения виртуальных машин | Эта политика управляет неутвержденными расширениями виртуальных машин. | Audit, Deny, Disabled | 1.0.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
| Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Audit, Deny, Disabled | 1.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Устранение рисков
Действия по устранению рисков
Id: SOC 2 Type 2 CC9.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение потребностей защиты информации | CMA_C1750. Определение потребностей защиты информации | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Управление рисками поставщиков и бизнес-партнеров
Id: SOC 2 Type 2 CC9.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка риска в отношениях сторонних производителей | CMA_0014. Оценка риска в отношениях сторонних производителей | Вручную, отключено | 1.1.0 |
| Определение требований к поставке товаров и услуг | CMA_0126. Определение требований к поставке товаров и услуг | Вручную, отключено | 1.1.0 |
| Определение обязанностей процессоров | CMA_0127. Определение обязанностей процессоров | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Установка политик для управления рисками цепочки поставок | CMA_0275. Создание политик для управления рисками цепочки поставок | Вручную, отключено | 1.1.0 |
| Создание сторонних требований к безопасности персонала | CMA_C1529. Создание требований к безопасности сторонних сотрудников | Вручную, отключено | 1.1.0 |
| Мониторинг соответствия сторонних поставщиков | CMA_C1533 . Мониторинг соответствия сторонним поставщикам | Вручную, отключено | 1.1.0 |
| Запись раскрытия персональных данных третьим лицам | CMA_0422 — запись раскрытия персональных данных третьим лицам | Вручную, отключено | 1.1.0 |
| Требовать от сторонних поставщиков соблюдать политики и процедуры безопасности персонала | CMA_C1530. Требовать, чтобы сторонние поставщики соответствовали политикам и процедурам безопасности персонала | Вручную, отключено | 1.1.0 |
| Обучение персонала по совместному использованию персональных данных и его последствиям | CMA_C1871 — обучение персонала по обмену персональными данными и его последствиями | Вручную, отключено | 1.1.0 |
Дополнительные критерии конфиденциальности
Уведомление о конфиденциальности
Идентификатор: владение SOC 2 типа 2 P1.1: shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Документирование и распространение политики конфиденциальности | CMA_0188 . Документируйте и распространяйте политику конфиденциальности | Вручную, отключено | 1.1.0 |
| Обеспечение общедоступной доступности сведений о программе конфиденциальности | CMA_C1867. Обеспечение общедоступной информации о программе конфиденциальности | Вручную, отключено | 1.1.0 |
| Реализация методов доставки уведомлений о конфиденциальности | CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности | Вручную, отключено | 1.1.0 |
| Предоставление уведомления о конфиденциальности | CMA_0414 . Предоставление уведомления о конфиденциальности | Вручную, отключено | 1.1.0 |
| Предоставление уведомления о конфиденциальности общественности и отдельным лицам | CMA_C1861 . Предоставление уведомления о конфиденциальности общественности и отдельным лицам | Вручную, отключено | 1.1.0 |
Согласие на конфиденциальность
Id: SOC 2 Type 2 P2.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Принятие персоналом документов о требованиях к конфиденциальности | CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности | Вручную, отключено | 1.1.0 |
| Реализация методов доставки уведомлений о конфиденциальности | CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности | Вручную, отключено | 1.1.0 |
| Получение согласия перед сбором или обработкой персональных данных | CMA_0385. Получение согласия перед сбором или обработкой персональных данных | Вручную, отключено | 1.1.0 |
| Предоставление уведомления о конфиденциальности | CMA_0414 . Предоставление уведомления о конфиденциальности | Вручную, отключено | 1.1.0 |
Согласованная сбор персональных данных
Id: SOC 2 Type 2 P3.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение юридического органа для сбора персональных данных | CMA_C1800. Определение юридического органа для сбора персональных данных | Вручную, отключено | 1.1.0 |
| Процесс документа для обеспечения целостности персональных данных | CMA_C1827 — процесс документа для обеспечения целостности персональных данных | Вручную, отключено | 1.1.0 |
| Регулярно оценивать и просматривать личные данные | CMA_C1832 — регулярно оценивать и просматривать данные о персональных данных | Вручную, отключено | 1.1.0 |
| Получение согласия перед сбором или обработкой персональных данных | CMA_0385. Получение согласия перед сбором или обработкой персональных данных | Вручную, отключено | 1.1.0 |
Явное согласие на личную информацию
Id: SOC 2 Type 2 P3.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Сбор персональных данных непосредственно из отдельного пользователя | CMA_C1822 — сбор персональных данных непосредственно от отдельного пользователя | Вручную, отключено | 1.1.0 |
