Элементы управления соответствием Политики Azure для Виртуальных машин Azure

Статья Соответствие нормативным требованиям в политике Azure содержит созданные и управляемые корпорацией Майкрософт определения инициатив, называемые встроенными, для доменов соответствия и элементов управления безопасностью, которые связаны с различными стандартами соответствия. На этой странице перечислены домены соответствия и элементы управления безопасностью для Виртуальных машин Azure. Вы можете назначить эти встроенные элементы для индивидуального управления безопасностью, чтобы обеспечить соответствие ресурсов Azure какому-либо определенному стандарту.

Заголовок каждого встроенного определения политики связан с определением политики на портале Azure. Перейдите по ссылке в столбце Версия политики, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".

Важно!

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Соответствует в Политике Azure применимо только к самим политикам и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями соответствия нормативным требованиям Политики Azure для этих стандартов соответствия со временем могут меняться.

Тестирование безопасности Azure

Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с Azure Security Benchmark, см. на этой странице.

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности системы безопасности Azure.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Безопасность сети NS-1 Реализация безопасности для внутреннего трафика На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Безопасность сети NS-1 Реализация безопасности для внутреннего трафика Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Безопасность сети NS-1 Реализация безопасности для внутреннего трафика Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Безопасность сети NS-1 Реализация безопасности для внутреннего трафика На виртуальной машине должна быть отключена IP-переадресация 3.0.0
Безопасность сети NS-1 Реализация безопасности для внутреннего трафика Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Безопасность сети NS-1 Реализация безопасности для внутреннего трафика Порты управления на виртуальных машинах должны быть закрыты 3.0.0
Безопасность сети NS-1 Реализация безопасности для внутреннего трафика Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Безопасность сети NS-4 Защита приложений и служб от внешних сетевых атак. На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Безопасность сети NS-4 Защита приложений и служб от внешних сетевых атак Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Безопасность сети NS-4 Защита приложений и служб от внешних сетевых атак. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Безопасность сети NS-4 Защита приложений и служб от внешних сетевых атак. На виртуальной машине должна быть отключена IP-переадресация 3.0.0
Безопасность сети NS-4 Защита приложений и служб от внешних сетевых атак. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Управление удостоверениями IM-4 Использование элементов управления строгой проверки подлинности для любого доступа на основе Azure Active Directory При аутентификации на компьютерах Linux должны использоваться ключи SSH 2.0.1
Защита данных DP-2 Защита конфиденциальных данных На виртуальных машинах должно применяться шифрование дисков 2.0.0
Защита данных DP-4 Шифрование конфиденциальной информации при передаче Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Защита данных DP-5 Шифрование конфиденциальных неактивных данных На виртуальных машинах должно применяться шифрование дисков 2.0.0
управление ресурсами. AM-3 Использование только утвержденных служб Azure Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager 1.0.0
управление ресурсами. AM-6 Использование в вычислительных ресурсах только утвержденных приложений На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
управление ресурсами. AM-6 Использование в вычислительных ресурсах только утвержденных приложений Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями 3.0.0
Ведение журналов и обнаружение угроз LT-3 Включение ведения журнала для сетевых операций в Azure На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика. 1.0.1 (предварительная версия)
Ведение журналов и обнаружение угроз LT-3 Включение ведения журнала для сетевых операций в Azure На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика. 1.0.1 (предварительная версия)
Ведение журналов и обнаружение угроз LT-4 Включение ведения журналов для ресурсов Azure В Масштабируемых наборах виртуальных машин должны быть включены журналы ресурсов 2.0.1
Ведение журналов и обнаружение угроз LT-5 Централизованное управление журналами безопасности, а также их анализ На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" 1.0.1
Ведение журналов и обнаружение угроз LT-5 Централизованное управление журналами безопасности и их анализ. Проблемы с работоспособностью агента Log Analytics на ваших компьютерах должны быть устранены 1.0.0
Ведение журналов и обнаружение угроз LT-5 Централизованное управление журналами безопасности и их анализ. На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure 1.0.0
Ведение журналов и обнаружение угроз LT-5 Централизованное управление журналами безопасности и их анализ. В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure 1.0.0
Ведение журналов и обнаружение угроз LT-5 Централизованное управление журналами безопасности, а также их анализ Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой 1.0.1
Управление состоянием защиты и уязвимостью PV-4 Поддержание безопасных конфигураций для вычислительных ресурсов. Компьютеры под управлением Linux должны соответствовать требованиям для базовой конфигурации безопасности Azure 1.1.0 (предварительная версия)
Управление состоянием защиты и уязвимостью PV-4 Поддержание безопасных конфигураций для вычислительных ресурсов. Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Управление состоянием защиты и уязвимостью PV-4 Поддержание безопасных конфигураций для вычислительных ресурсов. Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Управление состоянием защиты и уязвимостью PV-4 Поддержание безопасных конфигураций для вычислительных ресурсов. Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Управление состоянием защиты и уязвимостью PV-4 Поддержание безопасных конфигураций для вычислительных ресурсов. Компьютеры под управлением Windows должны соответствовать требованиям для базовой конфигурации Центра безопасности Azure 1.0.0 (предварительная версия)
Управление состоянием защиты и уязвимостью PV-6 Выполнение оценки уязвимостей программного обеспечения. Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Управление состоянием защиты и уязвимостью PV-6 Оценки уязвимостей программного обеспечения Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены 1.0.0
Управление состоянием защиты и уязвимостью PV-7 Быстрое и автоматическое устранение уязвимости программного обеспечения В масштабируемых наборах виртуальных машин должны быть установлены обновления системы 3.0.0
Управление состоянием защиты и уязвимостью PV-7 Быстрое и автоматическое устранение уязвимости программного обеспечения На компьютерах должны быть установлены обновления системы 4.0.0
Безопасность конечной точки ES-2 Защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением. В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Безопасность конечной точки ES-2 Защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением. Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Безопасность конечной точки ES-2 Защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением. На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender 1.1.1
Безопасность конечной точки ES-3 Своевременное обновление программного обеспечения для защиты от вредоносных программ и подписей В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Безопасность конечной точки ES-3 Своевременное обновление программного обеспечения для защиты от вредоносных программ и подписей Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Архивация и восстановление BR-1 Обеспечение регулярного автоматического резервного копирования Необходимо включить Azure Backup для Виртуальных машин 2.0.0
Архивация и восстановление BR-2 Шифрование данных резервного копирования Необходимо включить Azure Backup для Виртуальных машин 2.0.0

Тесты производительности системы безопасности Azure версии 1

Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Сведения о том, как эта служба полностью сопоставляется с Azure Security Benchmark, см. на этой странице.

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности системы безопасности Azure.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Безопасность сети 1,1 Защита ресурсов в виртуальной сети с помощью групп безопасности сети или Брандмауэра Azure На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Безопасность сети 1,1 Защита ресурсов в виртуальной сети с помощью групп безопасности сети или Брандмауэра Azure Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Безопасность сети 1,1 Защита ресурсов в виртуальной сети с помощью групп безопасности сети или Брандмауэра Azure На виртуальной машине должна быть отключена IP-переадресация 3.0.0
Безопасность сети 1,1 Защита ресурсов в виртуальной сети с помощью групп безопасности сети или Брандмауэра Azure Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Безопасность сети 1,1 Защита ресурсов в виртуальной сети с помощью групп безопасности сети или Брандмауэра Azure Порты управления на виртуальных машинах должны быть закрыты 3.0.0
Безопасность сети 1.4 Запрет взаимодействия с известными опасными IP-адресами На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Безопасность сети 1.4 Запрет взаимодействия с известными опасными IP-адресами Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Безопасность сети 1.11 Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Безопасность сети 1.11 Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Безопасность сети 1.11 Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Безопасность сети 1.11 Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений Компьютеры под управлением Windows должны соответствовать требованиям для категории "Административные шаблоны — Сеть" 2.0.0
Безопасность сети 1.11 Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — сервер для сетей Майкрософт" 2.0.0
Безопасность сети 1.11 Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" 2.0.0
Безопасность сети 1.11 Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Ведение журналов и мониторинг 2.2 Настройка централизованного управления журналами безопасности Аудит компьютеров с Windows без надлежащего подключения агента Log Analytics 1.0.0
Ведение журналов и мониторинг 2.2 Настройка централизованного управления журналами безопасности Агент Log Analytics должен быть установлен в масштабируемом наборе виртуальных машин 1.0.0
Ведение журналов и мониторинг 2.2 Настройка централизованного управления журналами безопасности Агент Log Analytics должен быть установлен на виртуальных машинах 1.0.0
Ведение журналов и мониторинг 2.3 Включение журналов аудита для ресурсов Azure В Масштабируемых наборах виртуальных машин должны быть включены журналы ресурсов 2.0.1
Ведение журналов и мониторинг 2.4 Сбор журналов безопасности из операционных систем Аудит компьютеров с Windows без надлежащего подключения агента Log Analytics 1.0.0
Ведение журналов и мониторинг 2.4 Сбор журналов безопасности из операционных систем Агент Log Analytics должен быть установлен в масштабируемом наборе виртуальных машин 1.0.0
Ведение журналов и мониторинг 2.4 Сбор журналов безопасности из операционных систем Агент Log Analytics должен быть установлен на виртуальных машинах 1.0.0
Ведение журналов и мониторинг 2.8 Централизованное ведение журнала защиты от вредоносных программ В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Ведение журналов и мониторинг 2.8 Централизованное ведение журнала защиты от вредоносных программ В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты 1.0.0
Ведение журналов и мониторинг 2.8 Централизованное ведение журнала защиты от вредоносных программ Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Идентификатор и управление доступом 3.3 Применение выделенных административных учетных записей Аудит компьютеров с Windows без любого из указанных участников в группе администраторов 1.0.0
Идентификатор и управление доступом 3.3 Применение выделенных административных учетных записей Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов 1.0.0
Идентификатор и управление доступом 3.3 Применение выделенных административных учетных записей Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Защита данных 4.8 Шифрование конфиденциальной информации при хранении На виртуальных машинах должно применяться шифрование дисков 2.0.0
Защита данных 4.8 Шифрование конфиденциальной информации при хранении Неподключенные диски должны быть зашифрованы 1.0.0
Управление уязвимостями 5.1 Выполнение автоматизированных средства анализа уязвимостей Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Управление уязвимостями 5,2 Развертывание автоматизированного решения для управления исправлениями операционной системы В масштабируемых наборах виртуальных машин должны быть установлены обновления системы 3.0.0
Управление уязвимостями 5,2 Развертывание автоматизированного решения для управления исправлениями операционной системы На компьютерах должны быть установлены обновления системы 4.0.0
Управление уязвимостями 5.5 Использование процесса оценки рисков для определения приоритета в устранении обнаруженных уязвимостей Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Управление уязвимостями 5.5 Использование процесса оценки рисков для определения приоритета в устранении обнаруженных уязвимостей Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Управление уязвимостями 5.5 Использование процесса оценки рисков для определения приоритета в устранении обнаруженных уязвимостей Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Инвентаризация и управление ресурсами 6,8 Использование только утвержденных приложений На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Инвентаризация и управление ресурсами 6.9 Использование только утвержденных служб Azure Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager 1.0.0
Инвентаризация и управление ресурсами 6.10 Реализация списка утвержденных приложений На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Настройка безопасности 7.4 Сохранение безопасных конфигураций для операционных систем Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Настройка безопасности 7.4 Сохранение безопасных конфигураций для операционных систем Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Настройка безопасности 7.4 Сохранение безопасных конфигураций для операционных систем Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Настройка безопасности 7.10 Реализация автоматизированного мониторинга конфигурации для операционных систем Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Настройка безопасности 7.10 Реализация автоматизированного мониторинга конфигурации для операционных систем Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Настройка безопасности 7.10 Реализация автоматизированного мониторинга конфигурации для операционных систем Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Защита от вредоносных программ 8.1 Использование централизованно управляемого программного обеспечения для защиты от вредоносных программ В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Защита от вредоносных программ 8.1 Использование централизованно управляемого программного обеспечения для защиты от вредоносных программ Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Защита от вредоносных программ 8.3 Своевременное обновление программного обеспечения для защиты от вредоносных программ и подписей В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты 1.0.0
Восстановление данных 9.1 Обеспечение регулярного автоматического резервного копирования Необходимо включить Azure Backup для Виртуальных машин 2.0.0
Восстановление данных 9.2 Выполнение полного резервного копирования системы и любых ключей, управляемых клиентом Необходимо включить Azure Backup для Виртуальных машин 2.0.0

