Модель зрелости концепции "Нулевое доверие" CISA для столпа идентификации

Единый поставщик удостоверений (IdP) имеет решающее значение для эффективного управления доступом; он гарантирует пользователям и сущностям право доступа к ресурсам без чрезмерных разрешений. Интеграция решений управления удостоверениями, учетными данными и доступом создает надежную проверку подлинности, настраиваемую авторизацию на основе контекста и оценку рисков идентификации.

Управление по управлению и бюджету (OMB) Меморандум-22-09, выпущенное в поддержку исполнительного указа 14028: Улучшение кибербезопасности страны,, предписывает федеральным учреждениям использовать централизованные системы управления идентификацией для своих пользователей. Эти системы могут интегрироваться в приложения и общие платформы, обеспечивая единый подход к управлению удостоверениями. Это требование является частью стратегии нулевого доверия, которая повышает кибербезопасность и конфиденциальность данных. Мы рекомендуем объединение поставщиков удостоверений (IdP), хранилищ идентичностей и систем управления идентичностями, приняв Microsoft Entra ID в качестве IdP.

Дополнительные сведения см. в разделе О выполнении требований к удостоверениям M-22-09 с использованием Microsoft Entra ID.

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

1 Личность

В этом разделе содержатся рекомендации корпорации Майкрософт по Модели зрелости нулевого доверия CISA в идентификационном столпе. Агентство по кибербезопасности и безопасности инфраструктуры (CISA) & определяет удостоверение как атрибут или набор атрибутов, который однозначно описывает пользователя или сущность агентства, включая неперсонализированные сущности. Чтобы узнать больше, см. раздел «Защита идентичности с помощью нулевого доверия».

1.1 Функция: проверка подлинности

описание этапа CISA ZTMM рекомендации и указания Microsoft
состояние начальной зрелости

Предприятие проверяет подлинность удостоверения с помощью MFA, которая может использовать пароли как один из факторов и требует проверки нескольких атрибутов объекта (например, региональные настройки или действия). 
Microsoft Entra ID
Создайте основу идентификации, объединив поставщиков удостоверений и интегрировав Microsoft Entra ID в процесс каждого запроса доступа. При определении и переносе приложений в идентификатор Microsoft Entra реализуйте политику, которая требует интеграции новых приложений с идентификатором Microsoft Entra. Это действие гарантирует, что политики безопасности, такие как многофакторная проверка подлинности (MFA) и проверка атрибутов сущностей, применяются последовательно для доступа к ресурсам Enterprise. На протяжении 2024-2025 г. Корпорация Майкрософт развертывает принудительное применение MFA для порталов администрирования. Корпорация Майкрософт рекомендует учетным записям использовать МФА (мультифакторную аутентификацию).
- Перенос приложений и проверки подлинности в идентификатор Microsoft Entra ID
- Обязательный Microsoft Entra MFA
- Безопасность удостоверений с помощью принципов "Никому не доверяй"

Методы проверки подлинности Microsoft Entra
Включить методы MFA, разрешенные для предприятия, с помощью настроек политики в Microsoft Entra. Включите методы, которые пользователи выбирают или используют во время входа.
- Управление методами проверки подлинности
- Обзор Microsoft Entra MFA

Условный доступ Microsoft Entra
чтобы создать политику условного доступа, требующую MFA, для всех облачных приложений. Любой метод многофакторной аутентификации удовлетворяет требование "Требовать MFA" в Условном Доступе. Включите проверку нескольких атрибутов сущности, таких как локаль и активность. Используйте таргетирование приложения и условия сети.
- Включить многофакторную проверку подлинности
- Облачные приложения, действия и проверка подлинности в условном доступе
- Сеть в политике условного доступа

Внешний идентификатор Microsoft Entra
Требовать многофакторную проверку подлинности для всех пользователей, включая внешних гостей. Настройте параметры доверия для доступа между клиентами, чтобы улучшить взаимодействие с партнёрами.
Доступ между клиентами для совместной работы B2B

