Podrobnosti o integrované iniciativě SWIFT CSP-CSCF v2022 Pro dodržování právních předpisů

Článek
12/06/2024

Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy Dodržování právních předpisů Azure Policy mapuje na domény dodržování předpisů a ovládací prvky v SWIFT CSP-CSCF v2022. Další informace o tomto standardu dodržování předpisů najdete v tématu SWIFT CSP-CSCF v2022. Pokud chcete porozumět vlastnictví, projděte si typ zásad a sdílenou odpovědnost v cloudu.

Následující mapování jsou na ovládací prvky SWIFT CSP-CSCF v2022 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte integrovanou definici iniciativy SWIFT CSP-CSCF v2022 Pro dodržování právních předpisů.

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím

Zajistěte ochranu místní infrastruktury SWIFT uživatele před potenciálně ohroženými prvky obecného IT prostředí a externího prostředí.

ID: VLASTNICTVÍ SWIFT CSCF v2022 1.1: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall.	Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace	AuditIfNotExists, zakázáno	3.0.0-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači.	Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky.	AuditIfNotExists, zakázáno	3.0.0
Aplikace služby App Service by měly používat koncový bod služby virtuální sítě.	Pomocí koncových bodů služby virtuální sítě omezte přístup k vaší aplikaci z vybraných podsítí z virtuální sítě Azure. Další informace o koncových bodech služby App Service najdete v tématu https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, zakázáno	2.0.1
Služba Azure Key Vault by měla mít povolenou bránu firewall.	Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Odepřít, Zakázáno	3.2.1
Před vytvořením interních připojení zkontrolujte dodržování předpisů v oblasti ochrany osobních údajů a zabezpečení.	CMA_0053 – Před vytvořením interních připojení zkontrolujte dodržování předpisů v oblasti ochrany osobních údajů a zabezpečení.	Ručně, zakázáno	1.1.0
Zajištění konzistentního splnění zájmů zákazníků externími poskytovateli	CMA_C1592 – zajištění konzistentního splnění zájmů zákazníků externími poskytovateli	Ručně, zakázáno	1.1.0
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Předávání IP na virtuálním počítači by mělo být zakázané.	Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě.	AuditIfNotExists, zakázáno	3.0.0
Služba Key Vault by měla používat koncový bod služby virtuální sítě.	Tato zásada audituje všechny služby Key Vault, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě.	Audit, zakázáno	1.0.0
Služba Network Watcher by měla být povolená.	Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná.	AuditIfNotExists, zakázáno	3.0.0
Kontrola dodržování zásad a smluv poskytovatele cloudových služeb	CMA_0469 – Kontrola dodržování zásad a smluv poskytovatele cloudových služeb	Ručně, zakázáno	1.1.0
Účty úložiště by měly omezit přístup k síti	Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres.	Audit, Odepřít, Zakázáno	1.1.1
Účty úložiště by měly používat koncový bod služby virtuální sítě.	Tato zásada audituje všechny účty úložiště, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě.	Audit, zakázáno	1.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě.	Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě.	AuditIfNotExists, zakázáno	3.0.0
Projít nezávislou kontrolou zabezpečení	CMA_0515 – Projděte si nezávislou kontrolu zabezpečení	Ručně, zakázáno	1.1.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Zakázáno, Odepřít	1.1.0

Omezte a kontrolujte přidělování a používání účtů operačního systému na úrovni správce.

ID: VLASTNICTVÍ SWIFT CSCF v2022 1.2: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky.	Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem.	AuditIfNotExists, zakázáno	3.0.0
Audit privilegovaných funkcí	CMA_0019 – Audit privilegovaných funkcí	Ručně, zakázáno	1.1.0
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat.	Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení.	AuditIfNotExists, zakázáno	1.0.0
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat.	Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení.	AuditIfNotExists, zakázáno	1.0.0
Definování a vynucování podmínek pro sdílené účty a účty skupin	CMA_0117 – Definování a vynucování podmínek pro sdílené účty a účty skupin	Ručně, zakázáno	1.1.0
Návrh modelu řízení přístupu	CMA_0129 – Návrh modelu řízení přístupu	Ručně, zakázáno	1.1.0
Vývoj a vytvoření plánu zabezpečení systému	CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému	Ručně, zakázáno	1.1.0
Vývoj zásad a postupů zabezpečení informací	CMA_0158 – Vývoj zásad a postupů zabezpečení informací	Ručně, zakázáno	1.1.0
Využití přístupu s nejnižšími oprávněními	CMA_0212 – Využití přístupu s nejnižšími oprávněními	Ručně, zakázáno	1.1.0
Vytvoření programu ochrany osobních údajů	CMA_0257 – Vytvoření programu ochrany osobních údajů	Ručně, zakázáno	1.1.0
Stanovení požadavků na zabezpečení pro výrobu připojených zařízení	CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení	Ručně, zakázáno	1.1.0
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat.	Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu.	AuditIfNotExists, zakázáno	1.0.0
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat.	Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu.	AuditIfNotExists, zakázáno	1.0.0
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat.	Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu.	AuditIfNotExists, zakázáno	1.0.0
Implementace principů přípravy zabezpečení informačních systémů	CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů	Ručně, zakázáno	1.1.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.	Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení.	AuditIfNotExists, zakázáno	3.0.0
Monitorování aktivity účtu	CMA_0377 – Monitorování aktivity účtu	Ručně, zakázáno	1.1.0
Monitorování přiřazení privilegovaných rolí	CMA_0378 – Monitorování přiřazení privilegovaných rolí	Ručně, zakázáno	1.1.0
Omezení přístupu k privilegovaným účtům	CMA_0446 – Omezení přístupu k privilegovaným účtům	Ručně, zakázáno	1.1.0
Odvolání privilegovaných rolí podle potřeby	CMA_0483 – Odvolání privilegovaných rolí podle potřeby	Ručně, zakázáno	1.1.0
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník.	Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného.	AuditIfNotExists, zakázáno	3.0.0
Použití správy privilegovaných identit	CMA_0533 – Použití správy privilegovaných identit	Ručně, zakázáno	1.1.0

ID: VLASTNICTVÍ SWIFT CSCF v2022 1.3: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Audit virtuálních počítačů, které nepoužívají spravované disky	Tato zásada audituje virtuální počítače, které nevyužívají spravované disky.	audit	1.0.0
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0

Řízení/ochrana přístupu k internetu před počítači a systémy operátorů v rámci zabezpečené zóny.