Тесты для оценки безопасности CIS для платформ Microsoft Azure 1.1.0

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft Azure. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Центр безопасности 2.3 Обеспечение того, что параметр "Мониторинг обновлений системы" не имеет значение "Отключено" в политике ASC по умолчанию На компьютерах должны быть установлены обновления системы 4.0.0
Центр безопасности 2.4 Обеспечение того, что параметр "Мониторинг уязвимостей ОС" не имеет значение"Отключено" в политике ASC по умолчанию Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Центр безопасности 2.5 Обеспечение того, что параметр "Мониторинг Endpoint Protection" не имеет значение "Отключено" в политике ASC по умолчанию Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Центр безопасности 2.6 Обеспечение того, что параметр "Мониторинг шифрования дисков" не имеет значение "Отключено" в политике ASC по умолчанию На виртуальных машинах должно применяться шифрование дисков 2.0.0
Центр безопасности 2.7 Обеспечение того, что параметр "Мониторинг групп безопасности сети" не имеет значение"Отключено" в политике ASC по умолчанию На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Центр безопасности 2,9 Обеспечение того, что параметр "Включение мониторинга брандмауэра следующего поколения (NGFW)" не имеет значение "Отключено" в политике ASC по умолчанию Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Центр безопасности 2.10 Обеспечение того, что параметр "Мониторинг оценки уязвимостей" не имеет значение "Отключено" в политике ASC по умолчанию Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Центр безопасности 2.12 Обеспечение того, что параметр "Мониторинг JIT-доступа к сети" не имеет значение "Отключено" в политике ASC по умолчанию Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Центр безопасности 2,13 Обеспечение того, что параметр Monitor Adaptive Application Whitelisting (Мониторинг ведения адаптивного белого списка) не имеет значение "Отключено" в политике ASC по умолчанию На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Виртуальные машины 7.1 Обеспечение того, что диск ОС зашифрован На виртуальных машинах должно применяться шифрование дисков 2.0.0
Виртуальные машины 7.2 Обеспечение того, что диски данных зашифрованы На виртуальных машинах должно применяться шифрование дисков 2.0.0
Виртуальные машины 7.3 Обеспечение того, что неподключенные диски зашифрованы Неподключенные диски должны быть зашифрованы 1.0.0
Виртуальные машины 7.4 Обеспечение того, что установлены только утвержденные расширения Должны быть установлены только утвержденные расширения виртуальных машин 1.0.0
Виртуальные машины 7.5 Обеспечение того, что для всех виртуальных машин установлены последние исправления ОС На компьютерах должны быть установлены обновления системы 4.0.0
Виртуальные машины 7.6 Обеспечение того, что защита конечной точки установлена для всех виртуальных машин Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0

CIS Microsoft Azure Foundations Benchmark 1.3.0

Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — CIS Microsoft Azure Foundations Benchmark 1.3.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Ведение журналов и мониторинг 5,3 Обеспечение включения журналов диагностики для всех служб, которые их поддерживают. В Масштабируемых наборах виртуальных машин должны быть включены журналы ресурсов 2.0.1
Виртуальные машины 7.1 Обеспечение использование Управляемых дисков виртуальными машинами. Аудит виртуальных машин, которые не используют управляемые диски 1.0.0
Виртуальные машины 7.2 Обеспечение шифрования дисков ОС и дисков данных с помощью ключа, управляемого клиентом. На виртуальных машинах должно применяться шифрование дисков 2.0.0
Виртуальные машины 7.3 Обеспечение шифрования неподключенных дисков с помощью ключа, управляемого клиентом. Неподключенные диски должны быть зашифрованы 1.0.0
Виртуальные машины 7.4 Обеспечение того, что установлены только утвержденные расширения Должны быть установлены только утвержденные расширения виртуальных машин 1.0.0
Виртуальные машины 7.5 Обеспечение того, что для всех виртуальных машин установлены последние исправления ОС На компьютерах должны быть установлены обновления системы 4.0.0
Виртуальные машины 7.6 Обеспечение того, что защита конечной точки установлена для всех виртуальных машин Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0

CMMC уровня 3

Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта CMMC уровня 3. Дополнительные сведения об этом стандарте соответствия см. в документе о сертификации модели зрелости кибербезопасности (CMMC).