Расширенное состояние зрелости

Предприятие начинает аутентифицировать все удостоверения с использованием MFA, устойчивой к фишинговым атакам, и атрибутов, включая первоначальную реализацию MFA без использования паролей через FIDO2 или PIV.
идентификатор Microsoft Entra ID
Мигрируйте текущие приложения для использования Microsoft Entra ID в качестве поставщика удостоверений (IdP). Требуется интеграция с идентификатором Microsoft Entra для новых приложений. Включите приложения с использованием устаревших протоколов проверки подлинности с прокси-сервером приложения Microsoft Entra. Миграция на новую облачную платформу и управляемую аутентификацию от федеративных поставщиков удостоверений с помощью поэтапного внедрения. Эти действия гарантируют, что фишингозащищенная MFA применяется последовательно для доступа к корпоративным ресурсам.
- Перенос приложений и проверки подлинности в Microsoft Entra ID
- галерея приложений Microsoft Entra
- прокси приложения Microsoft Entra для публикации локальных приложений
- облачная проверка подлинности с поэтапным развертыванием

условный доступ
Настройте функции проверки подлинности для условного доступа, чтобы требовать устойчивый к фишингу MFA, включая безпарольный MFA, такие как ключи доступа Fast IDentity Online 2 (FIDO2) или проверку подлинности на основе сертификатов (CBA) с картами проверки личности (PIV).
преимущества проверки подлинности Microsoft Entra

методы проверки подлинности Microsoft Entra
Реализуйте политики проверки подлинности с методами, устойчивыми к фишингу, такими как ключи доступа в Microsoft Authenticator, Microsoft Entra CBA, Windows Hello для бизнеса и ключи доступа. См. также ключи безопасности FIDO2. Чтобы перевести пользователей с методов многофакторной аутентификации, не устойчивых к фишингу, исключите их из более слабых методов проверки подлинности.Методы проверки подлинности
-
- Microsoft Entra CBA
- вход с использованием ключа безопасности без пароля
- пароли в Authenticator
- Windows Hello для бизнеса
- Требования MFA M-22-09

Внешняя идентификация Microsoft Entra
Настроить политики доступа между клиентами для доверия MFA от партнеров. Разрешить внешним пользователям использовать методы проверки подлинности, устойчивые к фишингу, для доступа к ресурсам.
Межарендный доступ для B2B
оптимальное состояние зрелости

предприятие постоянно проверяет удостоверение личности с помощью многофакторной аутентификации, устойчивой к фишингу, а не только при первоначальном предоставлении доступа.
Условный доступ
политики условного доступа оцениваются непрерывно на протяжении сеанса пользователя. Настройте элементы управления сеансами для увеличения требуемой частоты входа в определенных условиях, например, когда пользователь или вход обнаруживаются как рискованные в системе Защита Microsoft Entra ID.
элементы управления сеансом

Непрерывная оценка доступа
Включите Непрерывную оценку доступа (CAE) для критических событий и проверки непрерывного доступа в режиме реального времени.
- Непрерывная Оценка Доступа
- CAE для Microsoft 365
- API с поддержкой CAE в приложениях

1.2 Функция: хранилища удостоверений

описание этапа CISA ZTMM рекомендации и указания Microsoft
начальное состояние зрелости

Предприятие использует сочетание самостоятельно управляемых хранилищ удостоверений и размещенных хранилищ удостоверений (например, облачные или другие корпоративные) с минимальной интеграцией между хранилищами, например, с использованием единого входа. 
идентификатор Microsoft Entra ID
Предприятия могут иметь приложения, интегрированные с несколькими хранилищами идентификационных данных и (или) поставщиками удостоверений (IdPs). Консолидируйте и внедрите Microsoft Entra ID в качестве корпоративного поставщика удостоверений. Планирование внедрения облачных технологий и снижение зависимостей от локальных пользовательских систем управления удостоверениями.
- Перенос удостоверения и доступа в Microsoft Entra ID
- Перенос приложений и проверки подлинности в Microsoft Entra ID

Инвентаризация приложений, пользователей, групп и устройств. Чёткий подсчёт хранилищ удостоверений. Включите хранилища удостоверений или ИДП, такие как службы федерации Active Directory (AD FS) или сторонние ИДП. Чтобы обеспечить согласованное обновление атрибутов пользователей, групп и устройств на разных платформах, синхронизируйте удостоверения между локальными доменными службами Active Directory (AD DS) и Microsoft Entra ID.
- Синхронизация Microsoft Entra Connect
- Microsoft Entra Cloud Sync
- единый вход (SSO)
- миграция приложений в Microsoft Entra ID
- интеграции Microsoft Entra с протоколами проверки подлинности