ID: VLASTNICTVÍ SWIFT CSCF v2022 1.4: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall.	Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace	AuditIfNotExists, zakázáno	3.0.0-preview
Autorizace vzdáleného přístupu	CMA_0024 – Autorizace vzdáleného přístupu	Ručně, zakázáno	1.1.0
Definování kryptografického použití	CMA_0120 – Definování kryptografického použití	Ručně, zakázáno	1.1.0
Zdokumentujte a implementujte pokyny pro bezdrátový přístup	CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup	Ručně, zakázáno	1.1.0
Školení k dokumentování mobility	CMA_0191 – Školení k dokumentování mobility	Ručně, zakázáno	1.1.0
Zdokumentovat pokyny pro vzdálený přístup	CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	Ručně, zakázáno	1.1.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Ochrana bezdrátového přístupu	CMA_0411 – Ochrana bezdrátového přístupu	Ručně, zakázáno	1.1.0
Poskytnutí školení k ochraně osobních údajů	CMA_0415 – poskytování školení k ochraně osobních údajů	Ručně, zakázáno	1.1.0

Zajistěte ochranu infrastruktury připojení zákazníka před externím prostředím a potenciálně ohroženými prvky obecného IT prostředí.

ID: SWIFT CSCF v2022 1.5A Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall.	Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace	AuditIfNotExists, zakázáno	3.0.0-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači.	Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky.	AuditIfNotExists, zakázáno	3.0.0
Aplikace služby App Service by měly používat koncový bod služby virtuální sítě.	Pomocí koncových bodů služby virtuální sítě omezte přístup k vaší aplikaci z vybraných podsítí z virtuální sítě Azure. Další informace o koncových bodech služby App Service najdete v tématu https://aka.ms/appservice-vnet-service-endpoint.	AuditIfNotExists, zakázáno	2.0.1
Měla by být povolená služba Azure DDoS Protection.	Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou.	AuditIfNotExists, zakázáno	3.0.1
Služba Azure Key Vault by měla mít povolenou bránu firewall.	Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security	Audit, Odepřít, Zakázáno	3.2.1
Tok informací o řízení	CMA_0079 – tok informací o řízení	Ručně, zakázáno	1.1.0
Použití ochrany hranic k izolaci informačních systémů	CMA_C1639 – použití ochrany hranic k izolaci informačních systémů	Ručně, zakázáno	1.1.0
Použití mechanismů řízení toku zašifrovaných informací	CMA_0211 – využití mechanismů řízení toku zašifrovaných informací	Ručně, zakázáno	1.1.0
Využívání omezení propojení externích systémů	CMA_C1155 – zaměstnat omezení pro propojení externích systémů	Ručně, zakázáno	1.1.0
Vytvoření standardů konfigurace brány firewall a směrovače	CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače	Ručně, zakázáno	1.1.0
Vytvoření segmentace sítě pro datové prostředí držitelů karet	CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet	Ručně, zakázáno	1.1.0
Identifikace a správa výměn podřízených informací	CMA_0298 – Identifikace a správa výměn informací v podřízených	Ručně, zakázáno	1.1.0
Implementace spravovaného rozhraní pro každou externí službu	CMA_C1626 – Implementace spravovaného rozhraní pro každou externí službu	Ručně, zakázáno	1.1.0
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.	Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc	AuditIfNotExists, zakázáno	3.0.0
Předávání IP na virtuálním počítači by mělo být zakázané.	Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě.	AuditIfNotExists, zakázáno	3.0.0
Služba Key Vault by měla používat koncový bod služby virtuální sítě.	Tato zásada audituje všechny služby Key Vault, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě.	Audit, zakázáno	1.0.0
Služba Network Watcher by měla být povolená.	Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná.	AuditIfNotExists, zakázáno	3.0.0
Účty úložiště by měly omezit přístup k síti	Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres.	Audit, Odepřít, Zakázáno	1.1.1
Účty úložiště by měly používat koncový bod služby virtuální sítě.	Tato zásada audituje všechny účty úložiště, které nejsou nakonfigurované tak, aby používaly koncový bod služby virtuální sítě.	Audit, zakázáno	1.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě.	Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě.	AuditIfNotExists, zakázáno	3.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Zakázáno, Odepřít	1.1.0

2. Omezení prostoru pro útoky a ohrožení zabezpečení

ID: VLASTNICTVÍ SWIFT CSCF v2022 2.1: Sdílené

Minimalizujte výskyt známých technických ohrožení zabezpečení na počítačích operátorů a v rámci místní infrastruktury SWIFT zajištěním podpory dodavatelů, použitím povinných aktualizací softwaru a použitím včasných aktualizací zabezpečení v souladu s hodnoceným rizikem.

ID: VLASTNICTVÍ SWIFT CSCF v2022 2.2: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Auditování virtuálních počítačů s Windows s čekající restartováním	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač čeká na restartování z některého z následujících důvodů: údržba založená na komponentách, služba Windows Update, čekající přejmenování souboru, čekající přejmenování počítače, čekající na restartování správce konfigurace. Každá detekce má jedinečnou cestu registru.	auditIfNotExists	2.0.0
Korelace informací o kontrole ohrožení zabezpečení	CMA_C1558 – Korelace informací o kontrole ohrožení zabezpečení	Ručně, zakázáno	1.1.1
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Šíření výstrah zabezpečení pracovníkům	CMA_C1705 – Šíření výstrah zabezpečení pracovníkům	Ručně, zakázáno	1.1.0
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Použití automatizovaných mechanismů pro výstrahy zabezpečení	CMA_C1707 – Použití automatizovaných mechanismů pro výstrahy zabezpečení	Ručně, zakázáno	1.1.0