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление доступом AC.1.001 Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Управление доступом AC.1.001 Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Управление доступом AC.1.001 Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей 1.0.0
Управление доступом AC.1.001 Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Управление доступом AC.1.001 Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Управление доступом AC.1.001 Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" 2.0.0
Управление доступом AC.1.001 Ограничение доступа к информационной системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие информационные системы). Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Управление доступом AC.1.002 Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей 1.0.0
Управление доступом AC.1.002 Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Управление доступом AC.1.002 Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" 2.0.0
Управление доступом AC.1.002 Ограничение доступа к информационной системе за исключением выполнения тех типов транзакций и функций, которые разрешено выполнять полномочным пользователям. Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Управление доступом AC.1.003 Проверка и ограничение или администрирование подключений и использования внешних информационных систем. На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Управление доступом AC.1.003 Проверка и ограничение или администрирование подключений и использования внешних информационных систем. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление доступом AC.2.007 Применение принципа самого низкого уровня привилегий, в том числе для отдельных функций безопасности и привилегированных учетных записей. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Управление доступом AC.2.008 Использование непривилегированных учетных записей или ролей при доступе к функциям, не связанным с безопасностью. Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" 2.0.0
Управление доступом AC.2.008 Использование непривилегированных учетных записей или ролей при доступе к функциям, не связанным с безопасностью. Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" 2.0.0
Управление доступом AC.2.013 Мониторинг сеансов удаленного доступа и управление ими. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Управление доступом AC.2.013 Мониторинг сеансов удаленного доступа и управление ими. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Управление доступом AC.2.013 Мониторинг сеансов удаленного доступа и управление ими. Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей 1.0.0
Управление доступом AC.2.013 Мониторинг сеансов удаленного доступа и управление ими. Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Управление доступом AC.2.013 Мониторинг сеансов удаленного доступа и управление ими. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Управление доступом AC.2.013 Мониторинг сеансов удаленного доступа и управление ими. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Управление доступом AC.2.016 Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Управление доступом AC.2.016 Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление доступом AC.2.016 Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" 2.0.0
Управление доступом AC.3.017 Разделение обязанностей отдельных лиц во избежание сговора и снижения риска злонамеренных действий Аудит компьютеров с Windows без любого из указанных участников в группе администраторов 1.0.0
Управление доступом AC.3.017 Разделение обязанностей отдельных лиц во избежание сговора и снижения риска злонамеренных действий Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Управление доступом AC.3.018 Запрет непривилегированным пользователям выполнять привилегированные действия, а также собирать сведения о выполнении таких действий в журналах аудита. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" 2.0.0
Управление доступом AC.3.021 Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Управление доступом AC.3.021 Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Управление доступом AC.3.021 Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux 1.0.0
Управление доступом AC.3.021 Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Управление доступом AC.3.021 Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" 1.0.1
Управление доступом AC.3.021 Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой 1.0.1
Управление доступом AC.3.021 Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" 2.0.0
Управление доступом AC.3.021 Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью. Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" 2.0.0
Аудит и система отчетности AU.2.041 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий. Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Аудит и система отчетности AU.2.041 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий. Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Аудит и система отчетности AU.2.041 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий. Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Аудит и система отчетности AU.2.041 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий. Агент Log Analytics должен быть установлен в масштабируемом наборе виртуальных машин 1.0.0
Аудит и система отчетности AU.2.041 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за осуществление таких действий. Агент Log Analytics должен быть установлен на виртуальных машинах 1.0.0
Аудит и система отчетности AU.2.042 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Аудит и система отчетности AU.2.042 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Аудит и система отчетности AU.2.042 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Аудит и система отчетности AU.2.042 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Агент Log Analytics должен быть установлен в масштабируемом наборе виртуальных машин 1.0.0
Аудит и система отчетности AU.2.042 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Агент Log Analytics должен быть установлен на виртуальных машинах 1.0.0
Аудит и система отчетности AU.3.046 Предупреждение в случае сбоя процесса ведения журнала аудита Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Аудит и система отчетности AU.3.046 Предупреждение в случае сбоя процесса ведения журнала аудита Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Аудит и система отчетности AU.3.046 Предупреждение в случае сбоя процесса ведения журнала аудита Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Аудит и система отчетности AU.3.048 Сбор данных аудита (например, журналов) в один или несколько центральных репозиториев. Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Аудит и система отчетности AU.3.048 Сбор данных аудита (например, журналов) в один или несколько центральных репозиториев. Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Аудит и система отчетности AU.3.048 Сбор данных аудита (например, журналов) в один или несколько центральных репозиториев. Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Аудит и система отчетности AU.3.048 Сбор данных аудита (например, журналов) в один или несколько центральных репозиториев. Агент Log Analytics должен быть установлен в масштабируемом наборе виртуальных машин 1.0.0
Аудит и система отчетности AU.3.048 Сбор данных аудита (например, журналов) в один или несколько центральных репозиториев. Агент Log Analytics должен быть установлен на виртуальных машинах 1.0.0
Оценка безопасности CA.2.158 Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях. Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Оценка безопасности CA.2.158 Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях. На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Оценка безопасности CA.2.158 Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях. Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями 3.0.0
Оценка безопасности CA.2.158 Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях. В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Оценка безопасности CA.2.158 Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях. Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Оценка безопасности CA.3.161 Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности. Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Оценка безопасности CA.3.161 Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности. На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Оценка безопасности CA.3.161 Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности. Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями 3.0.0
Оценка безопасности CA.3.161 Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности. В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Оценка безопасности CA.3.161 Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности. Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Управление конфигурацией CM.2.061 Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Управление конфигурацией CM.2.061 Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы. Компьютеры под управлением Linux должны соответствовать требованиям для базовой конфигурации безопасности Azure 1.1.0 (предварительная версия)
Управление конфигурацией CM.2.062 Применение принципа минимальной функциональности путем настройки систем организации для предоставления только основных возможностей. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Использование привилегий" 2.0.0
Управление конфигурацией CM.2.063 Мониторинг установленного пользователем программного обеспечения и управление им На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Управление конфигурацией CM.2.063 Мониторинг установленного пользователем программного обеспечения и управление им Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями 3.0.0
Управление конфигурацией CM.2.063 Мониторинг установленного пользователем программного обеспечения и управление им Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" 2.0.0
Управление конфигурацией CM.2.064 Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Управление конфигурацией CM.2.064 Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Управление конфигурацией CM.2.065 Отслеживание, проверка, утверждение или отклонение, а также регистрация изменений в системах организации. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Политики аудита системы — Изменение политики" 2.0.0
Управление конфигурацией CM.3.068 Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Управление конфигурацией CM.3.068 Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Управление конфигурацией CM.3.068 Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Управление конфигурацией CM.3.068 Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями 3.0.0
Управление конфигурацией CM.3.068 Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление конфигурацией CM.3.068 Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Управление конфигурацией CM.3.068 Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление конфигурацией CM.3.069 Применение политики запрета методом исключения (в виде списка запретов) для предотвращения использования неавторизованного программного обеспечения или политики запрета всех, кроме разрешенных (в виде списка разрешений), для разрешения выполнения авторизованного программного обеспечения На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Идентификация и аутентификация IA.1.077 Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация IA.1.077 Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация IA.1.077 Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd 1.0.0
Идентификация и аутентификация IA.1.077 Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. Аудит компьютеров Linux с учетными записями без паролей 1.0.0
Идентификация и аутентификация IA.1.077 Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Идентификация и аутентификация IA.1.077 Аутентификация (или проверка) удостоверений этих пользователей, процессов либо устройств в качестве обязательного требования для предоставления доступа к информационным системам организации. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Идентификация и аутентификация IA.2.078 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация IA.2.078 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация IA.2.078 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Аудит компьютеров Linux с учетными записями без паролей 1.0.0
Идентификация и аутентификация IA.2.078 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Аудит компьютеров Windows без включенного параметра сложности пароля 1.0.0
Идентификация и аутентификация IA.2.078 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля 14 символами 1.0.0
Идентификация и аутентификация IA.2.078 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Идентификация и аутентификация IA.2.078 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Идентификация и аутентификация IA.2.079 Запрет на повторное использование пароля в указанном числе поколений Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация IA.2.079 Запрет на повторное использование пароля в указанном числе поколений Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация IA.2.079 Запрет на повторное использование пароля в указанном числе поколений Аудит компьютеров с Windows с возможностью повторного использования прошлых 24 паролей 1.0.0
Идентификация и аутентификация IA.2.079 Запрет на повторное использование пароля в указанном числе поколений Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Идентификация и аутентификация IA.2.079 Запрет на повторное использование пароля в указанном числе поколений Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Идентификация и аутентификация IA.2.081 Хранение и передача только криптографически защищенных паролей Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация IA.2.081 Хранение и передача только криптографически защищенных паролей Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация IA.2.081 Хранение и передача только криптографически защищенных паролей Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования 1.0.0
Идентификация и аутентификация IA.2.081 Хранение и передача только криптографически защищенных паролей Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Идентификация и аутентификация IA.2.081 Хранение и передача только криптографически защищенных паролей Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Идентификация и аутентификация IA.3.084 Использование механизмов аутентификации с защитой от повторных атак для сетевого доступа к привилегированным и непривилегированным учетным записям. Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
реагирование на инциденты. IR.2.093 Обнаружение событий и информирование о них. Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Восстановление RE.2.137 Регулярное создание и проверка резервных копий данных. Аудит виртуальных машин без аварийного восстановления 1.0.0
Восстановление RE.2.137 Регулярное создание и проверка резервных копий данных. Необходимо включить Azure Backup для Виртуальных машин 2.0.0
Восстановление RE.3.139 Регулярное создание полных, исчерпывающих и устойчивых резервных копий данных, как определено политиками организации. Аудит виртуальных машин без аварийного восстановления 1.0.0
Восстановление RE.3.139 Регулярное создание полных, исчерпывающих и устойчивых резервных копий данных, как определено политиками организации. Необходимо включить Azure Backup для Виртуальных машин 2.0.0
Оценка угроз для безопасности RM.2.141 Периодическая оценка рисков влияния на организационные операции (включая миссию, функциональные возможности, имидж или репутацию), активы организации и отдельных лиц в результате эксплуатации корпоративных систем и связанных с ней процессов обработки, хранения или передачи контролируемой несекретной информации. Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Оценка угроз для безопасности RM.2.142 Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Оценка угроз для безопасности RM.2.143 Устранение уязвимостей в соответствии с оценками рисков. Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Оценка угроз для безопасности RM.2.143 Устранение уязвимостей в соответствии с оценками рисков. Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Оценка угроз для безопасности RM.2.143 Устранение уязвимостей в соответствии с оценками рисков. Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Оценка угроз для безопасности RM.2.143 Устранение уязвимостей в соответствии с оценками рисков. Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Защита системы и средств передачи данных SC.1.175 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Защита системы и средств передачи данных SC.1.175 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Защита системы и средств передачи данных SC.1.175 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Защита системы и средств передачи данных SC.1.175 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Защита системы и средств передачи данных SC.1.175 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Защита системы и средств передачи данных SC.1.175 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" 2.0.0
Защита системы и средств передачи данных SC.1.175 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Защита системы и средств передачи данных SC.1.175 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Защита системы и средств передачи данных SC.1.176 Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Защита системы и средств передачи данных SC.1.176 Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Защита системы и средств передачи данных SC.1.176 Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Защита системы и средств передачи данных SC.2.179 Использование зашифрованных сеансов для управления сетевыми устройствами. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Защита системы и средств передачи данных SC.3.177 Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования 1.0.0
Защита системы и средств передачи данных SC.3.177 Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. На виртуальных машинах должно применяться шифрование дисков 2.0.0
Защита системы и средств передачи данных SC.3.177 Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации. Неподключенные диски должны быть зашифрованы 1.0.0
Защита системы и средств передачи данных SC.3.181 Отделение пользовательских функций от функций управления системой. Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Защита системы и средств передачи данных SC.3.183 Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Защита системы и средств передачи данных SC.3.183 Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Защита системы и средств передачи данных SC.3.183 Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Защита системы и средств передачи данных SC.3.183 Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Защита системы и средств передачи данных SC.3.183 Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Защита системы и средств передачи данных SC.3.183 Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" 2.0.0
Защита системы и средств передачи данных SC.3.183 Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений). Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Защита системы и средств передачи данных SC.3.185 Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности. Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Защита системы и средств передачи данных SC.3.190 Защита подлинности для сеансов обмена данными. Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Защита системы и средств передачи данных SC.3.191 Защита конфиденциальности неактивной контролируемой несекретной информации На виртуальных машинах должно применяться шифрование дисков 2.0.0
Защита системы и средств передачи данных SC.3.191 Защита конфиденциальности неактивной контролируемой несекретной информации Неподключенные диски должны быть зашифрованы 1.0.0
Целостность системы и данных SI.1.210 Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты 1.0.0
Целостность системы и данных SI.1.210 Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. В масштабируемых наборах виртуальных машин должны быть установлены обновления системы 3.0.0
Целостность системы и данных SI.1.210 Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. На компьютерах должны быть установлены обновления системы 4.0.0
Целостность системы и данных SI.1.210 Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Целостность системы и данных SI.1.210 Своевременное выявление и исправление уязвимостей информации и информационной системы, а также составление отчетов о таких уязвимостях. Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Целостность системы и данных SI-1.211 Защита от вредоносного кода в соответствующих расположениях в информационных системах организации. В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Целостность системы и данных SI-1.211 Защита от вредоносного кода в соответствующих расположениях в информационных системах организации. В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты 1.0.0
Целостность системы и данных SI-1.211 Защита от вредоносного кода в соответствующих расположениях в информационных системах организации. Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows 1.0.0
Целостность системы и данных SI-1.211 Защита от вредоносного кода в соответствующих расположениях в информационных системах организации. Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Целостность системы и данных SI.1.212 Обновление механизмов защиты от вредоносного кода при доступности новых выпусков. В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты 1.0.0
Целостность системы и данных SI.1.213 Периодическая проверка информационной системы и проверка файлов из внешних источников в режиме реального времени по мере скачивания, открытия или выполнения таких файлов. В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты 1.0.0
Целостность системы и данных SI.1.213 Периодическая проверка информационной системы и проверка файлов из внешних источников в режиме реального времени по мере скачивания, открытия или выполнения таких файлов. Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows 1.0.0
Целостность системы и данных SI.1.213 Периодическая проверка информационной системы и проверка файлов из внешних источников в режиме реального времени по мере скачивания, открытия или выполнения таких файлов. Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0