Microsoft Intune
устройства, присоединенные к текущему домену AD DS, с гибридной регистрацией Microsoft Entra. Чтобы модернизировать управление устройствами, избегайте присоединения новых рабочих станций к домену. Управление устройствами с помощью Microsoft Intune.
- подход с приоритетом облачных технологий
- гибридно-присоединенные устройства
- единого входа (SSO) в локальные ресурсы с присоединенными устройствами
- Microsoft Intune

состояние расширенной зрелости

Предприятие начинает безопасно консолидировать и интегрировать некоторые самоуправляемые и размещенные хранилища удостоверений. 
Microsoft Entra ID
Предприятие приняло Microsoft Entra ID в качестве хранилища удостоверений и поставщика удостоверений. Новые приложения интегрируются с идентификатором Microsoft Entra. Для миграции текущие приложения инвентаризации не интегрированы с идентификатором Microsoft Entra. Устаревшие приложения, которые не поддерживают современную проверку подлинности, могут использовать безопасный гибридный доступ (SHA) Microsoft Entra ID с прокси приложения Microsoft Entra. Для использования современных протоколов проверки подлинности, замены, рефакторинга или перенастройки приложений.
- галерея приложений Microsoft Entra
- Миграция приложений и аутентификация к Microsoft Entra ID

оптимальное состояние зрелости

Enterprise безопасно интегрирует свои хранилища удостоверений со всеми партнерами и в различных средах по мере необходимости. 
Microsoft Entra ID
миграция приложений в Microsoft Entra ID завершена. Для доступа к корпоративным ресурсам требуется аутентификация с использованием идентификатора Microsoft Entra.

Внешний идентификатор Microsoft Entra
Обеспечьте безопасное сотрудничество с помощью Внешнего идентификатора. Настройте синхронизацию между клиентами для уменьшения нагрузки ит-администратора. Обеспечение простого и автоматизированного взаимодействия с пользователем.
- внешний идентификатор
- синхронизация между арендаторами в Microsoft Entra ID

подготовка приложений Microsoft Entra
Для приложений с хранилищами удостоверений настройте подготовку приложений для управления удостоверениями и ролями.
- предоставление приложений
- локальной установки приложений
- приложение предоставления на основе API
- прокси Microsoft Entra для публикации локальных приложений

входящего предоставления кадровых данных Microsoft Entra HR
модернизировать с помощью предоставления удостоверений на основе кадровых данных. Создайте цифровые удостоверения личности на основе HR-системы, являющейся авторитетным источником для новых цифровых удостоверений. Подготовка часто начинается с этого момента. Используйте Microsoft Entra с локальными системами управления персоналом для создания и обновления пользователей в Active Directory или в Microsoft Entra ID.
Управление учетными записями на основе HR

Microsoft 365 для корпоративного использования
Используйте функцию мультитенантной организации в Microsoft Entra ID и Microsoft 365 для формирования группы арендаторов и оптимизации совместной работы между арендаторами внутри организации. Многопользовательские организации в Microsoft Entra ID и Microsoft 365 обеспечивают единый поиск людей, глобальный список адресов (GAL) и улучшенную Microsoft Teams совместную работу в нескольких организациях.
- возможности мультиарендной организации
- мультиарендных организаций в Microsoft 365

1.3 Функция: оценки рисков

описание этапа CISA ZTMM рекомендации и указания Microsoft
состояние начальной зрелости

Enterprise определяет риск идентификации с помощью ручных методов и статических правил для поддержки видимости. 
Предприятия могут вручную просматривать события безопасности и базовые показатели конфигурации.