| Получение согласия перед сбором или обработкой персональных данных | CMA_0385. Получение согласия перед сбором или обработкой персональных данных | Вручную, отключено | 1.1.0 |
Использование персональных данных
Id: SOC 2 Type 2 P4.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Документируйте юридическую основу для обработки персональных данных | CMA_0206 . Документируйте юридическую основу для обработки персональных данных | Вручную, отключено | 1.1.0 |
| Реализация методов доставки уведомлений о конфиденциальности | CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности | Вручную, отключено | 1.1.0 |
| Получение согласия перед сбором или обработкой персональных данных | CMA_0385. Получение согласия перед сбором или обработкой персональных данных | Вручную, отключено | 1.1.0 |
| Предоставление уведомления о конфиденциальности | CMA_0414 . Предоставление уведомления о конфиденциальности | Вручную, отключено | 1.1.0 |
| Ограничение обмена данными | CMA_0449. Ограничение обмена данными | Вручную, отключено | 1.1.0 |
Хранение персональных данных
Id: SOC 2 Type 2 P4.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
| Процесс документа для обеспечения целостности персональных данных | CMA_C1827 — процесс документа для обеспечения целостности персональных данных | Вручную, отключено | 1.1.0 |
Удаление персональных данных
Id: SOC 2 Type 2 P4.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Выполнение проверки ликвидации | CMA_0391 . Выполнение проверки ликвидации | Вручную, отключено | 1.1.0 |
| Проверка удаления персональных данных в конце обработки | CMA_0540. Проверка удаления персональных данных в конце обработки | Вручную, отключено | 1.1.0 |
Доступ к персональным данным
Id: SOC 2 Type 2 P5.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация методов для запросов потребителей | CMA_0319. Реализация методов для запросов потребителей | Вручную, отключено | 1.1.0 |
| Публикация правил и правил, доступ к записям Закона о конфиденциальности | CMA_C1847 . Публикация правил и правил, обращаюющихся к записям Закона о конфиденциальности | Вручную, отключено | 1.1.0 |
Исправление персональных данных
Id: SOC 2 Type 2 P5.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реагирование на запросы на исправление | CMA_0442 . Реагирование на запросы на исправление | Вручную, отключено | 1.1.0 |
Раскрытие информации сторонних производителей персональных данных
Id: SOC 2 Type 2 P6.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение обязанностей процессоров | CMA_0127. Определение обязанностей процессоров | Вручную, отключено | 1.1.0 |
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Установка требований к конфиденциальности для подрядчиков и поставщиков услуг | CMA_C1810. Создание требований к конфиденциальности для подрядчиков и поставщиков услуг | Вручную, отключено | 1.1.0 |
| Запись раскрытия персональных данных третьим лицам | CMA_0422 — запись раскрытия персональных данных третьим лицам | Вручную, отключено | 1.1.0 |
| Обучение персонала по совместному использованию персональных данных и его последствиям | CMA_C1871 — обучение персонала по обмену персональными данными и его последствиями | Вручную, отключено | 1.1.0 |
Авторизованное раскрытие записи личных сведений
Id: SOC 2 Type 2 P6.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Точную учетную информацию | CMA_C1818 . Ведения точного учета раскрытия информации | Вручную, отключено | 1.1.0 |
Несанкционированное раскрытие записи личных сведений
Id: SOC 2 Type 2 P6.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Точную учетную информацию | CMA_C1818 . Ведения точного учета раскрытия информации | Вручную, отключено | 1.1.0 |
Сторонние соглашения
Id: SOC 2 Type 2 P6.4 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение обязанностей процессоров | CMA_0127. Определение обязанностей процессоров | Вручную, отключено | 1.1.0 |
Уведомление о неавторизованном раскрытии информации сторонних производителей
Id: SOC 2 Type 2 P6.5 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение обязательств по контракту поставщика | CMA_0140. Определение обязательств по контракту поставщика | Вручную, отключено | 1.1.0 |
| Критерии принятия контракта на приобретение документов | CMA_0187 — условия принятия контракта на приобретение документов | Вручную, отключено | 1.1.0 |
| Защита персональных данных в контрактах на приобретение | CMA_0194 — защита персональных данных в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Защита сведений о безопасности в контрактах на приобретение | CMA_0195 . Защита информации о безопасности в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документу для использования общих данных в контрактах | CMA_0197 . Требования к документу для использования общих данных в контрактах | Вручную, отключено | 1.1.0 |