ID: VLASTNICTVÍ SWIFT CSCF v2022 2.3 : Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644	AuditIfNotExists, zakázáno	3.1.0
Auditovat počítače s Windows, které obsahují certifikáty, jejichž platnost vyprší během zadaného počtu dnů	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud certifikáty v zadaném úložišti mají datum vypršení platnosti pro počet dnů zadaných jako parametr. Tato zásada také nabízí možnost zkontrolovat pouze konkrétní certifikáty nebo vyloučit konkrétní certifikáty a jestli se mají hlásit certifikáty s vypršenou platností.	auditIfNotExists	2.0.0
Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování	AuditIfNotExists, zakázáno	2.0.0
Automatizace navrhovaných dokumentovaných změn	CMA_C1191 – Automatizace navrhovaných dokumentovaných změn	Ručně, zakázáno	1.1.0
Analýza dopadu na zabezpečení	CMA_0057 – Provedení analýzy dopadu na zabezpečení	Ručně, zakázáno	1.1.0
Konfigurace akcí pro zařízení nedodržující předpisy	CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy	Ručně, zakázáno	1.1.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem	Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Vývoj a údržba standardu správa ohrožení zabezpečení	CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Vývoj a údržba standardních konfigurací	CMA_0153 – Vývoj a údržba standardních konfigurací	Ručně, zakázáno	1.1.0
Vynucení nastavení konfigurace zabezpečení	CMA_0249 – Vynucení nastavení konfigurace zabezpečení	Ručně, zakázáno	1.1.0
Vytvoření řídicí desky konfigurace	CMA_0254 – Vytvoření řídicí desky konfigurace	Ručně, zakázáno	1.1.0
Vytvoření strategie řízení rizik	CMA_0258 – Vytvoření strategie řízení rizik	Ručně, zakázáno	1.1.0
Vytvoření a zdokumentování plánu správy konfigurace	CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace	Ručně, zakázáno	1.1.0
Vytvoření a řízení změn dokumentů	CMA_0265 – vytvoření a řízení změn dokumentů	Ručně, zakázáno	1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře	CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře	Ručně, zakázáno	1.1.0
Implementace automatizovaného nástroje pro správu konfigurace	CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace	Ručně, zakázáno	1.1.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.	Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení.	AuditIfNotExists, zakázáno	3.0.0
Posouzení dopadu ochrany osobních údajů	CMA_0387 – provedení posouzení dopadu ochrany osobních údajů	Ručně, zakázáno	1.1.0
Provedení posouzení rizik	CMA_0388 – provedení posouzení rizik	Ručně, zakázáno	1.1.0
Provedení auditu pro řízení změn konfigurace	CMA_0390 – provedení auditu řízení změn konfigurace	Ručně, zakázáno	1.1.0
Zachování předchozích verzí standardních konfigurací	CMA_C1181 – Zachování předchozích verzí standardních konfigurací	Ručně, zakázáno	1.1.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	Audit, Zakázáno, Odepřít	1.1.0

Zajistěte důvěrnost, integritu a vzájemnou pravost toků dat mezi místními nebo vzdálenými komponentami infrastruktury SWIFT a prvním směrováním back-office, ke kterým se připojují.

ID: VLASTNICTVÍ SWIFT CSCF v2022 2.4: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zálohování dokumentace k informačnímu systému	CMA_C1289 – Zálohování dokumentace k informačnímu systému	Ručně, zakázáno	1.1.0
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	Ručně, zakázáno	1.1.0
Vytvoření zásad a postupů zálohování	CMA_0268 – Vytvoření zásad a postupů zálohování	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0
Upozorňovat uživatele na přihlášení k systému nebo přístup	CMA_0382 – Upozorněte uživatele na přihlášení nebo přístup k systému	Ručně, zakázáno	1.1.0
Ochrana přenášených dat pomocí šifrování	CMA_0403 – Ochrana přenášených dat pomocí šifrování	Ručně, zakázáno	1.1.0
Ochrana hesel pomocí šifrování	CMA_0408 – Ochrana hesel pomocí šifrování	Ručně, zakázáno	1.1.0

Zabezpečení Tok dat back-office

ID: SWIFT CSCF v2022 2.4A Vlastnictví: Zákazník

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH.	I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, zakázáno	3.2.0
Proměnné účtu Automation by měly být šifrované.	Při ukládánícitlivýchch	Audit, Odepřít, Zakázáno	1.1.0
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly.	K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači.	AuditIfNotExists, zakázáno	4.1.1

ID: VLASTNICTVÍ SWIFT CSCF v2022 2.5: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zálohování dokumentace k informačnímu systému	CMA_C1289 – Zálohování dokumentace k informačnímu systému	Ručně, zakázáno	1.1.0
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	Ručně, zakázáno	1.1.0
Vytvoření zásad a postupů zálohování	CMA_0268 – Vytvoření zásad a postupů zálohování	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií	CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií	Ručně, zakázáno	1.1.0
Správa přepravy aktiv	CMA_0370 – správa přepravy aktiv	Ručně, zakázáno	1.1.0
Ochrana přenášených dat pomocí šifrování	CMA_0403 – Ochrana přenášených dat pomocí šifrování	Ručně, zakázáno	1.1.0
Ochrana hesel pomocí šifrování	CMA_0408 – Ochrana hesel pomocí šifrování	Ručně, zakázáno	1.1.0

Ochrana dat externího přenosu

ID: SWIFT CSCF v2022 2.5A Vlastnictví: Zákazník

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii	Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Audit virtuálních počítačů, které nepoužívají spravované disky	Tato zásada audituje virtuální počítače, které nevyužívají spravované disky.	audit	1.0.0
Proměnné účtu Automation by měly být šifrované.	Při ukládánícitlivýchch	Audit, Odepřít, Zakázáno	1.1.0
Pro virtuální počítače by měla být povolená služba Azure Backup.	Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure.	AuditIfNotExists, zakázáno	3.0.0
Pro účty úložiště by mělo být povolené geograficky redundantní úložiště.	Použití geografické redundance k vytváření vysoce dostupných aplikací	Audit, zakázáno	1.0.0
Zabezpečený přenos do účtů úložiště by měl být povolený.	Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace.	Audit, Odepřít, Zakázáno	2.0.0

ID: VLASTNICTVÍ SWIFT CSCF v2022 2.6: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Autorizace vzdáleného přístupu	CMA_0024 – Autorizace vzdáleného přístupu	Ručně, zakázáno	1.1.0
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	Ručně, zakázáno	1.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Zdokumentujte a implementujte pokyny pro bezdrátový přístup	CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup	Ručně, zakázáno	1.1.0
Školení k dokumentování mobility	CMA_0191 – Školení k dokumentování mobility	Ručně, zakázáno	1.1.0
Zdokumentovat pokyny pro vzdálený přístup	CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup	Ručně, zakázáno	1.1.0
Identifikace a ověřování síťových zařízení	CMA_0296 – Identifikace a ověřování síťových zařízení	Ručně, zakázáno	1.1.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit	Ručně, zakázáno	1.1.0
Ochrana přenášených dat pomocí šifrování	CMA_0403 – Ochrana přenášených dat pomocí šifrování	Ručně, zakázáno	1.1.0
Ochrana hesel pomocí šifrování	CMA_0408 – Ochrana hesel pomocí šifrování	Ručně, zakázáno	1.1.0
Ochrana bezdrátového přístupu	CMA_0411 – Ochrana bezdrátového přístupu	Ručně, zakázáno	1.1.0
Poskytnutí školení k ochraně osobních údajů	CMA_0415 – poskytování školení k ochraně osobních údajů	Ručně, zakázáno	1.1.0
Opětovné ověření nebo ukončení uživatelské relace	CMA_0421 – Opětovné ověření nebo ukončení uživatelské relace	Ručně, zakázáno	1.1.0
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly.	K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači.	AuditIfNotExists, zakázáno	4.1.1
Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Interaktivní přihlášení	Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Interaktivní přihlášení pro zobrazení příjmení a vyžadování ctrl-alt-del. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol.	AuditIfNotExists, zakázáno	3.0.0

Identifikujte známá ohrožení zabezpečení v místním prostředí SWIFT implementací běžného procesu kontroly ohrožení zabezpečení a reakce na výsledky.