Microsoft Entra ID
Использовать журналы Microsoft Entra для оценки аспектов клиента Microsoft Entra. Идентификатор Microsoft Entra имеет параметры для доступа к данным журнала действий и отчетам для различных сценариев.
- поток журналов активности для интеграции средств
- журналов действий с API Microsoft Graph
- Интеграция журналов действий
- журналы действий в режиме реального времени с Sentinel
- журналы действий и отчеты на портале Azure
- экспорт журналов действий для хранения и запросов

настройка параметров диагностики в Microsoft Entra ID для интеграции журналов с Azure Monitor. Потоковая передача журналов в концентратор событий или архивация журналов в учетной записи хранения.
Параметры диагностики

Статус расширенной зрелости

Enterprise определяет риск идентификации с помощью некоторого автоматизированного анализа и динамических правил для принятия решений о доступе и соответствующих реагирующих действий. 
Защита идентификаторов Защита Microsoft Entra ID
Настройка политик условного доступа Microsoft Entra, основанных на рисках для пользователей и риска входа. Настройте политики условного доступа с мерами реагирования на основе оценки влияния на пользователей. Например, высокий риск пользователей и входа в систему: блокировка доступа или настройка частоты сеанса входа. Используйте сильные стороны проверки подлинности, требующие карточки проверки личности (PIV) или методов проверки подлинности, устойчивых к фишингу.
- Защита Microsoft Entra ID
- политика регистрации MFA
- безопастные удостоверения рабочих нагрузок
- условный доступ на основе рисков

Microsoft Sentinel
оповещения Защита Microsoft Entra ID автоматически появляются в Microsoft Defender XDR. Подключите Microsoft Defender XDR к Microsoft Sentinel, чтобы улучшить видимость, обеспечить корреляцию с данными, не относящимися к XDR, увеличить срок хранения данных и более гибкую автоматизацию ответов.
- Defender XDR
- Подключите Defender XDR к Sentinel

Оптимальный уровень зрелости

. Компания определяет риск верификации личности в реальном времени на основе непрерывного анализа и динамических правил, обеспечивая постоянную защиту. 
Условный доступ
настройте контроль приложений для облачных приложений. Защитите устройства с помощью Microsoft Defender для конечной точки и включите Microsoft Defender для Office 365 для защиты от угроз по электронной почте, ссылок (URL-адресов), вложений файлов и средств совместной работы.
- мониторинг доступа к приложениям с помощью Defender для облачных приложений и идентификатора Microsoft Entra ID
- Развертывание Defender для конечной точки
- Развертывание Defender для Office 365

Управление внутренними рисками Microsoft Purview
Настроить управление внутренними рисками для обнаружения, изучения и принятия мер по вредоносным или случайным действиям. Используйте политики внутреннего риска для определения и выявления типов рисков. При необходимости действуйте по делам или передайте их на Microsoft Purview eDiscovery (Premium).
- Microsoft Purview
- Управление рисками инсайдеров
- Блокировка доступа с инсайдерскими рисками

Microsoft Defender для Endpoint, для Cloud Apps, и для Office, обнаруживают необычные действия и вносят сигналы о рисках для уровней риска пользователей и входа в Защита Microsoft Entra ID.

Обнаружения рисков.

1.4 Функция: управление доступом

описание этапа CISA ZTMM рекомендации и указания Microsoft
Первоначальный статус зрелости

Enterprise разрешает доступ, включая запросы привилегированного доступа, срок действия которых истекает после автоматической проверки. 
Microsoft Entra Условный Доступ
Настроить Условный Доступ для применения политики к использованию приложений. Условный доступ принимает сигналы из различных источников для авторизации доступа.
Условный доступ

система управления правами Microsoft Entra
Настройте пакеты доступа в системе управления правами для запросов доступа и рабочих процессов утверждения в ролях и группах, включая роли и группы с привилегиями. Настройте автоматизацию проверки доступа, включите настройку срока действия и удаление из групп и списков.
- управление предоставлением прав
- в пакетах управления предоставлением прав и доступа
- проверки доступа

расширенный статус зрелости

Предприятие разрешает доступ на основе необходимости и сеансов, включая запросы на привилегированный доступ, который адаптирован для конкретных действий и ресурсов. 
условный доступ
настроить условный доступ для авторизации доступа, включая доступ на основе сеансов. Целевые ресурсы, роли и привилегированные роли.
Conditional Access

Microsoft Entra Privileged Identity Manager
Настройте PIM для управления, контроля и мониторинга доступа к важным ресурсам, таким как пользовательские роли и группы. Настройка доступа к определенным действиям и ресурсам.
- Управление привилегированными идентификациями
- настраиваемых ролей Azure в PIM
- PIM для групп

управление привилегированным доступом Microsoft Purview
Настройка управления привилегированным доступом для детального управления доступом для выполнения задач привилегированными администраторами в Office 365.
- управление привилегированным доступом
- начало работы с PAM