HIPAA HITRUST 9.2

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье со сведениями о встроенной инициативе по обеспечению соответствия стандарту HIPAA HITRUST 9.2. Дополнительные сведения об этом стандарте соответствия см. на странице описания HIPAA HITRUST 9.2.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление правами 11180.01c3System.6 — 01.c Доступ к функциям управления или консолям администрирования систем, на которых размещаются виртуализированные системы, предоставляется только сотрудникам согласно принципу наименьших привилегий с применением технических элементов управления. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Управление правами 1143.01c1System.123 — 01.c Привилегии предоставляются и контролируются официально, выделяются пользователям по мере необходимости с учетом их функциональной роли (например, пользователь или администратор) для конкретного события и документируются для каждого системного продукта или элемента. Порты управления на виртуальных машинах должны быть закрыты 3.0.0
Управление правами 1148.01c2System.78 — 01.c Организация ограничивает доступ к привилегированным функциям и всем сведениям, относящимся к безопасности. Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — Учетные записи" 2.0.0
Управление правами 1150.01c2System.10 — 01.c Система управления доступом для системных компонентов, хранящая, обрабатывающая или передающая соответствующие сведения, задается параметром по умолчанию "Запрещено все". Порты управления на виртуальных машинах должны быть закрыты 3.0.0
Проверка подлинности пользователей для внешних подключений 1119.01j2Organizational.3 — 01.j Сетевое оборудование проверяется на наличие непредвиденных возможностей коммутируемого подключения. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Проверка подлинности пользователей для внешних подключений 1175.01j1Organizational.8 — 01.j Удаленный доступ к бизнес-информации в общедоступных сетях предоставляется только после успешной идентификации и проверки подлинности. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Проверка подлинности пользователей для внешних подключений 1179.01j3Organizational.1 — 01.j Информационная система отслеживает методы удаленного доступа и управляет ими. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Удаленная диагностика и защита портов конфигурации 1192.01l1Organizational.1 — 01.l Доступ к сетевому оборудованию физически защищен. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Удаленная диагностика и защита портов конфигурации 1193.01l2Organizational.13 — 01.l Элементы управления доступом к портам диагностики и конфигурации включают использование блокировки ключа и реализацию вспомогательных процедур для управления физическим доступом к порту. Порты управления на виртуальных машинах должны быть закрыты 3.0.0
Удаленная диагностика и защита портов конфигурации 1197.01l3Organizational.3 — 01.l Организация отключает в информационной системе протоколы Bluetooth и одноранговые сетевые протоколы, которые определены как ненужные или небезопасные. На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Разделение в сетях 0805.01m1Organizational.12 — 01.m В организации существуют шлюзы безопасности (например, брандмауэры), которые применяют политики безопасности и фильтруют трафик между доменами, блокируют несанкционированный доступ, поддерживают разделение между внутренней проводной, внутренней беспроводной и внешней (Интернет) сетями с организацией сетей периметра, а также применяют политики управления доступом для каждого домена. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Разделение в сетях 0806.01m2Organizational.12356 — 01.m Сеть организаций логически и физически сегментирована. При этом существует определенный периметр безопасности и дифференцированный набор элементов, включая подсети для общедоступных системных компонентов, которые логически отделены от внутренней сети с учетом требований организации. Управление трафиком осуществляется на основе необходимых функций, а также классификации данных и систем на основе оценки рисков и соответствующих требований к безопасности. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Разделение в сетях 0894.01m2Organizational.7 — 01.m Сети изолируются от сетей производственного уровня при переносе физических серверов, приложений или данных на виртуализированные серверы. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление сетевым подключением 0809.01n2Organizational.1234 — 01.n Сетевой трафик контролируется в соответствии с корпоративной политикой управления доступом с применением брандмауэра или других сетевых средств ограничения для каждой точки доступа к сети или управляемого интерфейса внешней службы телекоммуникации. На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Управление сетевым подключением 0809.01n2Organizational.1234 — 01.n Сетевой трафик контролируется в соответствии с корпоративной политикой управления доступом с применением брандмауэра или других сетевых средств ограничения для каждой точки доступа к сети или управляемого интерфейса внешней службы телекоммуникации. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление сетевым подключением 0810.01n2Organizational.5 — 01.n Передаваемые данные защищены и, как минимум, зашифрованы через открытые общедоступные сети. На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Управление сетевым подключением 0810.01n2Organizational.5 — 01.n Передаваемые данные защищены и, как минимум, зашифрованы через открытые общедоступные сети. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление сетевым подключением 0811.01n2Organizational.6 — 01.n Исключения из политики потока трафика задокументированы с указанием обусловившей его критической потребности или бизнес-потребности и длительности исключения. Они пересматриваются по меньшей мере ежегодно. Исключения политики потока трафика удаляются, если они больше не обусловлены явной критической потребностью или бизнес-потребностью. На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Управление сетевым подключением 0811.01n2Organizational.6 — 01.n Исключения из политики потока трафика задокументированы с указанием обусловившей его критической потребности или бизнес-потребности и длительности исключения. Они пересматриваются по меньшей мере ежегодно. Исключения политики потока трафика удаляются, если они больше не обусловлены явной критической потребностью или бизнес-потребностью. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление сетевым подключением 0812.01n2Organizational.8 — 01.n Удаленным устройствам, устанавливающим неудаленное подключение, не разрешается обмениваться данными с внешними (удаленными) ресурсами. На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Управление сетевым подключением 0812.01n2Organizational.8 — 01.n Удаленным устройствам, устанавливающим неудаленное подключение, не разрешается обмениваться данными с внешними (удаленными) ресурсами. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление сетевым подключением 0814.01n1Organizational.12 — 01.n Возможность пользователей подключаться к внутренней сети ограничена с помощью политики "По умолчанию запрещено все, кроме разрешенного исключениями" на управляемых интерфейсах в соответствии с политикой управления доступом и требованиями бизнес-приложений и приложений для медицинской отрасли. На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Управление сетевым подключением 0814.01n1Organizational.12 — 01.n Возможность пользователей подключаться к внутренней сети ограничена с помощью политики "По умолчанию запрещено все, кроме разрешенного исключениями" на управляемых интерфейсах в соответствии с политикой управления доступом и требованиями бизнес-приложений и приложений для медицинской отрасли. Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Идентификация и проверка подлинности пользователей 11210.01q2Organizational.10 — 01.q Электронные подписи и рукописные подписи, выполненные для электронных записей, должны быть связаны с соответствующими электронными записями. Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Идентификация и проверка подлинности пользователей 11211.01q2Organizational.11 — 01.q Подписанные электронные записи должны содержать связанные с подписыванием сведения в понятном для человека формате. Аудит компьютеров с Windows без любого из указанных участников в группе администраторов 1.0.0
Идентификация и проверка подлинности пользователей 1123.01q1System.2 — 01.q Пользователи, которые выполняют привилегированные функции (например, системное администрирование), используют отдельные учетные записи при выполнении этих привилегированных функций. Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов 1.0.0
Идентификация и проверка подлинности пользователей 1125.01q2System.1 — 01.q Методы многофакторной проверки подлинности используются в соответствии с политикой организации (например, для удаленного доступа к сети). Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Идентификация и проверка подлинности пользователей 1127.01q2System.3 — 01.q Если для многофакторной проверки подлинности предоставляются токены, то для предоставления доступа требуется проверка личности. Аудит компьютеров с Windows без любого из указанных участников в группе администраторов 1.0.0
Ведение журнала аудита 1202.09aa1System.1 — 09.aa Защищенная запись аудита создается для всех действий в системе (создание, чтение, обновление, удаление), связанных с соответствующей информацией. В масштабируемых наборах виртуальных машин должны быть установлены обновления системы 3.0.0
Ведение журнала аудита 1206.09aa2System.23 — 09.aa Аудит доступен всегда, пока система активна. При этом отслеживаются ключевые события, успешные и неудачные попытки доступа к данным, изменение конфигурации безопасности, использование привилегированных или служебных программ, срабатывание оповещений,  активация и деактивация систем защиты (например, антивирусных программ и IDS), активация и деактивация механизмов идентификации и проверки подлинности, а также создание и удаление объектов на уровне системы. В Масштабируемых наборах виртуальных машин должны быть включены журналы ресурсов 2.0.1
Мониторинг использования системы 12100.09ab2System.15 — 09.ab Организация осуществляет мониторинг информационной системы для выявления необычных событий или аномалий, которые являются индикаторами ее неисправности или компрометации. Это помогает убедиться, что система находится в оптимальном, отказоустойчивом и безопасном состоянии. Агент Log Analytics должен быть установлен на виртуальных машинах 1.0.0