ID: VLASTNICTVÍ SWIFT CSCF v2022 2.7 : Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.	Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás.	AuditIfNotExists, zakázáno	3.0.0
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Korelace informací o kontrole ohrožení zabezpečení	CMA_C1558 – Korelace informací o kontrole ohrožení zabezpečení	Ručně, zakázáno	1.1.1
Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení	CMA_C1555 – Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Začlenění nápravy chyb do správy konfigurace	CMA_C1671 – Začlenění nápravy chyb do správy konfigurace	Ručně, zakázáno	1.1.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Sledování a hlášení slabých míst zabezpečení	CMA_0384 – sledování a hlášení slabých stránek zabezpečení	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Modelování hrozeb	CMA_0392 – modelování hrozeb	Ručně, zakázáno	1.1.0
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích.	Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení.	AuditIfNotExists, zakázáno	3.1.0

Zajištění konzistentního a efektivního přístupu pro monitorování zpráv zákazníků

ID: SWIFT CSCF v2022 2.8.5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Posouzení rizika v relacích třetích stran	CMA_0014 – Posouzení rizika v relacích třetích stran	Ručně, zakázáno	1.1.0
Definování a zdokumentujte dohled nad státní správou	CMA_C1587 – Definování a dokument vládní dohled	Ručně, zakázáno	1.1.0
Definování požadavků na dodávky zboží a služeb	CMA_0126 – Definování požadavků na dodávky zboží a služeb	Ručně, zakázáno	1.1.0
Určení závazků dodavatelů	CMA_0140 – Určení závazků dodavatelů	Ručně, zakázáno	1.1.0
Stanovení zásad pro řízení rizik dodavatelského řetězce	CMA_0275 – Vytvoření zásad pro řízení rizik dodavatelského řetězce	Ručně, zakázáno	1.1.0
Vyžadovat, aby externí poskytovatelé služeb splňovali požadavky na zabezpečení	CMA_C1586 – Vyžadovat, aby externí poskytovatelé služeb splňovali požadavky na zabezpečení	Ručně, zakázáno	1.1.0
Kontrola dodržování zásad a smluv poskytovatele cloudových služeb	CMA_0469 – Kontrola dodržování zásad a smluv poskytovatele cloudových služeb	Ručně, zakázáno	1.1.0
Projít nezávislou kontrolou zabezpečení	CMA_0515 – Projděte si nezávislou kontrolu zabezpečení	Ručně, zakázáno	1.1.0

Zajistěte ochranu místní infrastruktury SWIFT před riziky vystavenými externím externím zajišťováním kritických činností.

ID: VLASTNICTVÍ SWIFT CSCF v2022 2.8A: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Určení závazků dodavatelů	CMA_0140 – Určení závazků dodavatelů	Ručně, zakázáno	1.1.0
Kritéria přijetí smlouvy o pořízení dokumentu	CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu	Ručně, zakázáno	1.1.0
Ochrana osobních údajů v kupních smlouvách	CMA_0194 - Ochrana osobních údajů v kupních smlouvách	Ručně, zakázáno	1.1.0
Ochrana informací o zabezpečení ve smlouvách o pořízení	CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách	Ručně, zakázáno	1.1.0
Požadavky na dokument pro použití sdílených dat v kontraktech	CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách	Ručně, zakázáno	1.1.0
Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách	CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv	Ručně, zakázáno	1.1.0
Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání	CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání	Ručně, zakázáno	1.1.0
Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání	CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání	Ručně, zakázáno	1.1.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách	CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv	Ručně, zakázáno	1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích.	CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení	Ručně, zakázáno	1.1.0
Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran.	CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran.	Ručně, zakázáno	1.1.0

Zajistěte aktivitu odchozích transakcí v rámci očekávaných mezí normálního podnikání.

ID: VLASTNICTVÍ SWIFT CSCF v2022 2.9: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Autorizace, monitorování a řízení voip	CMA_0025 – Autorizace, monitorování a řízení voip	Ručně, zakázáno	1.1.0
Tok informací o řízení	CMA_0079 – tok informací o řízení	Ručně, zakázáno	1.1.0
Použití mechanismů řízení toku zašifrovaných informací	CMA_0211 – využití mechanismů řízení toku zašifrovaných informací	Ručně, zakázáno	1.1.0
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0
Správa bran	CMA_0363 – Správa bran	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Směrování provozu přes spravované síťové přístupové body	CMA_0484 – Směrování provozu přes spravované síťové přístupové body	Ručně, zakázáno	1.1.0

Omezte aktivitu transakcí na ověřené a schválené obchodní protistrany.

ID: SWIFT CSCF v2022 2.11A Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím	CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím	Ručně, zakázáno	1.1.0
Autorizace a správa přístupu	CMA_0023 – Autorizace a správa přístupu	Ručně, zakázáno	1.1.0
Návrh modelu řízení přístupu	CMA_0129 – Návrh modelu řízení přístupu	Ručně, zakázáno	1.1.0
Využití přístupu s nejnižšími oprávněními	CMA_0212 – Využití přístupu s nejnižšími oprávněními	Ručně, zakázáno	1.1.0
Vynucení logického přístupu	CMA_0245 – vynucení logického přístupu	Ručně, zakázáno	1.1.0
Vynucení povinných a volitelných zásad řízení přístupu	CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu	Ručně, zakázáno	1.1.0
Podle potřeby znovu přiřaďte nebo odeberte uživatelská oprávnění.	CMA_C1040 – podle potřeby znovu přiřadit nebo odebrat uživatelská oprávnění	Ručně, zakázáno	1.1.0
Vyžadovat schválení pro vytvoření účtu	CMA_0431 – Vyžadování schválení pro vytvoření účtu	Ručně, zakázáno	1.1.0
Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům	CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům	Ručně, zakázáno	1.1.0
Kontrola uživatelských oprávnění	CMA_C1039 – Kontrola uživatelských oprávnění	Ručně, zakázáno	1.1.0

3. Fyzické zabezpečení prostředí

Zabraňte neoprávněnému fyzickému přístupu k citlivým zařízením, prostředím na pracovišti, hostitelským webům a úložišti.