оптимальное состояние зрелости

Enterprise использует автоматизацию для авторизации доступа по принципу "точно вовремя" и "достаточного уровня", адаптированного к индивидуальным действиям и потребностям конкретных ресурсов.
Управление Microsoft Entra ID
настройка пакетов доступа в Управление Microsoft Entra ID для автоматизации авторизации доступа по требованию (JIT) и минимально необходимого доступа (JEA), адаптированного к индивидуальным действиям и ресурсным потребностям. 
- управление правами
- пакеты доступа

1.5 Функция: видимость и аналитика

описание этапа CISA ZTMM рекомендации и указания Microsoft
Начальный уровень зрелости

Компания собирает журналы активности пользователей и сущностей, выполняет стандартный ручной анализ и некоторый автоматизированный анализ с ограниченной корреляцией между различными типами журналов. 
Microsoft Entra IDAzure Monitor
архивировать журналы Microsoft Entra в учетную запись хранения или интегрировать с Azure Monitor. Упростите выполнение рутинного ручного анализа с помощью Kusto Data Library и встроенных рабочих книг для удостоверений личности с корреляцией типов логов.
- Архивирование журналов действий в служба хранилища Azure
- Microsoft Entra мониторинг и работоспособность
- Интеграция журналов с журналами Azure Monitor
- Журналы действий и Log Analytics
- рабочие тетради Microsoft Entra

Расширенный статус зрелости
Компания выполняет автоматизированный анализ некоторых типов журналов действий пользователей и сущностей и увеличивает сбор данных для устранения пробелов в видимости.
Microsoft Entra ID, Microsoft Defender XDR, Microsoft Sentinel
запись журналов действий Microsoft Entra Identity и других категорий журналов удостоверений из параметров диагностики и Microsoft Defender XDR в решение для управления событиями безопасности (SIEM), например, Sentinel.
- мониторинг и работоспособность Microsoft Entra
- журналы входа в Microsoft Entra ID
- Microsoft Sentinel
- Подключить данные Microsoft Entra к Sentinel
- Defender для идентификации
- Подключить данные Defender XDR к Sentinel
- Defender для облачных приложений

оптимальное состояние зрелости
Enterprise обеспечивает полную видимость и осведомленность о ситуации на разных предприятиях путем автоматического анализа типов журналов действий пользователей, включая аналитику на основе поведения.
Защита Microsoft Entra ID
Включите защиту идентификаторов для отслеживания шаблонов поведения пользователей с целью оценки риска.  Настройте обнаружение рисков, связанных с инсайдерами, и интегрируйте с условным доступом.
- защита идентификаторов
- политики риска

Sentinel, обнаружение и реагирование на угрозы идентификации
правила аналитики Sentinel и их анализ событий почти в режиме реального времени, а также анализ журналов Microsoft Entra. Включите упреждающее определение и реагирование на события безопасности и риски с помощью расширенной аналитики, рабочих процессов управления инцидентами и интеграции аналитики угроз. Упрощение расследования инцидентов и повышение уровня безопасности предприятия.
- Правила аналитики обнаружения почти в режиме реального времени Microsoft Sentinel
-
- соединитель данных для анализа угроз
- Поведение пользователей и сущностей (UEBA)

1.6 Функция: автоматизация и оркестрация

описание этапа CISA ZTMM рекомендации и указания Microsoft
начальное состояние зрелости

Компания вручную координирует управление привилегированными и внешними удостоверениями и автоматизирует процесс управления непривилегированными пользователями и самоуправляемыми сущностями. 
Microsoft Entra Connect, Microsoft Entra Cloud Sync
С локальной службой Active Directory автоматизируйте управление непривилегированными пользователями с помощью Entra Connect и/или Entra Cloud Sync. Не синхронизируйте привилегированных пользователей из локальной службы Active Directory. На пути к принятию облачной идентификации управляйте пользователями без привилегий с помощью службы подготовки кадров Microsoft Entra.
- Microsoft Entra Connect версии 2
- Microsoft Entra Cloud Sync
- Защитить Microsoft 365 от локальных атак
- подготовки пользователей Microsoft Entra из облачного приложения HR