Мониторинг использования системы 12101.09ab1Organizational.3 — 09.ab Организация указывает, как часто проверяются журналы аудита, как документируются проверки, а также какие именно роли и обязанности назначаются персоналу, осуществляющему проверки, в том числе профессиональные сертификации и другие необходимые квалификационные требования. Агент Log Analytics должен быть установлен в масштабируемом наборе виртуальных машин 1.0.0
Мониторинг использования системы 12102.09ab1Organizational.4 — 09.ab Организация периодически тестирует процессы мониторинга и обнаружения проблем, исправляет недостатки и улучшает соответствующие процессы. Аудит компьютеров с Windows без надлежащего подключения агента Log Analytics 1.0.0
Мониторинг использования системы 1215.09ab2System.7 — 09.ab Системы аудита и мониторинга, используемые организацией, поддерживают сокращение аудита и создание отчетов. Агент Log Analytics должен быть установлен на виртуальных машинах 1.0.0
Мониторинг использования системы 1216.09ab3System.12 — 09.ab Для ежедневной проверки действий мониторинга систем безопасности (например, IPS/IDS) и системных записей а также обнаружения и документирования аномалий используются автоматизированные системы. Агент Log Analytics должен быть установлен в масштабируемом наборе виртуальных машин 1.0.0
Мониторинг использования системы 1217.09ab3System.3 — 09.ab Для технического персонала создаются оповещения о необходимости анализа и исследования подозрительных действий или возможных нарушений. Аудит компьютеров с Windows без надлежащего подключения агента Log Analytics 1.0.0
Разделение обязанностей 1232.09c3Organizational.12 — 09.c Для лиц, ответственных за администрирование  управления доступом, предоставляется минимально необходимый уровень доступа с учетом ролей и обязанностей каждого пользователя, и у этих лиц нет доступа к функциям аудита, связанным с этими элементами управления. Компьютеры с Windows должны соответствовать требованиям для категории "Назначение прав пользователя" 2.0.0
Разделение обязанностей 1277.09c2Organizational.4 — 09.c Чтобы снизить вероятность сговора, инициация события отделена от его авторизации. Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — контроль учетных записей" 2.0.0
Средства управления для защиты от вредоносного кода 0201.09j1Organizational.124 — 09.j На всех устройствах конечных пользователей установлены, работают и обновляются антивирусные и антишпионские программы, выполняющие периодическую проверку систем для обнаружения и удаления неавторизованного программного обеспечения. В серверных средах, для которых разработчик серверного программного обеспечения явно рекомендует не устанавливать антивирусное и антишпионское программное обеспечение, это требование можно удовлетворить с помощью сетевого решения для обнаружения вредоносных программ (NBMD). На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Средства управления для защиты от вредоносного кода 0201.09j1Organizational.124 — 09.j На всех устройствах конечных пользователей установлены, работают и обновляются антивирусные и антишпионские программы, выполняющие периодическую проверку систем для обнаружения и удаления неавторизованного программного обеспечения. В серверных средах, для которых разработчик серверного программного обеспечения явно рекомендует не устанавливать антивирусное и антишпионское программное обеспечение, это требование можно удовлетворить с помощью сетевого решения для обнаружения вредоносных программ (NBMD). Развертывание расширения IaaSAntimalware (Майкрософт) по умолчанию для Windows Server 1.0.0
Средства управления для защиты от вредоносного кода 0201.09j1Organizational.124 — 09.j На всех устройствах конечных пользователей установлены, работают и обновляются антивирусные и антишпионские программы, выполняющие периодическую проверку систем для обнаружения и удаления неавторизованного программного обеспечения. В серверных средах, для которых разработчик серверного программного обеспечения явно рекомендует не устанавливать антивирусное и антишпионское программное обеспечение, это требование можно удовлетворить с помощью сетевого решения для обнаружения вредоносных программ (NBMD). В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Средства управления для защиты от вредоносного кода 0201.09j1Organizational.124 — 09.j На всех устройствах конечных пользователей установлены, работают и обновляются антивирусные и антишпионские программы, выполняющие периодическую проверку систем для обнаружения и удаления неавторизованного программного обеспечения. В серверных средах, для которых разработчик серверного программного обеспечения явно рекомендует не устанавливать антивирусное и антишпионское программное обеспечение, это требование можно удовлетворить с помощью сетевого решения для обнаружения вредоносных программ (NBMD). В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты 1.0.0
Средства управления для защиты от вредоносного кода 0201.09j1Organizational.124 — 09.j На всех устройствах конечных пользователей установлены, работают и обновляются антивирусные и антишпионские программы, выполняющие периодическую проверку систем для обнаружения и удаления неавторизованного программного обеспечения. В серверных средах, для которых разработчик серверного программного обеспечения явно рекомендует не устанавливать антивирусное и антишпионское программное обеспечение, это требование можно удовлетворить с помощью сетевого решения для обнаружения вредоносных программ (NBMD). Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Средства управления для защиты от вредоносного кода 0201.09j1Organizational.124 — 09.j На всех устройствах конечных пользователей установлены, работают и обновляются антивирусные и антишпионские программы, выполняющие периодическую проверку систем для обнаружения и удаления неавторизованного программного обеспечения. В серверных средах, для которых разработчик серверного программного обеспечения явно рекомендует не устанавливать антивирусное и антишпионское программное обеспечение, это требование можно удовлетворить с помощью сетевого решения для обнаружения вредоносных программ (NBMD). На компьютерах должны быть установлены обновления системы 4.0.0
Резервное копирование 1620.09l1Organizational.8 — 09.l Если услуга резервного копирования предоставляется сторонним поставщиком, соглашение об уровне обслуживания включает в себя подробное описание средств защиты, позволяющих контролировать конфиденциальность, целостность и доступность данных резервных копий. Необходимо включить Azure Backup для Виртуальных машин 2.0.0
Резервное копирование 1625.09l3Organizational.34 — 09.l Удаленно хранится 3 (три) поколения резервных копий (полная и все связанные добавочные или разностные). При этом ведется журнал всех резервных копий, хранящихся как на месте, так и удаленно, в котором регистрируется имя, дата, время и действие. Необходимо включить Azure Backup для Виртуальных машин 2.0.0
Резервное копирование 1699.09l1Organizational.10 — 09.l Роли и обязанности сотрудников в процессе резервного копирования данных определены и известны сотрудникам. В частности, для создания резервных копий данных организации и (или) клиентов на своих устройствах сотрудники должны быть пользователями BYOD (участниками инициативы "Принеси свое устройство"). Необходимо включить Azure Backup для Виртуальных машин 2.0.0
Элементы управления сетью 0858.09m1Organizational.4 — 09.m Организация отслеживает все случаи авторизованного и несанкционированного беспроводного доступа к информационной системе и запрещает установку точек беспроводного доступа (WAP) без явного письменного разрешения директора по информационной безопасности или назначенного им представителя. Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Элементы управления сетью 0858.09m1Organizational.4 — 09.m Организация отслеживает все случаи авторизованного и несанкционированного беспроводного доступа к информационной системе и запрещает установку точек беспроводного доступа (WAP) без явного письменного разрешения директора по информационной безопасности или назначенного им представителя. Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Элементы управления сетью 0858.09m1Organizational.4 — 09.m Организация отслеживает все случаи авторизованного и несанкционированного беспроводного доступа к информационной системе и запрещает установку точек беспроводного доступа (WAP) без явного письменного разрешения директора по информационной безопасности или назначенного им представителя. Компьютеры с Windows должны соответствовать требованиям для категории "Свойства брандмауэра Windows" 2.0.0
Элементы управления сетью 0859.09m1Organizational.78 — 09.m Организация обеспечивает безопасность информации в сетях, доступность сетевых и информационных служб, использующих сеть, а также защиту подключенных служб от несанкционированного доступа. На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Элементы управления сетью 0861.09m2Organizational.67 — 09.m Для идентификации и проверки подлинности устройств в локальных и (или) глобальных сетях, в том числе беспроводных,  информационная система использует 1) общее известное информационное решение или 2) решение организации для проверки подлинности, точный выбор и надежность которого зависят от категории безопасности информационной системы. Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — доступ к сети" 2.0.0
Безопасность сетевых служб 0835.09n1Organizational.1 — 09.n Согласованные службы, предоставляемые поставщиком или диспетчером сетевых услуг, официально управляются и отслеживаются для гарантии безопасности их предоставления. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика. 1.0.1 (предварительная версия)
Безопасность сетевых служб 0835.09n1Organizational.1 — 09.n Согласованные службы, предоставляемые поставщиком или диспетчером сетевых услуг, официально управляются и отслеживаются для гарантии безопасности их предоставления. Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager 1.0.0
Безопасность сетевых служб 0836.09.n2Organizational.1 — 09.n Организация официально разрешает и документирует характеристики каждого подключения информационной системы к другим информационным системам за пределами организации. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика. 1.0.1 (предварительная версия)
Безопасность сетевых служб 0885.09n2Organizational.3 — 09.n Организация проверяет и обновляет соглашения о безопасности взаимодействия на постоянной основе, а также проверяет соблюдение требований безопасности. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика. 1.0.1 (предварительная версия)
Безопасность сетевых служб 0887.09n2Organizational.5 — 09.n Организация требует, чтобы внешние поставщики услуг или аутсорсеры идентифицировали конкретные функции, порты и протоколы, используемые для внешних или аутсорсинговых служб. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика. 1.0.1 (предварительная версия)