ID: VLASTNICTVÍ SWIFT CSCF v2022 3.1: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Audit virtuálních počítačů, které nepoužívají spravované disky	Tato zásada audituje virtuální počítače, které nevyužívají spravované disky.	audit	1.0.0
Řízení fyzického přístupu	CMA_0081 – řízení fyzického přístupu	Ručně, zakázáno	1.1.0
Definování procesu správy fyzických klíčů	CMA_0115 – Definování procesu správy fyzických klíčů	Ručně, zakázáno	1.1.0
Vytvoření a údržba inventáře aktiv	CMA_0266 – Vytvoření a údržba inventáře prostředků	Ručně, zakázáno	1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0
Instalace alarmového systému	CMA_0338 – Instalace alarmového systému	Ručně, zakázáno	1.1.0
Správa zabezpečeného systému kamerového dohledu	CMA_0354 – Správa zabezpečeného systému kamer s dohledem	Ručně, zakázáno	1.1.0
Kontrola a aktualizace fyzických a environmentálních politik a postupů	CMA_C1446 – kontrola a aktualizace fyzických a environmentálních politik a postupů	Ručně, zakázáno	1.1.0

4. Zabránit ohrožení zabezpečení přihlašovacích údajů

Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel.

ID: VLASTNICTVÍ SWIFT CSCF v2022 4.1: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel	AuditIfNotExists, zakázáno	3.1.0
Auditování počítačů s Linuxem, které mají účty bez hesel	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel	AuditIfNotExists, zakázáno	3.1.0
Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel.	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24	AuditIfNotExists, zakázáno	2.1.0
Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů.	AuditIfNotExists, zakázáno	2.1.0
Auditovat počítače s Windows, které nemají nastavený minimální věk hesla na zadaný počet dnů	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, u kterých není nastavený minimální věk hesla nastavený na zadaný počet dní. Výchozí hodnota pro minimální stáří hesla je 1 den.	AuditIfNotExists, zakázáno	2.1.0
Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla	AuditIfNotExists, zakázáno	2.0.0
Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků.	AuditIfNotExists, zakázáno	2.1.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem	Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách	CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv	Ručně, zakázáno	1.1.0
Vytvoření zásady hesel	CMA_0256 – Vytvoření zásad hesel	Ručně, zakázáno	1.1.0
Vytvoření typů a procesů authenticatoru	CMA_0267 – Vytvoření typů a procesů ověřování	Ručně, zakázáno	1.1.0
Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami	CMA_0321 – Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami	Ručně, zakázáno	1.1.0
Správa doby života a opakovaného použití authenticatoru	CMA_0355 – Správa doby života a opakovaného použití ověřovacího programu	Ručně, zakázáno	1.1.0
Ochrana hesel pomocí šifrování	CMA_0408 – Ochrana hesel pomocí šifrování	Ručně, zakázáno	1.1.0

ID: VLASTNICTVÍ SWIFT CSCF v2022 4.2: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování.	Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků.	AuditIfNotExists, zakázáno	1.0.0
Přijetí biometrických mechanismů ověřování	CMA_0005 – přijetí biometrických mechanismů ověřování	Ručně, zakázáno	1.1.0
Identifikace a ověřování síťových zařízení	CMA_0296 – Identifikace a ověřování síťových zařízení	Ručně, zakázáno	1.1.0

5. Správa identit a oddělení oprávnění

Vynucujte zásady zabezpečení přístupu, nejnižších oprávnění a oddělení povinností pro účty operátorů.

ID: VLASTNICTVÍ SWIFT CSCF v2022 5.1: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky.	Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem.	AuditIfNotExists, zakázáno	3.0.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přiřazení správců účtů	CMA_0015 – Přiřazení správců účtů	Ručně, zakázáno	1.1.0
Audit stavu uživatelského účtu	CMA_0020 – Audit stavu uživatelského účtu	Ručně, zakázáno	1.1.0
Auditovat počítače s Windows, které obsahují certifikáty, jejichž platnost vyprší během zadaného počtu dnů	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud certifikáty v zadaném úložišti mají datum vypršení platnosti pro počet dnů zadaných jako parametr. Tato zásada také nabízí možnost zkontrolovat pouze konkrétní certifikáty nebo vyloučit konkrétní certifikáty a jestli se mají hlásit certifikáty s vypršenou platností.	auditIfNotExists	2.0.0
Automatizace správy účtů	CMA_0026 – Automatizace správy účtů	Ručně, zakázáno	1.1.0
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat.	Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení.	AuditIfNotExists, zakázáno	1.0.0
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat.	Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení.	AuditIfNotExists, zakázáno	1.0.0
Definování autorizací přístupu pro podporu oddělení povinností	CMA_0116 – Definování autorizací přístupu pro podporu oddělení povinností	Ručně, zakázáno	1.1.0
Definování typů účtů informačního systému	CMA_0121 – definování typů účtů informačního systému	Ručně, zakázáno	1.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Návrh modelu řízení přístupu	CMA_0129 – Návrh modelu řízení přístupu	Ručně, zakázáno	1.1.0
Zakázání ověřovacích modulů po ukončení	CMA_0169 – Zakázání ověřovacích modulů po ukončení	Ručně, zakázáno	1.1.0
Oprávnění k přístupu k dokumentům	CMA_0186 – oprávnění k přístupu k dokumentům	Ručně, zakázáno	1.1.0
Dokument oddělení povinností	CMA_0204 – dokument oddělení povinností	Ručně, zakázáno	1.1.0
Využití přístupu s nejnižšími oprávněními	CMA_0212 – Využití přístupu s nejnižšími oprávněními	Ručně, zakázáno	1.1.0
Vytvoření podmínek pro členství v rolích	CMA_0269 – Vytvoření podmínek pro členství v rolích	Ručně, zakázáno	1.1.0
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat.	Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu.	AuditIfNotExists, zakázáno	1.0.0
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat.	Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu.	AuditIfNotExists, zakázáno	1.0.0
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat.	Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu.	AuditIfNotExists, zakázáno	1.0.0
Správa účtů systému a správců	CMA_0368 – Správa účtů systému a správců	Ručně, zakázáno	1.1.0
Monitorování přístupu v celé organizaci	CMA_0376 – Monitorování přístupu v celé organizaci	Ručně, zakázáno	1.1.0
Monitorování aktivity účtu	CMA_0377 – Monitorování aktivity účtu	Ručně, zakázáno	1.1.0
Upozornit, když účet není potřeba	CMA_0383 – Upozornit, když účet není potřeba	Ručně, zakázáno	1.1.0
Ochrana informací o auditu	CMA_0401 – Ochrana informací o auditu	Ručně, zakázáno	1.1.0
Podle potřeby znovu přiřaďte nebo odeberte uživatelská oprávnění.	CMA_C1040 – podle potřeby znovu přiřadit nebo odebrat uživatelská oprávnění	Ručně, zakázáno	1.1.0
Vyžadovat schválení pro vytvoření účtu	CMA_0431 – Vyžadování schválení pro vytvoření účtu	Ručně, zakázáno	1.1.0
Omezení přístupu k privilegovaným účtům	CMA_0446 – Omezení přístupu k privilegovaným účtům	Ručně, zakázáno	1.1.0
Kontrola protokolů zřizování účtů	CMA_0460 – Kontrola protokolů zřizování účtů	Ručně, zakázáno	1.1.0
Kontrola uživatelských účtů	CMA_0480 – Kontrola uživatelských účtů	Ručně, zakázáno	1.1.0
Kontrola uživatelských oprávnění	CMA_C1039 – Kontrola uživatelských oprávnění	Ručně, zakázáno	1.1.0
Odvolání privilegovaných rolí podle potřeby	CMA_0483 – Odvolání privilegovaných rolí podle potřeby	Ručně, zakázáno	1.1.0
Samostatné povinnosti jednotlivců	CMA_0492 - samostatné povinnosti jednotlivců	Ručně, zakázáno	1.1.0
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník.	Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného.	AuditIfNotExists, zakázáno	3.0.0

Zajistěte správnou správu, sledování a použití připojeného a odpojeného hardwarového ověřování nebo osobních tokenů (při použití tokenů).