Расширенный статус зрелости

Enterprise вручную управляет привилегированными удостоверениями пользователей и автоматизирует управление оркестрацией всех удостоверений с интеграцией во всех средах. 
Подготовка приложений Microsoft Entra
С помощью подготовки приложений Microsoft Entra автоматизируйте оркестрацию удостоверений в таких средах, как поставщики облачных услуг или SaaS-приложения.
- развертывание приложений в
- системе управления удостоверениями между доменами (SCIM) в Microsoft Entra ID

Внешняя идентификация Microsoft Entra
Настройка межтенантной синхронизации для автоматизации оркестрации удостоверений в партнерских средах.
- External ID
- кросстенантная синхронизация в Microsoft Entra ID
- Настройка кросстенантной синхронизации

оптимальное состояние зрелости

"Enterprise" автоматизирует оркестрацию всех идентификаций с полной интеграцией во всех средах на основе поведения, регистрации и требований развертывания. 
Управление Microsoft Entra ID
На этом этапе оркестрация удостоверений завершена на стадии зрелости. См. расширенное состояние. Управление полномочиями Microsoft Entra реализуется для оркестрации управляемого доступа пользователя, приложений, ролей и групп. Завершите интеграцию удостоверений, настроив учетные записи привилегированных пользователей с помощью Управления привилегированными удостоверениями (PIM). Используйте рабочие процессы жизненного цикла для автоматизации перемещения между сценариями назначения, перемещения и увольнения.управление правами
-
- Сведения о PIM
- рабочих процессах жизненного цикла

1.7. Функция: управление

описание этапа CISA ZTMM рекомендации и указания Microsoft
начальное состояние зрелости

Предприятие определяет и начинает реализацию политик идентификации для обязательной реализации на уровне предприятия с использованием минимальной автоматизации и ручных обновлений. 
Microsoft Entra ID
Использовать Microsoft Entra ID в качестве поставщика удостоверений личности (IdP) для новых интеграций приложений. Перенос текущих приложений в идентификатор Microsoft Entra. Настройте политики условного доступа Microsoft Entra, чтобы обеспечить соблюдение корпоративных требований и быть точкой применения политик (PEP) для доступа к приложениям и ресурсам. Реализуйте авторизацию и сопоставление ролей для текущих и будущих приложений с помощью управления доступом на основе ролей (RBAC), сопоставления утверждений и исходящего предоставления.
- Управление идентификаторами Microsoft Entra ID
- условного доступа

расширенный уровень зрелости

Enterprise реализует политики удостоверений для принудительного применения на уровне предприятия с автоматизацией и периодическими обновлениями политик.
Условный доступ
используйте Условный доступ для применения политик идентификации на предприятии. Просмотрите и реализуйте рекомендации по идентификатору Microsoft Entra из проекта CISA Secure Cloud Business Applications (SCuBA)и автоматизируйте конфигурацию условного доступа с помощью API.
- развертывание условного доступа
- CISA SCuBA и Microsoft Entra ID
- тип ресурса conditionalAccessPolicy

оптимальное состояние зрелости

Enterprise реализует и полностью автоматизирует общекорпоративные политики идентификации для всех пользователей и объектов во всех системах с непрерывным применением и динамическими обновлениями. 
Microsoft Entra ID
Требовать, чтобы приложения использовали Microsoft Entra ID, для обеспечения оценки условного доступа. Используйте оценку непрерывного доступа Microsoft Entra ID (CAE) для применения политики практически в реальном времени и защиты удостоверения личности. Это действие обеспечивает динамическую адаптацию к экологическим рискам. Чтобы обеспечить непрерывную оценку, интегрируйте CAE в пользовательские приложения и API с кодом.
- непрерывная оценка доступа
- API с поддержкой CAE в приложениях
- Защита идентификаторов Microsoft Entra ID

Global Secure Access
Настроить настройки применения соответствия сети, чтобы снизить риск кражи токенов и атак воспроизведения. Внедрение политики работает со службами, поддерживающими ЦС. Приложение отклоняет украденные маркеры доступа, повторно использованные за пределами сети, соответствующей требованиям арендатора, почти в режиме реального времени.
- Глобальный безопасный доступ
- Интернет-доступ Microsoft Entra
- сетевая проверка на соответствие с Условным доступом

Дальнейшие действия

Настройте облачные службы Майкрософт для модели зрелости нулевого доверия CISA.