Управление съемными носителями 0302.09o2Organizational.1 — 09.o Организация защищает и контролирует носители, содержащие конфиденциальные сведения, во время транспортировки за пределами контролируемых областей. На виртуальных машинах должно применяться шифрование дисков 2.0.0
Управление съемными носителями 0303.09o2Organizational.2 — 09.o Идентифицируются цифровые и нецифровые носители, использование которых должно быть ограничено с помощью определенных средств защиты. Неподключенные диски должны быть зашифрованы 1.0.0
Транзакции в Интернете 0945.09y1Organizational.3 — 09.y Протоколы, используемые для обмена данными между всеми участвующими сторонами, защищаются с помощью методов шифрования (например, SSL). Аудит компьютеров Windows без указанных сертификатов в доверенном корневом центре сертификации 1.0.1
Управление операционным ПО 0605.10h1System.12 — 10.h Только уполномоченные администраторы могут внедрять утвержденные обновления программного обеспечения, приложений и библиотек программ, учитывая бизнес-требования и аспекты безопасности для выпуска. Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Управление операционным ПО 0605.10h1System.12 — 10.h Только уполномоченные администраторы могут внедрять утвержденные обновления программного обеспечения, приложений и библиотек программ, учитывая бизнес-требования и аспекты безопасности для выпуска. Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — аудит" 2.0.0
Управление операционным ПО 0605.10h1System.12 — 10.h Только уполномоченные администраторы могут внедрять утвержденные обновления программного обеспечения, приложений и библиотек программ, учитывая бизнес-требования и аспекты безопасности для выпуска. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — управление учетными записями" 2.0.0
Управление операционным ПО 0606.10h2System.1 — 10.h Приложения и операционные системы перед выпуском успешно протестированы на удобство использования, безопасность и стороннее воздействие. Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Управление операционным ПО 0607.10h2System.23 — 10.h Организация использует программу управления конфигурацией, чтобы поддерживать управление всем внедренным программным обеспечением и его системной документацией, а также архивировать предыдущие версии внедренного программного обеспечения и соответствующую документацию системы. На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Управление операционным ПО 0607.10h2System.23 — 10.h Организация использует программу управления конфигурацией, чтобы поддерживать управление всем внедренным программным обеспечением и его системной документацией, а также архивировать предыдущие версии внедренного программного обеспечения и соответствующую документацию системы. Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Процедуры управления изменениями 0635.10k1Organizational.12 — 10.k Менеджеры, ответственные за системы приложений, также отвечают за безопасность проекта или среды поддержки и управление ими. Они обеспечивают проверку всех предлагаемых системных изменений, чтобы эти изменения не нарушили безопасность системы или операционной среды. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Процедуры управления изменениями 0636.10k2Organizational.1 — 10.k Организация формально определяет цель, область, роли, обязанности, обязательства по управлению, координацию между организационными подразделениями и меры для обеспечения соответствия требованиям к управлению конфигурацией (например, с помощью политик, стандартов, процессов). Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Процедуры управления изменениями 0637.10k2Organizational.2 — 10.k Организация разработала, задокументировала и реализовала план управления конфигурацией для информационной системы. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Процедуры управления изменениями 0638.10k2Organizational.34569 — 10.k Изменения формально контролируются, документируются и применяются для снижения риска повреждения информационных систем. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Процедуры управления изменениями 0639.10k2Organizational.78 — 10.k Контрольные списки установки и сканирования уязвимостей используются для проверки конфигурации серверов, рабочих станций, устройств и приборов, а также для обеспечения соответствия конфигурации минимальным стандартам. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Процедуры управления изменениями 0640.10k2Organizational.1012 — 10.k Если разработка передается на аутсорсинг, процедуры управления изменениями для обеспечения безопасности включены в контракты, а разработчик обязан отслеживать недостатки системы безопасности и контролировать их устранение в системе, компоненте или службе, а также сообщать о результатах определенному организацией персоналу или ролям. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Процедуры управления изменениями 0641.10k2Organizational.11 — 10.k Организация не использует автоматические обновления в критически важных системах. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Процедуры управления изменениями 0642.10k3Organizational.12 — 10.k Организация разрабатывает, документирует и сохраняет в рамках управления конфигурацией текущую базовую конфигурацию информационной системы, а также проверяет и обновляет базовые показатели по мере необходимости. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Процедуры управления изменениями 0643.10k3Organizational.3 — 10.k Организация 1) устанавливает и документирует обязательные параметры конфигурации для продуктов в сфере информационных технологий, используемых в информационной системе, применяя последние конфигурационные базы для безопасности; 2) определяет, документирует и утверждает исключения из обязательных установленных параметров конфигурации для отдельных компонентов на основе явных операционных требований; 3) отслеживает изменения параметров конфигурации и управляет ими в соответствии с политиками и процедурами организации. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Процедуры управления изменениями 0644.10k3Organizational.4 — 10.k Организация применяет автоматические механизмы для 1) централизованных управления, применения и проверки параметров конфигурации; 2) реагирования на несанкционированные изменения параметров конфигурации, связанных с безопасностью сети и системы; 3) принудительного ограничения доступа и аудита принудительных действий. Компьютеры с Windows должны соответствовать требованиям для категории "Политики аудита системы — подробное отслеживание" 2.0.0
Управление техническими уязвимостями 0709.10m1Organizational.1 — 10.m Технические уязвимости выявляются, оцениваются с точки зрения риска и своевременно исправляются. Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Управление техническими уязвимостями 0709.10m1Organizational.1 — 10.m Технические уязвимости выявляются, оцениваются с точки зрения риска и своевременно исправляются. Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Управление техническими уязвимостями 0709.10m1Organizational.1 — 10.m Технические уязвимости выявляются, оцениваются с точки зрения риска и своевременно исправляются. Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Управление техническими уязвимостями 0709.10m1Organizational.1 — 10.m Технические уязвимости выявляются, оцениваются с точки зрения риска и своевременно исправляются. Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Управление техническими уязвимостями 0709.10m1Organizational.1 — 10.m Технические уязвимости выявляются, оцениваются с точки зрения риска и своевременно исправляются. Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — сервер для сетей Майкрософт" 2.0.0
Управление техническими уязвимостями 0711.10m2Organizational.23 — 10.m Для отслеживания, оценки, ранжирования и устранения уязвимостей в системах используется техническая программа управления уязвимостями. Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Управление техническими уязвимостями 0713.10m2Organizational.5 — 10.m Исправления проверяются и оцениваются до их установки. Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Управление техническими уязвимостями 0714.10m2Organizational.7 — 10.m Техническая программа управления уязвимостями оценивается ежеквартально. Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Управление техническими уязвимостями 0715.10m2Organizational.8 — 10.m Системы защищены соответствующим образом (например, путем настройки в них только необходимых и безопасных служб, портов и протоколов). Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Управление техническими уязвимостями 0717.10m3Organizational.2 — 10.m Инструменты проверки на уязвимости включают возможность быстрого обновления для защиты от выявленных уязвимостей информационной системы. Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Управление техническими уязвимостями 0718.10m3Organizational.34 — 10.m Организация выполняет проверку на уязвимости в информационной системе и размещенных приложениях для определения состояния их исправления ежемесячно (автоматически) или повторно (вручную или автоматически) при обнаружении новых уязвимостей, которые потенциально могут влиять на системы и сетевые среды, и получении сведений о них. Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Непрерывность бизнес-процессов и оценка рисков 1634.12b1Organizational.1 — 12.b Организация определяет критически важные бизнес-процессы, которые требуют непрерывности. Аудит виртуальных машин без аварийного восстановления 1.0.0
Непрерывность бизнес-процессов и оценка рисков 1637.12b2Organizational.2 — 12.b Для оценки последствий аварийной ситуации, сбоев системы безопасности, службы или ее доступности используется анализ влияния на бизнес-процессы. Компьютеры с Windows должны соответствовать требованиям для категории "Параметры безопасности — консоль восстановления" 2.0.0
Непрерывность бизнес-процессов и оценка рисков 1638.12b2Organizational.345 — 12.b Оценки рисков для непрерывности бизнес-процессов 1) выполняются ежегодно с участием владельцев бизнес-ресурсов и процессов; 2) выполняются для всех бизнес-процессов, не ограничиваются информационными ресурсами, но включают результаты, относящиеся к информационной безопасности; 3) позволяют определить и количественно оценить риски, а также назначить их приоритеты с точки зрения ключевых бизнес-целей и критерии организации, включая критически важные ресурсы, влияние прерываний в работе, допустимое время простоя и приоритеты восстановления. Аудит виртуальных машин без аварийного восстановления 1.0.0

