Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
О контрольных показателях CIS
Центр интернет-безопасности — это некоммерческая организация, миссия которой заключается в том, чтобы "выявлять, разрабатывать, проверять, продвигать и поддерживать лучшие практические решения для киберзащиты". Он опирается на опыт специалистов по кибербезопасности и ИТ-специалистов из государственных организаций, бизнеса и научных кругов со всего мира. Для разработки стандартов и передовых методов, в том числе контрольных показателей CIS, средств управления и защищенных образов, они следуют консенсусной модели принятия решений.
Контрольные показатели CIS представляют собой базовые показатели конфигурации и рекомендации для безопасной настройки системы. Каждая из рекомендаций ссылается на один или несколько элементов управления CIS , которые помогают организациям улучшить свои возможности киберзащиты. Контрольные точки CIS соответствуют многим установленным стандартам и нормативным положениям, включая NIST Cybersecurity Framework (CSF) и NIST SP 800-53, серию стандартов ISO 27000, PCI DSS, HIPAA и другие.
Каждый контрольный показатель проходит два этапа консенсусного анализа. Первый этап происходит во время первоначальной разработки, когда эксперты собираются для обсуждения, создания и тестирования рабочих проектов, пока они не достигнут консенсуса по эталону. На втором этапе, после публикации эталонного теста, группа консенсуса рассматривает отзывы от интернет-сообщества для включения в эталонный показатель.
В контрольных показателях CIS предусмотрены два уровня настроек безопасности:
- Уровень 1 рекомендует основные базовые требования к безопасности, которые можно настроить в любой системе. Они должны привести к незначительному прерыванию работы службы или снижению функциональности.
- Уровень 2 рекомендует параметры безопасности для сред, требующих повышенной безопасности, что может привести к некоторому снижению функциональности.
CIS Hardened Images представляют собой надежно настроенные образы виртуальных машин на основе контрольных показателей CIS, защищенных до профиля контрольных точек CIS уровня 1 или уровня 2. Усиление защиты – это процесс, который помогает обеспечить защиту от несанкционированного доступа, отказа в обслуживании и других киберугроз путем ограничения потенциальных слабых мест, вследствие которых системы становятся уязвимыми для кибератак.
Майкрософт и контрольные показатели CIS
Центр интернет-безопасности (CIS) публикует тесты производительности для продуктов и служб Майкрософт, включая Microsoft Azure и Microsoft 365 Foundations Benchmarks, Windows 11 Benchmark и Windows Server 2022. Cis Microsoft Azure Foundations Benchmark предназначен для клиентов, которые планируют разрабатывать, развертывать, оценивать или защищать решения, включающие Azure. Документ содержит конкретные рекомендации по созданию безопасной базовой конфигурации для Azure.
Контрольные показатели CIS признаны во всем мире как стандарты безопасности для защиты ИТ-систем и данных от кибератак. Тысячи предприятий используют их для получения рекомендаций по созданию безопасной базовой конфигурации. Администраторы систем и приложений, специалисты по безопасности и другие специалисты, разрабатывающие решения с использованием продуктов и служб Майкрософт, могут использовать эти передовые методы для оценки и повышения безопасности своих приложений.
Как и все тесты CIS, тесты производительности Майкрософт были созданы с помощью процесса проверки на основе консенсуса на основе данных экспертов по темам с различным опытом, охватывающих разработку программного обеспечения, аудит и соответствие требованиям, исследования безопасности, операции, правительство и законодательство. Корпорация Майкрософт стала полноправным партнером в рамках таких усилий CIS. Например, Microsoft 365 был протестирован с перечисленными службами, а итоговая версия Microsoft 365 Foundations Benchmark охватывает широкий спектр рекомендаций по настройке соответствующих политик безопасности, которые охватывают учетные записи и проверку подлинности, управление данными, разрешения приложений, хранилище и другие области политики безопасности.
В дополнение к контрольным показателям для продуктов и служб Майкрософт, CIS опубликовал CIS Hardened Images, предназначенные для использования в Azure, настроенных для соответствия контрольным показателям CIS и доступных в Microsoft Azure Marketplace. Эти образы включают в себя защищенные образы CIS для Windows Server 2019 и Windows Server 2022 годах, а также многие версии Linux. Все CIS Hardened Images, доступные в Azure Marketplace, сертифицированы для работы в Microsoft Azure. Как говорится в сообщении CIS, "они предварительно протестированы на готовность и совместимость с общедоступным облаком Microsoft Azure, платформой Microsoft Cloud Platform, размещенной поставщиками услуг через сеть облачных ОС, и локальным частным облаком Windows Server развертываниями Hyper-V, управляемыми клиентами".
CIS Hardened Images представляют собой надежно настроенные образы виртуальных машин на основе контрольных показателей CIS, защищенных до профиля контрольных точек CIS уровня 1 или уровня 2. Усиление защиты – это процесс, который помогает обеспечить защиту от несанкционированного доступа, отказа в обслуживании и других киберугроз путем ограничения потенциальных слабых мест, вследствие которых системы становятся уязвимыми для кибератак. CIS Hardened Images доступны как в Azure, так и в Azure для государственных организаций.