ID: VLASTNICTVÍ SWIFT CSCF v2022 5.2: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Distribuce ověřovacích modulů	CMA_0184 – Distribuce ověřovacích modulů	Ručně, zakázáno	1.1.0
Vytvoření typů a procesů authenticatoru	CMA_0267 – Vytvoření typů a procesů ověřování	Ručně, zakázáno	1.1.0
Vytvoření postupů pro počáteční distribuci ověřovacího objektu	CMA_0276 – Vytvoření postupů pro počáteční distribuci ověřovacího objektu	Ručně, zakázáno	1.1.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.	Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení.	AuditIfNotExists, zakázáno	3.0.0
Ověření identity před distribucí ověřovacích modulů	CMA_0538 – Ověření identity před distribucí ověřovacích modulů	Ručně, zakázáno	1.1.0

V rozsahu povoleném a praktičtějším zajistíte důvěryhodnost zaměstnanců, kteří provozují místní prostředí SWIFT, prováděním pravidelného prověřování zaměstnanců.

ID: SWIFT CSCF v2022 5.3A Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vymazat pracovníky s přístupem k klasifikovaným informacím	CMA_0054 – Vymazat pracovníky s přístupem k klasifikovaným informacím	Ručně, zakázáno	1.1.0
Ujistěte se, že jsou smlouvy o přístupu podepsány nebo odstoupit včas.	CMA_C1528 – zajištění, že jsou smlouvy o přístupu podepsány nebo odstoupit včas	Ručně, zakázáno	1.1.0
Implementace kontroly pracovníků	CMA_0322 – implementace kontroly pracovníků	Ručně, zakázáno	1.1.0
Ochrana speciálních informací	CMA_0409 – Ochrana speciálních informací	Ručně, zakázáno	1.1.0
Opakované zobrazení jednotlivců s definovanou frekvencí	CMA_C1512 – přeobrazovek jednotlivců s definovanou frekvencí	Ručně, zakázáno	1.1.0

Chraňte fyzicky a logicky úložiště zaznamenaných hesel.

ID: SWIFT CSCF v2022 5.4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování	Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování	AuditIfNotExists, zakázáno	2.0.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách	CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv	Ručně, zakázáno	1.1.0
Vytvoření zásady hesel	CMA_0256 – Vytvoření zásad hesel	Ručně, zakázáno	1.1.0
Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami	CMA_0321 – Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami	Ručně, zakázáno	1.1.0
Trezory klíčů by měly mít povolenou ochranu před odstraněním.	Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění.	Audit, Odepřít, Zakázáno	2.1.0
Ochrana hesel pomocí šifrování	CMA_0408 – Ochrana hesel pomocí šifrování	Ručně, zakázáno	1.1.0

6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech

Zajistěte, aby byla místní infrastruktura SWIFT chráněná proti malwaru a aby fungovala s výsledky.

ID: VLASTNICTVÍ SWIFT CSCF v2022 6.1: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Audit privilegovaných funkcí	CMA_0019 – Audit privilegovaných funkcí	Ručně, zakázáno	1.1.0
Audit stavu uživatelského účtu	CMA_0020 – Audit stavu uživatelského účtu	Ručně, zakázáno	1.1.0
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB	CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB	Ručně, zakázáno	1.1.0
Korelace záznamů auditu	CMA_0087 – Korelace záznamů auditu	Ručně, zakázáno	1.1.0
Korelace informací o kontrole ohrožení zabezpečení	CMA_C1558 – Korelace informací o kontrole ohrožení zabezpečení	Ručně, zakázáno	1.1.1
Určení auditovatelných událostí	CMA_0137 – Určení auditovatelných událostí	Ručně, zakázáno	1.1.0
Stanovení požadavků na kontrolu auditu a vytváření sestav	CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav	Ručně, zakázáno	1.1.0
Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení	CMA_C1555 – Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Integrace kontroly auditu, analýzy a generování sestav	CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav	Ručně, zakázáno	1.1.0
Integrace zabezpečení cloudových aplikací se siem	CMA_0340 – Integrace zabezpečení cloudových aplikací se siem	Ručně, zakázáno	1.1.0
Správa bran	CMA_0363 – Správa bran	Ručně, zakázáno	1.1.0
Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany.	Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft.	AuditIfNotExists, zakázáno	1.0.0
Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows	Tyto zásady auditují všechny virtuální počítače s Windows Serverem bez nasazených rozšíření Microsoft IaaSAntimalware.	AuditIfNotExists, zakázáno	1.1.0
Sledování a hlášení slabých míst zabezpečení	CMA_0384 – sledování a hlášení slabých stránek zabezpečení	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Modelování hrozeb	CMA_0392 – modelování hrozeb	Ručně, zakázáno	1.1.0
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Kontrola protokolů zřizování účtů	CMA_0460 – Kontrola protokolů zřizování účtů	Ručně, zakázáno	1.1.0
Týdenní kontrola přiřazení správců	CMA_0461 – týdenní kontrola přiřazení správců	Ručně, zakázáno	1.1.0
Kontrola dat auditu	CMA_0466 – Kontrola dat auditu	Ručně, zakázáno	1.1.0
Přehled sestavy cloudových identit	CMA_0468 – Přehled sestav cloudových identit	Ručně, zakázáno	1.1.0
Kontrola událostí přístupu k řízeným složkům	CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce	Ručně, zakázáno	1.1.0
Kontrola událostí ochrany zneužití	CMA_0472 – Kontrola událostí ochrany zneužití	Ručně, zakázáno	1.1.0
Kontrola aktivity souborů a složek	CMA_0473 – Kontrola aktivity souborů a složek	Ručně, zakázáno	1.1.0
Týdenní kontrola detekce malwaru	CMA_0475 – týdenní kontrola zpráv o detekcích malwaru	Ručně, zakázáno	1.1.0
Týdenní kontrola změn skupin rolí	CMA_0476 – týdenní kontrola změn skupin rolí	Ručně, zakázáno	1.1.0
Aktualizace definic antivirového softwaru	CMA_0517 – Aktualizace definic antivirové ochrany	Ručně, zakázáno	1.1.0
Ověření integrity softwaru, firmwaru a informací	CMA_0542 – Ověření integrity softwaru, firmwaru a informací	Ručně, zakázáno	1.1.0