ISO 27001:2013

Дополнительные сведения о том, в какой мере доступные встроенные компоненты Политики Azure для всех служб Azure отвечают этому стандарту соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта ISO 27001:2013. Дополнительные сведения об этом стандарте соответствия см. на странице с описанием ISO 27001:2013.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление доступом 9.1.2 Доступ к сетям и сетевым службам Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Управление доступом 9.1.2 Доступ к сетям и сетевым службам Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Управление доступом 9.1.2 Доступ к сетям и сетевым службам Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей 1.0.0
Управление доступом 9.1.2 Доступ к сетям и сетевым службам Аудит компьютеров Linux с учетными записями без паролей 1.0.0
Управление доступом 9.1.2 Доступ к сетям и сетевым службам Аудит виртуальных машин, которые не используют управляемые диски 1.0.0
Управление доступом 9.1.2 Доступ к сетям и сетевым службам Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux 1.0.0
Управление доступом 9.1.2 Доступ к сетям и сетевым службам Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager 1.0.0
Управление доступом 9.2.4 Управление секретной информацией для аутентификации пользователей Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Управление доступом 9.2.4 Управление секретной информацией для аутентификации пользователей Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Управление доступом 9.2.4 Управление секретной информацией для аутентификации пользователей Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd 1.0.0
Управление доступом 9.2.4 Управление секретной информацией для аутентификации пользователей Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux 1.0.0
Управление доступом 9.4.3 Система управления паролями Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Управление доступом 9.4.3 Система управления паролями Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Управление доступом 9.4.3 Система управления паролями Аудит компьютеров с Windows с возможностью повторного использования прошлых 24 паролей 1.0.0
Управление доступом 9.4.3 Система управления паролями Аудит компьютеров Windows, максимальный срок действия пароля на которых не равен 70 дням 1.0.0
Управление доступом 9.4.3 Система управления паролями Аудит компьютеров Windows, минимальный срок действия пароля на которых не равен 1 дню 1.0.0
Управление доступом 9.4.3 Система управления паролями Аудит компьютеров Windows без включенного параметра сложности пароля 1.0.0
Управление доступом 9.4.3 Система управления паролями Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля 14 символами 1.0.0
Управление доступом 9.4.3 Система управления паролями Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Шифрование 10.1.1 Политика использования элементов управления шифрованием Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Шифрование 10.1.1 Политика использования элементов управления шифрованием Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Шифрование 10.1.1 Политика использования элементов управления шифрованием Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования 1.0.0
Шифрование 10.1.1 Политика использования элементов управления шифрованием Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Шифрование 10.1.1 Политика использования элементов управления шифрованием На виртуальных машинах должно применяться шифрование дисков 2.0.0
Безопасность операций 12.4.1 Ведение журналов событий Dependency Agent должен быть включен для перечисленных образов виртуальных машин 2.0.0
Безопасность операций 12.4.1 Ведение журналов событий Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Безопасность операций 12.4.1 Ведение журналов событий Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Безопасность операций 12.4.1 Ведение журналов событий Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Безопасность операций 12.4.3 Журналы администратора и оператора Dependency Agent должен быть включен для перечисленных образов виртуальных машин 2.0.0
Безопасность операций 12.4.3 Журналы администратора и оператора Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Безопасность операций 12.4.3 Журналы администратора и оператора Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Безопасность операций 12.4.3 Журналы администратора и оператора Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Безопасность операций 12.4.4 Синхронизация времени Dependency Agent должен быть включен для перечисленных образов виртуальных машин 2.0.0
Безопасность операций 12.4.4 Синхронизация времени Dependency Agent должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Безопасность операций 12.4.4 Синхронизация времени Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Безопасность операций 12.4.4 Синхронизация времени Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Безопасность операций 12.5.1 Установка программного обеспечения в операционных системах На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Безопасность операций 12.6.1 Управление техническими уязвимостями Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Безопасность операций 12.6.1 Управление техническими уязвимостями Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Безопасность операций 12.6.1 Управление техническими уязвимостями На компьютерах должны быть установлены обновления системы 4.0.0
Безопасность операций 12.6.1 Управление техническими уязвимостями Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Безопасность операций 12.6.2 Ограничения на установку программного обеспечения На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Безопасность коммуникаций 13.1.1 Элементы управления сетью Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0

ISM Restricted (Новая Зеландия)

Дополнительные сведения о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Обеспечение соответствия нормативным требованиям для Политики Azure — ISM Restricted (Новая Зеландия). Дополнительные сведения об этом стандарте соответствия см. на странице с Руководством по мерам информационной безопасности для Новой Зеландии.

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Мониторинг информационной безопасности ISM-3 6.2.5 Проведение оценок уязвимости Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Мониторинг информационной безопасности ISM-3 6.2.5 Проведение оценок уязвимости Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Мониторинг информационной безопасности ISM-3 6.2.5 Проведение оценок уязвимости Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Мониторинг информационной безопасности ISM-3 6.2.5 Проведение оценок уязвимости Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Безопасность продуктов PRS-5 12.4.4 Устранение уязвимостей в продуктах В масштабируемых наборах виртуальных машин должны быть установлены обновления системы 3.0.0
Безопасность продуктов PRS-5 12.4.4 Устранение уязвимостей в продуктах На компьютерах должны быть установлены обновления системы 4.0.0
Безопасность программного обеспечения SS-2 14.1.9 Обслуживание защищенных стандартных операционных сред Развертывание — настройка Dependency Agent для включения в масштабируемых наборах виртуальных машин Windows 2.0.0
Безопасность программного обеспечения SS-2 14.1.9 Обслуживание защищенных стандартных операционных сред В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Безопасность программного обеспечения SS-2 14.1.9 Обслуживание защищенных стандартных операционных сред Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows 1.0.0
Безопасность программного обеспечения SS-2 14.1.9 Обслуживание защищенных стандартных операционных сред Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Безопасность программного обеспечения SS-4 14.2.4 Списки разрешенных приложений На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Контроль доступа и пароли AC-2 16.1.32 Идентификация пользователей в системе Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей 1.0.0
Контроль доступа и пароли AC-2 16.1.32 Идентификация пользователей в системе Аудит компьютеров Linux с учетными записями без паролей 1.0.0
Контроль доступа и пароли AC-2 16.1.32 Идентификация пользователей в системе Аудит компьютеров с Windows без любого из указанных участников в группе администраторов 1.0.0
Контроль доступа и пароли AC-2 16.1.32 Идентификация пользователей в системе Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов 1.0.0
Контроль доступа и пароли AC-2 16.1.32 Идентификация пользователей в системе Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Контроль доступа и пароли AC-2 16.1.32 Идентификация пользователей в системе Развертывание — настройка Dependency Agent для включения в виртуальных машинах Windows 2.0.0
Контроль доступа и пароли AC-2 16.1.32 Идентификация пользователей в системе Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux 1.0.0
Контроль доступа и пароли AC-2 16.1.32 Идентификация пользователей в системе Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Контроль доступа и пароли AC-4 16.1.40 Политика выбора пароля Развертывание — настройка Dependency Agent для включения в виртуальных машинах Windows 2.0.0
Контроль доступа и пароли AC-4 16.1.40 Политика выбора пароля Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Политики учетных записей" 2.0.0
Контроль доступа и пароли AC-5 16.1.46 Приостановка доступа Развертывание — настройка Dependency Agent для включения в виртуальных машинах Windows 2.0.0
Контроль доступа и пароли AC-7 16.2.5 Защита секционированной информации в системах Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Контроль доступа и пароли AC-9 16.3.5 Использование привилегированных учетных записей Аудит компьютеров с Windows без любого из указанных участников в группе администраторов 1.0.0
Контроль доступа и пароли AC-9 16.3.5 Использование привилегированных учетных записей Аудит компьютеров Windows с дополнительными учетными записями в группе администраторов 1.0.0
Контроль доступа и пароли AC-9 16.3.5 Использование привилегированных учетных записей Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Контроль доступа и пароли AC-9 16.3.5 Использование привилегированных учетных записей Развертывание — настройка Dependency Agent для включения в виртуальных машинах Windows 2.0.0
Контроль доступа и пароли AC-9 16.3.5 Использование привилегированных учетных записей Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Контроль доступа и пароли AC-14 16.6.7 Содержимое системных журналов управления Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Контроль доступа и пароли AC-14 16.6.7 Содержимое системных журналов управления Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Контроль доступа и пароли AC-14 16.6.7 Содержимое системных журналов управления Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Шифрование CR-2 17.1.46 Снижение требований для хранения и физической передачи На виртуальных машинах должно применяться шифрование дисков 2.0.0
Шифрование CR-6 17.4.16 Использование TLS Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Шифрование CR-6 17.4.16 Использование TLS Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Безопасность сети NS-2 18.1.13 Ограничение сетевого доступа На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Безопасность сети NS-2 18.1.13 Ограничение сетевого доступа Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Управление данными DM-4 20.3.10 Антивирусные проверки Развертывание — настройка Dependency Agent для включения в масштабируемых наборах виртуальных машин Windows 2.0.0
Управление данными DM-4 20.3.10 Антивирусные проверки В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Управление данными DM-4 20.3.10 Антивирусные проверки Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Управление данными DM-4 20.3.10 Антивирусные проверки На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender 1.1.1
Управление данными DM-6 20.4.4 Файлы баз данных На виртуальных машинах должно применяться шифрование дисков 2.0.0
Управление данными DM-6 20.4.4 Файлы баз данных Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Безопасность корпоративных систем ESS-3 22.1.26 Резервное копирование, восстановление, архивирование и остаточные данные Аудит виртуальных машин без аварийного восстановления 1.0.0