Для дополнительной поддержки клиентов корпорация Майкрософт предоставляет Azure Blueprints — службу, которая помогает развертывать и обновлять облачные среды повторяющимся образом с использованием составляемых артефактов, таких как шаблоны Azure Resource Manager, для предоставления ресурсов, средств управления доступом на основе ролей и политик. Ресурсы, которые были предусмотрены в Azure Blueprints, соответствуют стандартам, шаблонам и требованиям организации. Главная цель Azure Blueprints состоит в том, чтобы помочь автоматизировать управление рисками соответствия требованиям и кибербезопасности в облачных средах. Чтобы помочь вам развернуть базовый набор политик для любой архитектуры на основе Azure, которая должна выполнять рекомендации контрольных показателей CIS для Azure, корпорация Майкрософт опубликовала Azure Blueprint для контрольных показателей CIS для Microsoft Azure. При назначении архитектуре Политика Azure оценивает ресурсы на соответствие назначенным определениям политик.
Microsoft in-область облачные платформы и службы
- Azure и Azure для государственных организаций
- Microsoft Office и Microsoft 365
- SQL Server
- Windows 11
- Windows Server 2022
Аудит, отчеты и сертификаты
Получить полный список контрольных показателей CIS для продуктов и служб Майкрософт.
- Контрольные показатели CIS для ключевых компонентов Azure
- Контрольные показатели CIS для Microsoft 365
- Windows 11 Benchmark
- Производительность Windows Server 2022
Методика реализации
- Контрольный показатель CIS для Azure: получите конкретные рекомендации по созданию безопасной базовой конфигурации для Azure.
- Схема обеспечения безопасности Microsoft 365: сведите к минимуму риск утечки данных или компрометации учетных записей, соблюдая эту схему.
- Базовые показатели безопасности Windows: следуйте этим рекомендациям, чтобы эффективно использовать базовые показатели безопасности в вашей организации.
- Сопроводительное руководство по контрольным точкам CIS Controls для облака: получите рекомендации по применению передовых методов безопасности в CIS Controls, версия 7 для облачных сред.
Вопросы и ответы
Будут ли параметры контрольных показателей CIS обеспечивать безопасность моих приложений?
Контрольные показатели CIS определяют базовый уровень безопасности для всех пользователей, в сферу охвата которых входят продукты и службы Майкрософт. Однако не рассматривайте их как исчерпывающий список всех возможных конфигураций и архитектуры безопасности, а как отправную точку. Каждая организация должна при этом оценивать свою конкретную ситуацию, рабочие нагрузки и соответствие требованиям и адаптировать свою среду соответствующим образом.
Как часто обновляются контрольные показатели CIS?
Выпуск пересмотренных контрольных показателей CIS изменяется в зависимости от разработавшего их сообщества ИТ-специалистов, а также от графика выпуска технологии, поддерживаемой контрольными точками. CIS распространяет ежемесячные отчеты, в которых объявляется о новых контрольных показателях и обновлениях для существующих контрольных показателей. Чтобы получить эти отчеты, зарегистрируйтесь в CIS Workbench (это бесплатно) и проверка Получать информационный бюллетень в своем профиле.
Кто внес вклад в разработку контрольных показателей CIS для Майкрософт?
В CIS отмечает, что "контрольные показатели разрабатываются благодаря бескорыстным усилиям волонтеров-экспертов в данной области, поставщиков технологий, членов сообщества CIS Benchmark из государственных и частных организаций, а также команды разработчиков CIS Benchmark". В частности, вы найдете список участников Azure в разделе Доступен контрольный показатель CIS для ключевых компонентов Microsoft Azure v1.0.0.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция на портале Microsoft Purview , которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- Документация Azure по соответствию требованиям
- Предложения Майкрософт для соответствия требованиям
- Соответствие требованиям в центре управления безопасностью Майкрософт
- Контрольные показатели CIS для Microsoft Azure предоставляют пошаговый контрольный список для обеспечения безопасности Azure.
- CIS Hardened Images в Microsoft Azure сертифицированы для Azure и предварительно настроены в соответствии с рекомендациями по безопасности контрольных показателей CIS. Они доступны как на Azure, так и на Azure для государственных организаций.
- Azure Blueprint для контрольных показателей CIS для Microsoft Azure помогают развертывать базовый набор политик для любой архитектуры на основе Azure, которая должна выполнять рекомендации контрольных показателей CIS для Azure.
- Сопоставление рекомендаций политики Azure предоставляет подробные сведения об определениях политик, включенных в приведенный выше Blueprint, и о том, как эти определения политик сопоставляются с доменами соответствия требованиям и элементами управления в контрольных показателях CIS для Microsoft Azure. При назначении архитектуре Политика Azure оценивает ресурсы на несоответствие назначенным определениям политик.
- Сопроводительное руководство по контрольным точкам CIS Controls для облака предоставляет рекомендации по применению передовых методов безопасности в CIS Controls, версия 7 для облачных сред.
- Контрольные показатели CIS для Microsoft 365 предоставляет конкретные рекомендации по созданию безопасной базовой конфигурации для Microsoft 365.
- Windows 11 общие сведения для администраторов
- Документация по безопасности Windows