ID: VLASTNICTVÍ SWIFT CSCF v2022 6.2: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů	Ručně, zakázáno	1.1.0
Použití automatického vypnutí/restartování při zjištění porušení	CMA_C1715 – Použití automatického vypnutí/restartování při zjištění porušení	Ručně, zakázáno	1.1.0
Ochrana přenášených dat pomocí šifrování	CMA_0403 – Ochrana přenášených dat pomocí šifrování	Ručně, zakázáno	1.1.0
Ochrana hesel pomocí šifrování	CMA_0408 – Ochrana hesel pomocí šifrování	Ručně, zakázáno	1.1.0
Ověření integrity softwaru, firmwaru a informací	CMA_0542 – Ověření integrity softwaru, firmwaru a informací	Ručně, zakázáno	1.1.0
Zobrazení a konfigurace diagnostických dat systému	CMA_0544 – Zobrazení a konfigurace diagnostických dat systému	Ručně, zakázáno	1.1.0

Zajistěte integritu záznamů databáze pro rozhraní pro zasílání zpráv SWIFT nebo konektor zákazníka a zareagujte na výsledky.

ID: VLASTNICTVÍ SWIFT CSCF v2022 6.3: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Ověření integrity softwaru, firmwaru a informací	CMA_0542 – Ověření integrity softwaru, firmwaru a informací	Ručně, zakázáno	1.1.0
Zobrazení a konfigurace diagnostických dat systému	CMA_0544 – Zobrazení a konfigurace diagnostických dat systému	Ručně, zakázáno	1.1.0

Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT.

ID: VLASTNICTVÍ SWIFT CSCF v2022 6.4: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics.	Hlásí virtuální počítače jako nevyhovující, pokud image virtuálního počítače není v seznamu definovaném a rozšíření není nainstalované.	AuditIfNotExists, zakázáno	2.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Protokol aktivit by se měl uchovávat alespoň po dobu jednoho roku.	Tato zásada audituje protokol aktivit, pokud se uchovávání nenastaví po dobu 365 dnů nebo navždy (doba uchovávání je nastavená na 0).	AuditIfNotExists, zakázáno	1.0.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem	Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	modify (úprava)	4.1.0
Všechny prostředky protokolu toku by měly být ve stavu povoleného.	Auditujte prostředky protokolu toku a ověřte, jestli je povolený stav protokolu toku. Povolení protokolů toků umožňuje protokolovat informace o toku provozu PROTOKOLU IP. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další.	Audit, zakázáno	1.0.1
Aplikace App Service by měly mít povolené protokoly prostředků.	Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	2.0.1
Audit privilegovaných funkcí	CMA_0019 – Audit privilegovaných funkcí	Ručně, zakázáno	1.1.0
Audit stavu uživatelského účtu	CMA_0020 – Audit stavu uživatelského účtu	Ručně, zakázáno	1.1.0
Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii	Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
Pro virtuální počítače by měla být povolená služba Azure Backup.	Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure.	AuditIfNotExists, zakázáno	3.0.0
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Profil protokolu služby Azure Monitor by měl shromažďovat protokoly pro kategorie Zápis, Odstranění a Akce.	Tato zásada zajišťuje, že profil protokolu shromažďuje protokoly pro kategorie write, delete a action.	AuditIfNotExists, zakázáno	1.0.0
Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování).	Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem.	Vytvořte cluster protokolů Azure Monitoru s šifrováním klíčů spravovaných zákazníkem. Ve výchozím nastavení se data protokolu šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů. Klíč spravovaný zákazníkem ve službě Azure Monitor poskytuje větší kontrolu nad přístupem k datům, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Protokoly služby Azure Monitor pro Application Insights by se měly propojit s pracovním prostorem služby Log Analytics.	Propojte komponentu Application Insights s pracovním prostorem služby Log Analytics pro šifrování protokolů. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k vašim datům ve službě Azure Monitor. Propojení komponenty s pracovním prostorem služby Log Analytics, který je povolený pomocí klíče spravovaného zákazníkem, zajišťuje, aby protokoly Application Insights splňovaly tento požadavek na dodržování předpisů, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí.	Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních.	AuditIfNotExists, zakázáno	2.0.0
Korelace záznamů auditu	CMA_0087 – Korelace záznamů auditu	Ručně, zakázáno	1.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows	Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Určení auditovatelných událostí	CMA_0137 – Určení auditovatelných událostí	Ručně, zakázáno	1.1.0
Stanovení požadavků na kontrolu auditu a vytváření sestav	CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav	Ručně, zakázáno	1.1.0
Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě.	Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další.	Audit, zakázáno	1.1.0
Integrace kontroly auditu, analýzy a generování sestav	CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav	Ručně, zakázáno	1.1.0
Integrace zabezpečení cloudových aplikací se siem	CMA_0340 – Integrace zabezpečení cloudových aplikací se siem	Ručně, zakázáno	1.1.0
Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů.	Sestavuje škálovací sady virtuálních počítačů jako nevyhovující, pokud není image virtuálního počítače v seznamu definovaná a rozšíření není nainstalované.	AuditIfNotExists, zakázáno	2.0.1
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Protokoly toku služby Network Watcher by měly mít povolenou analýzu provozu.	Analýza provozu analyzuje protokoly toku, aby poskytovala přehled o toku provozu ve vašem cloudu Azure. Dá se použít k vizualizaci síťové aktivity napříč předplatnými Azure a identifikaci horkých míst, identifikaci bezpečnostních hrozeb, pochopení vzorců toku provozu, určení chyb konfigurace sítě a další.	Audit, zakázáno	1.0.1
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Poskytování výstrah v reálném čase pro selhání událostí auditu	CMA_C1114 – poskytování výstrah v reálném čase pro selhání událostí auditu	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Protokoly prostředků v účtech Batch by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Key Vault by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě.	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků v Logic Apps by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.1.0
Protokoly prostředků v Search by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0
Kontrola protokolů zřizování účtů	CMA_0460 – Kontrola protokolů zřizování účtů	Ručně, zakázáno	1.1.0
Týdenní kontrola přiřazení správců	CMA_0461 – týdenní kontrola přiřazení správců	Ručně, zakázáno	1.1.0
Kontrola dat auditu	CMA_0466 – Kontrola dat auditu	Ručně, zakázáno	1.1.0
Přehled sestavy cloudových identit	CMA_0468 – Přehled sestav cloudových identit	Ručně, zakázáno	1.1.0
Kontrola událostí přístupu k řízeným složkům	CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce	Ručně, zakázáno	1.1.0
Kontrola událostí ochrany zneužití	CMA_0472 – Kontrola událostí ochrany zneužití	Ručně, zakázáno	1.1.0
Kontrola aktivity souborů a složek	CMA_0473 – Kontrola aktivity souborů a složek	Ručně, zakázáno	1.1.0
Týdenní kontrola změn skupin rolí	CMA_0476 – týdenní kontrola změn skupin rolí	Ručně, zakázáno	1.1.0
Uložené dotazy ve službě Azure Monitor by se měly ukládat do účtu úložiště zákazníka pro šifrování protokolů.	Propojte účet úložiště s pracovním prostorem služby Log Analytics a chraňte uložené dotazy pomocí šifrování účtu úložiště. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k uloženým dotazům ve službě Azure Monitor. Další podrobnosti o výše uvedených tématech najdete v tématu https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno	1.1.0
Účet úložiště obsahující kontejner s protokoly aktivit musí být šifrovaný pomocí BYOK.	Tato zásada provede audit, jestli je účet úložiště obsahující kontejner s protokoly aktivit šifrovaný pomocí BYOK. Zásady fungují jenom v případě, že účet úložiště leží ve stejném předplatném jako protokoly aktivit podle návrhu. Další informace o šifrování neaktivních uložených dat ve službě Azure Storage najdete tady https://aka.ms/azurestoragebyok.	AuditIfNotExists, zakázáno	1.0.0
Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů.	Tato zásada audituje všechny škálovací sady virtuálních počítačů s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1
Virtuální počítače by měly mít nainstalované rozšíření Log Analytics.	Tato zásada audituje všechny virtuální počítače s Windows nebo Linuxem, pokud není nainstalované rozšíření Log Analytics.	AuditIfNotExists, zakázáno	1.0.1

