Standardy dodržování právních předpisů v Programu Microsoft Defender for Cloud
Microsoft Defender pro cloud zjednodušuje proces dodržování právních předpisů tím, že vám pomáhá identifikovat problémy, které vám brání splnit konkrétní standard dodržování předpisů nebo dosáhnout certifikace dodržování předpisů.
Oborové standardy, regulační standardy a srovnávací testy jsou reprezentovány v Programu Defender for Cloud jako standardy zabezpečení a zobrazují se na řídicím panelu dodržování právních předpisů .
Kontrolní mechanismy dodržování předpisů
Každý standard zabezpečení se skládá z několika kontrolních mechanismů dodržování předpisů, což jsou logické skupiny souvisejících doporučení zabezpečení.
Defender for Cloud průběžně vyhodnocuje rozsah prostředí proti všem kontrolním mechanismům dodržování předpisů, které je možné automaticky posoudit. Na základě posouzení zobrazuje prostředky jako vyhovující nebo nekompatibilní s ovládacími prvky.
Poznámka:
Je důležité si uvědomit, že pokud mají standardy kontrolní mechanismy dodržování předpisů, které se nedají automaticky posoudit, Defender for Cloud nedokáže rozhodnout, jestli je prostředek v souladu s kontrolou. V tomto případě se ovládací prvek zobrazí šedě. Kromě toho platí, že pokud předplatné nemá žádné relevantní prostředky pro konkrétní standard, nebude se standard vůbec zobrazovat na řídicím panelu dodržování právních předpisů, i když je přiřazený.
Zobrazení standardů dodržování předpisů
Řídicí panel dodržování právních předpisů poskytuje interaktivní přehled stavu dodržování předpisů.
Na řídicím panelu můžete:
- Získejte souhrn kontrol standardů, které byly předány.
- Získejte souhrn standardů, které mají nejnižší míru průchodu prostředků.
- Zkontrolujte standardy použité ve vybraném oboru.
- Zkontrolujte posouzení kontrol dodržování předpisů v rámci každého použitého standardu.
- Získejte souhrnnou sestavu pro konkrétní standard.
- Spravujte zásady dodržování předpisů, abyste viděli standardy přiřazené ke konkrétnímu oboru.
- Spuštění dotazu pro vytvoření vlastní sestavy dodržování předpisů
- Vytvořte "sešit dodržování předpisů v průběhu času", abyste mohli sledovat stav dodržování předpisů v průběhu času.
- Stáhněte si sestavy auditu.
- Zkontrolujte nabídky dodržování předpisů pro audity Microsoftu a třetích stran.
Standardní podrobnosti o dodržování předpisů
Pro každou normu dodržování předpisů můžete zobrazit:
- Rozsah standardního.
- Každý standard rozdělený do skupin ovládacích prvků a podřadičů.
- Když použijete standard pro obor, zobrazí se souhrn posouzení dodržování předpisů pro prostředky v rámci oboru pro každý standardní ovládací prvek.
- Stav posouzení odráží soulad se standardem. Existují tři stavy:
- Zelený kruh označuje, že prostředky v oboru odpovídají ovládacímu prvku.
- Červený kruh označuje, že prostředky nevyhovují ovládacímu prvku.
- Nedostupné ovládací prvky jsou ty, které nelze automaticky posoudit, a proto Defender for Cloud nemůže získat přístup k tomu, jestli jsou prostředky kompatibilní.
Můžete přejít k podrobnostem o ovládacích prvcích, abyste získali informace o prostředcích, které prošly nebo selhaly posouzení, a o nápravných krocích.
Výchozí standardy dodržování předpisů
Když ve výchozím nastavení povolíte Defender for Cloud, jsou povolené následující standardy:
- Pro Azure: Microsoft Cloud Security Benchmark (MCSB)
- AWS: Microsoft Cloud Security Benchmark (MCSB) a standard osvědčených postupů zabezpečení AWS Foundational Security.
- Pro GCP: Microsoft Cloud Security Benchmark (MCSB) a GCP Default.
Dostupné standardy dodržování předpisů
V programu Defender for Cloud jsou k dispozici následující standardy:
| Standardy | Cloudy |
|---|---|
| EU 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Obecné nařízení EU o ochraně osobních údajů (GDPR) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Ovládací prvky CIS v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| Srovnávací test CIS Google Cloud Platform Foundation | GCP |
| Srovnávací test CIS Azure Kubernetes Service (AKS) | Azure |
| Srovnávací test CIS Amazon Elastic Kubernetes Service (EKS) | AWS |
| Srovnávací test CIS Google Kubernetes Engine (GKE) | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| SWIFT Customer Security Controls Framework 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certifikace modelu vyspělosti kybernetické bezpečnosti (CMMC) úrovně 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Canada Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| CsA Cloud Controls Matrix v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Zásady zabezpečení informačních služeb trestního práva v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Brazilský obecný zákon o ochraně dat (LGPD) 2018 | Azure, AWS, GCP |
| NZISM v3.7 | Azure, AWS, GCP |
| Sarbanes Oxley Act 2022 (SOX) | Azure, AWS, GCP |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
| Australian Government ISM Protected | Azure |
| FedRAMP 'H' & 'M' | Azure |
| HIPAA | Azure |
| RMIT Malajsie | Azure |
| SOC 2 | Azure, GCP |
| Španělština ENS | Azure |
| California Consumer Privacy Act (CCPA) | AWS, GCP |
| UK OFFICIAL a UK NHS | Azure |
| Osvědčené postupy zabezpečení AWS Foundational | AWS |
| Profil CRI | AWS, GCP |
| NIST SP 800-172 | AWS, GCP |