NIST SP 800-171 R2

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2. Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление доступом 3.1.1 Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Управление доступом 3.1.1 Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Управление доступом 3.1.1 Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей 1.0.0
Управление доступом 3.1.1 Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Управление доступом 3.1.1 Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы) Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Управление доступом 3.1.4 Разделение обязанностей отдельных лиц во избежание сговора и снижения риска злонамеренных действий Аудит компьютеров с Windows без любого из указанных участников в группе администраторов 1.0.0
Управление доступом 3.1.4 Разделение обязанностей отдельных лиц во избежание сговора и снижения риска злонамеренных действий Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Управление доступом 3.1.12 Мониторинг сеансов удаленного доступа и управление ими. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Управление доступом 3.1.12 Мониторинг сеансов удаленного доступа и управление ими. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Управление доступом 3.1.12 Мониторинг сеансов удаленного доступа и управление ими. Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей 1.0.0
Управление доступом 3.1.12 Мониторинг сеансов удаленного доступа и управление ими. Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Управление доступом 3.1.12 Мониторинг сеансов удаленного доступа и управление ими. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Аудит и система отчетности 3.3.1 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Аудит и система отчетности 3.3.1 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Аудит и система отчетности 3.3.1 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Аудит и система отчетности 3.3.1 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Агент Log Analytics должен быть установлен в масштабируемом наборе виртуальных машин 1.0.0
Аудит и система отчетности 3.3.1 Создание и сохранение журналов аудита и записей системы в той степени, которая необходима для мониторинга, анализа и исследования незаконных или несанкционированных действий в системе, а также создание отчетов об их выполнении Агент Log Analytics должен быть установлен на виртуальных машинах 1.0.0
Аудит и система отчетности 3.3.2 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Аудит и система отчетности 3.3.2 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Аудит и система отчетности 3.3.2 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Аудит и система отчетности 3.3.2 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление Агент Log Analytics должен быть установлен в масштабируемом наборе виртуальных машин 1.0.0
Аудит и система отчетности 3.3.2 Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление Агент Log Analytics должен быть установлен на виртуальных машинах 1.0.0
Управление конфигурацией 3.4.7 Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб. На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Управление конфигурацией 3.4.8 Применение политики запрета методом исключения (в виде списка запретов) для предотвращения использования неавторизованного программного обеспечения или политики запрета всех, кроме разрешенных (в виде списка разрешений), для разрешения выполнения авторизованного программного обеспечения На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Управление конфигурацией 3.4.9 Мониторинг установленного пользователем программного обеспечения и управление им На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Идентификация и аутентификация 3.5.2 Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация 3.5.2 Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация 3.5.2 Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. Аудит компьютеров Linux с учетными записями без паролей 1.0.0
Идентификация и аутентификация 3.5.2 Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Идентификация и аутентификация 3.5.2 Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Идентификация и аутентификация 3.5.7 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация 3.5.7 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация 3.5.7 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Аудит компьютеров Linux с учетными записями без паролей 1.0.0
Идентификация и аутентификация 3.5.7 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Аудит компьютеров Windows без включенного параметра сложности пароля 1.0.0
Идентификация и аутентификация 3.5.7 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля 14 символами 1.0.0
Идентификация и аутентификация 3.5.7 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Идентификация и аутентификация 3.5.7 Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей. Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Идентификация и аутентификация 3.5.8 Запрет на повторное использование пароля в указанном числе поколений Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация 3.5.8 Запрет на повторное использование пароля в указанном числе поколений Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация 3.5.8 Запрет на повторное использование пароля в указанном числе поколений Аудит компьютеров с Windows с возможностью повторного использования прошлых 24 паролей 1.0.0
Идентификация и аутентификация 3.5.8 Запрет на повторное использование пароля в указанном числе поколений Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Идентификация и аутентификация 3.5.8 Запрет на повторное использование пароля в указанном числе поколений Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Идентификация и аутентификация 3.5.10 Хранение и передача только криптографически защищенных паролей Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация 3.5.10 Хранение и передача только криптографически защищенных паролей Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация 3.5.10 Хранение и передача только криптографически защищенных паролей Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd 1.0.0
Идентификация и аутентификация 3.5.10 Хранение и передача только криптографически защищенных паролей Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования 1.0.0
Идентификация и аутентификация 3.5.10 Хранение и передача только криптографически защищенных паролей Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Идентификация и аутентификация 3.5.10 Хранение и передача только криптографически защищенных паролей Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" 2.0.0
Оценка угроз для безопасности 3.11.2 Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Оценка угроз для безопасности 3.11.2 Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают Необходимо устранить уязвимости в конфигурациях безопасности контейнера. 3.0.0
Оценка угроз для безопасности 3.11.2 Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Оценка угроз для безопасности 3.11.2 Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Защита системы и средств передачи данных 3.13.1 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Защита системы и средств передачи данных 3.13.1 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Защита системы и средств передачи данных 3.13.1 Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Защита системы и средств передачи данных 3.13.5 Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Защита системы и средств передачи данных 3.13.5 Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Защита системы и средств передачи данных 3.13.5 Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети 3.0.0
Защита системы и средств передачи данных 3.13.8 Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности. Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Защита системы и средств передачи данных 3.13.16 Защита конфиденциальности неактивной контролируемой несекретной информации На виртуальных машинах должно применяться шифрование дисков 2.0.0
Целостность системы и данных 3.14.1 Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Целостность системы и данных 3.14.1 Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них В масштабируемых наборах виртуальных машин должны быть установлены обновления системы 3.0.0
Целостность системы и данных 3.14.1 Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них На компьютерах должны быть установлены обновления системы 4.0.0
Целостность системы и данных 3.14.1 Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Целостность системы и данных 3.14.1 Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Целостность системы и данных 3.14.2 Обеспечение защиты от вредоносного кода в указанных расположениях в системах организации В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Целостность системы и данных 3.14.2 Обеспечение защиты от вредоносного кода в указанных расположениях в системах организации Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows 1.0.0
Целостность системы и данных 3.14.2 Обеспечение защиты от вредоносного кода в указанных расположениях в системах организации Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0

NIST SP 800-53 R4

Дополнительную информацию о том, как доступные встроенные компоненты Политики Azure для всех служб Azure сопоставляются с этим стандартом соответствия, см. в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-53 R4. Дополнительные сведения об этом стандарте соответствия см. в разделе о NIST SP 800-53 R4 — специальной публикации 800-53 Национального института стандартов и технологий (версия 4).

Домен Идентификатор элемента управления Заголовок элемента управления Политика
(портал Azure)
Версия политики
(GitHub)
Управление доступом AC-2 (12) Управление учетными записями | Мониторинг учетной записи и нетипичное использование Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Управление доступом AC-5 Разделение обязанностей Аудит компьютеров с Windows без любого из указанных участников в группе администраторов 1.0.0
Управление доступом AC-5 Разделение обязанностей Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Управление доступом AC-6 (7) Минимальные привилегии | Проверка привилегий пользователя Аудит компьютеров с Windows без любого из указанных участников в группе администраторов 1.0.0
Управление доступом AC-6 (7) Минимальные привилегии | Проверка привилегий пользователя Аудит компьютеров Windows с указанными участниками в группе администраторов 1.0.0
Управление доступом AC-17 (1) Удаленный доступ | Автоматический мониторинг и управление Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Управление доступом AC-17 (1) Удаленный доступ | Автоматический мониторинг и управление Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Управление доступом AC-17 (1) Удаленный доступ | Автоматический мониторинг и управление Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей 1.0.0
Управление доступом AC-17 (1) Удаленный доступ | Автоматический мониторинг и управление Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux 1.0.0
Управление доступом AC-17 (1) Удаленный доступ | Автоматический мониторинг и управление Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Аудит и система отчетности AU-3 (2) Содержимое записей аудита | Централизованное управление содержимым записей планового аудита Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Аудит и система отчетности AU-3 (2) Содержимое записей аудита | Централизованное управление содержимым записей планового аудита Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Аудит и система отчетности AU-3 (2) Содержимое записей аудита | Централизованное управление содержимым записей планового аудита Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Аудит и система отчетности AU-6 (4) Обзор аудита, его анализ и создание отчетов | Централизованный обзор и анализ Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Аудит и система отчетности AU-6 (4) Обзор аудита, его анализ и создание отчетов | Централизованный обзор и анализ Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Аудит и система отчетности AU-6 (4) Обзор аудита, его анализ и создание отчетов | Централизованный обзор и анализ Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Аудит и система отчетности AU-12 Создание записей аудита Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Аудит и система отчетности AU-12 Создание записей аудита Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Аудит и система отчетности AU-12 Создание записей аудита Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0
Управление конфигурацией CM-7 (2) Минимальная функциональность | Предотвращение выполнения программы На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Управление конфигурацией CM-7 (5) Минимальная функциональность | Авторизованное программное обеспечение и список разрешений На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Управление конфигурацией CM-11 Программное обеспечение, установленное пользователем На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений 3.0.0
Планирование действий на непредвиденные случаи CP-7 Альтернативный сайт обработки Аудит виртуальных машин без аварийного восстановления 1.0.0
Идентификация и аутентификация IA-5 Управление структурой проверки подлинности Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация IA-5 Управление структурой проверки подлинности Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация IA-5 Управление структурой проверки подлинности Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd 1.0.0
Идентификация и аутентификация IA-5 Управление структурой проверки подлинности Аудит компьютеров Linux с учетными записями без паролей 1.0.0
Идентификация и аутентификация IA-5 Управление структурой проверки подлинности Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования 1.0.0
Идентификация и аутентификация IA-5 Управление структурой проверки подлинности Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux 1.0.0
Идентификация и аутентификация IA-5 Управление структурой проверки подлинности Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Аудит компьютеров с Windows с возможностью повторного использования прошлых 24 паролей 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Аудит компьютеров Windows, максимальный срок действия пароля на которых не равен 70 дням 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Аудит компьютеров Windows, минимальный срок действия пароля на которых не равен 1 дню 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Аудит компьютеров Windows без включенного параметра сложности пароля 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля 14 символами 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux 1.0.0
Идентификация и аутентификация IA-5 (1) Управление структурами проверки подлинности | Проверка подлинности на основе пароля Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows 1.0.0
Оценка угроз для безопасности RA-5 Сканирование уязвимостей Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Оценка угроз для безопасности RA-5 Сканирование уязвимостей Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Оценка угроз для безопасности RA-5 Сканирование уязвимостей Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Защита системы и средств передачи данных SC-7 Защита границ На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети 3.0.0
Защита системы и средств передачи данных SC-7 Защита границ Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. 3.0.0
Защита системы и средств передачи данных SC-7 (3) Защита границ | Точки доступа Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Защита системы и средств передачи данных SC-7 (4) Защита границ | Внешние телекоммуникационные службы Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети 3.0.0
Защита системы и средств передачи данных SC-8 (1) Конфиденциальность и целостность передаваемых данных | Шифрование или дополнительная физическая защита Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными 2.1.0
Защита системы и средств передачи данных SC-28 (1) Защита неактивных данных | Криптографическая защита На виртуальных машинах должно применяться шифрование дисков 2.0.0
Целостность системы и данных SI-2 Исправление ошибок Необходимо включить решение для оценки уязвимостей на виртуальных машинах 3.0.0
Целостность системы и данных SI-2 Исправление ошибок В масштабируемых наборах виртуальных машин должны быть установлены обновления системы 3.0.0
Целостность системы и данных SI-2 Исправление ошибок На компьютерах должны быть установлены обновления системы 4.0.0
Целостность системы и данных SI-2 Исправление ошибок Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены 3.0.0
Целостность системы и данных SI-2 Исправление ошибок Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. 3.0.0
Целостность системы и данных SI-3 Защита от вредоносного кода В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Целостность системы и данных SI-3 Защита от вредоносного кода Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Целостность системы и данных SI-3 (1) Защита от вредоносного кода | Централизованное управление В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection 3.0.0
Целостность системы и данных SI-3 (1) Защита от вредоносного кода | Централизованное управление Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure 3.0.0
Целостность системы и данных SI-4 Мониторинг информационной системы Проверка рабочей области Log Analytics для виртуальной машины — сообщение о несоответствии 1.0.1
Целостность системы и данных SI-4 Мониторинг информационной системы Агент Log Analytics должен быть включен для перечисленных образов виртуальных машин 2.0.0-preview
Целостность системы и данных SI-4 Мониторинг информационной системы Агент Log Analytics должен быть включен в масштабируемых наборах виртуальных машин для перечисленных образов виртуальных машин 2.0.0

Дальнейшие действия