| Документирование требований к обеспечению безопасности в контрактах на приобретение | CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Требования к документации по безопасности документов в контракте на приобретение | CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте функциональные требования к безопасности в контрактах на приобретение | CMA_0201 . Требования к безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте среду информационной системы в контрактах на приобретение | CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Документируйте защиту данных карта заполнителей в сторонних контрактах | CMA_0207 . Документируйте защиту данных карта заполнителей в сторонних контрактах | Вручную, отключено | 1.1.0 |
| Защита информационных данных и защита персональных данных | CMA_0332 — защита информационных данных и защита персональных данных | Вручную, отключено | 1.1.0 |
Уведомление об инциденте конфиденциальности
Идентификатор: владение SOC 2 типа 2 P6.6: shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Защита информационных данных и защита персональных данных | CMA_0332 — защита информационных данных и защита персональных данных | Вручную, отключено | 1.1.0 |
Учет раскрытия персональных данных
Id: SOC 2 Type 2 P6.7 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация методов доставки уведомлений о конфиденциальности | CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности | Вручную, отключено | 1.1.0 |
| Точную учетную информацию | CMA_C1818 . Ведения точного учета раскрытия информации | Вручную, отключено | 1.1.0 |
| Предоставление сведений о раскрытии информации по запросу | CMA_C1820. Предоставление сведений о раскрытии информации по запросу | Вручную, отключено | 1.1.0 |
| Предоставление уведомления о конфиденциальности | CMA_0414 . Предоставление уведомления о конфиденциальности | Вручную, отключено | 1.1.0 |
| Ограничение обмена данными | CMA_0449. Ограничение обмена данными | Вручную, отключено | 1.1.0 |
Качество персональных данных
Id: SOC 2 Type 2 P7.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подтверждение качества и целостности персональных данных | CMA_C1821 . Подтверждение качества и целостности piI | Вручную, отключено | 1.1.0 |
| Рекомендации по обеспечению качества и целостности данных | CMA_C1824. Рекомендации по обеспечению качества и целостности данных | Вручную, отключено | 1.1.0 |
| Проверка неточных или устаревших персональных данных | CMA_C1823. Проверка неточных или устаревших личных данных | Вручную, отключено | 1.1.0 |
Управление жалобами на конфиденциальность и управление соответствием требованиям
Id: SOC 2 Type 2 P8.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Документирование и реализация процедур жалоб на конфиденциальность | CMA_0189 . Документирование и реализация процедур жалоб на конфиденциальность | Вручную, отключено | 1.1.0 |
| Регулярно оценивать и просматривать личные данные | CMA_C1832 — регулярно оценивать и просматривать данные о персональных данных | Вручную, отключено | 1.1.0 |
| Защита информационных данных и защита персональных данных | CMA_0332 — защита информационных данных и защита персональных данных | Вручную, отключено | 1.1.0 |
| Своевременно отвечать на жалобы, опасения или вопросы | CMA_C1853 . Реагирование на жалобы, опасения или вопросы своевременно | Вручную, отключено | 1.1.0 |
| Обучение персонала по совместному использованию персональных данных и его последствиям | CMA_C1871 — обучение персонала по обмену персональными данными и его последствиями | Вручную, отключено | 1.1.0 |
Дополнительные критерии для целостности обработки
Определения обработки данных
Id: SOC 2 Type 2 PI1.1 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация методов доставки уведомлений о конфиденциальности | CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности | Вручную, отключено | 1.1.0 |
| Предоставление уведомления о конфиденциальности | CMA_0414 . Предоставление уведомления о конфиденциальности | Вручную, отключено | 1.1.0 |
| Ограничение обмена данными | CMA_0449. Ограничение обмена данными | Вручную, отключено | 1.1.0 |
Системные входные данные по полноте и точности
Id: SOC 2 Type 2 PI1.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Выполнение проверки входных данных | CMA_C1723. Выполнение проверки входных данных | Вручную, отключено | 1.1.0 |
Системная обработка
Id: SOC 2 Type 2 PI1.3 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Создание сообщений об ошибках | CMA_C1724. Создание сообщений об ошибках | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Выполнение проверки входных данных | CMA_C1723. Выполнение проверки входных данных | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Выходные данные системы являются полными, точными и своевременными
Id: SOC 2 Type 2 PI1.4 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Хранение входных и выходных данных полностью, точно и своевременно
Id: SOC 2 Type 2 PI1.5 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Установка политик резервного копирования и процедур | CMA_0268. Создание политик резервного копирования и процедур | Вручную, отключено | 1.1.0 |
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
| Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
| Отдельно хранить сведения о резервном копировании | CMA_C1293 — отдельно хранить сведения о резервном копировании | Вручную, отключено | 1.1.0 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправлять несоответствующие ресурсы.