Detekujte a obsahují neobvyklou síťovou aktivitu do místního nebo vzdáleného prostředí SWIFT.

ID: SWIFT CSCF v2022 6.5A Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows.	Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby.	AuditIfNotExists, zakázáno	1.0.2-preview
Pracovníci upozornění na přelití informací	CMA_0007 – pracovníci upozornění na únik informací	Ručně, zakázáno	1.1.0
Autorizace, monitorování a řízení voip	CMA_0025 – Autorizace, monitorování a řízení voip	Ručně, zakázáno	1.1.0
Služba Azure Defender for App Service by měla být povolená.	Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací.	AuditIfNotExists, zakázáno	1.0.3
Služba Azure Defender for Key Vault by měla být povolená.	Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití.	AuditIfNotExists, zakázáno	1.0.3
Měla by být povolená služba Azure Defender pro servery.	Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.	AuditIfNotExists, zakázáno	1.0.3
Zjištění síťových služeb, které nebyly autorizované nebo schválené	CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené	Ručně, zakázáno	1.1.0
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Zdokumentovat operace zabezpečení	CMA_0202 – Zdokumentovat operace zabezpečení	Ručně, zakázáno	1.1.0
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0
Správa bran	CMA_0363 – Správa bran	Ručně, zakázáno	1.1.0
Měl by být povolený Microsoft Defender pro úložiště.	Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady.	AuditIfNotExists, zakázáno	1.0.0
Služba Network Watcher by měla být povolená.	Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná.	AuditIfNotExists, zakázáno	3.0.0
Směrování provozu přes spravované síťové přístupové body	CMA_0484 – Směrování provozu přes spravované síťové přístupové body	Ručně, zakázáno	1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci	CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci	Ručně, zakázáno	1.1.0
Zapnutí senzorů pro řešení zabezpečení koncových bodů	CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů	Ručně, zakázáno	1.1.0

Zajištění konzistentního a efektivního přístupu ke správě kybernetických incidentů.

ID: VLASTNICTVÍ SWIFT CSCF v2022 7.1: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řešení problémů se zabezpečením informací	CMA_C1742 – Řešení problémů se zabezpečením informací	Ručně, zakázáno	1.1.0
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené.	Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	1.2.0
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno.	Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center.	AuditIfNotExists, zakázáno	2.1.0
Identifikace tříd incidentů a provedených akcí	CMA_C1365 – identifikace tříd incidentů a provedených akcí	Ručně, zakázáno	1.1.0
Začlenění simulovaných událostí do trénování reakce na incidenty	CMA_C1356 – Začlenění simulovaných událostí do trénování reakce na incidenty	Ručně, zakázáno	1.1.0
Poskytnutí školení k přelití informací	CMA_0413 – poskytnutí školení k přelití informací	Ručně, zakázáno	1.1.0
Kontrola a aktualizace zásad a postupů reakce na incidenty	CMA_C1352 – Kontrola a aktualizace zásad a postupů reakce na incidenty	Ručně, zakázáno	1.1.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením	Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center.	AuditIfNotExists, zakázáno	1.0.1

Zajistěte, aby všichni zaměstnanci věděli o svých bezpečnostních povinnostech a splnili jejich bezpečnostní povinnosti tím, že provádějí pravidelné aktivity informovanosti a udržují znalosti o zabezpečení zaměstnanců s privilegovaným přístupem.

ID: VLASTNICTVÍ SWIFT CSCF v2022 7.2: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentování aktivit školení zabezpečení a ochrany osobních údajů	CMA_0198 – zdokumentování aktivit školení zabezpečení a ochrany osobních údajů	Ručně, zakázáno	1.1.0
Zajištění pravidelného trénování zabezpečení na základě rolí	CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí	Ručně, zakázáno	1.1.0
Zajištění pravidelného školení pro zvyšování povědomí o zabezpečení	CMA_C1091 – zajištění pravidelného školení pro zvyšování povědomí o zabezpečení	Ručně, zakázáno	1.1.0
Poskytnutí školení k ochraně osobních údajů	CMA_0415 – poskytování školení k ochraně osobních údajů	Ručně, zakázáno	1.1.0
Poskytnutí praktických cvičení založených na rolích	CMA_C1096 – poskytování praktických cvičení založených na rolích	Ručně, zakázáno	1.1.0
Poskytnutí trénování zabezpečení na základě rolí	CMA_C1094 – Poskytování školení zabezpečení na základě rolí	Ručně, zakázáno	1.1.0
Poskytování trénování na základě rolí na podezřelých aktivitách	CMA_C1097 – poskytování trénování na základě role na podezřelých aktivitách	Ručně, zakázáno	1.1.0
Zajištění školení o povědomí o zabezpečení pro vnitřní hrozby	CMA_0417 – poskytování školení pro zvyšování povědomí o zabezpečení pro vnitřní hrozby	Ručně, zakázáno	1.1.0
Zajištění školení zabezpečení před poskytnutím přístupu	CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu	Ručně, zakázáno	1.1.0
Zajištění školení zabezpečení pro nové uživatele	CMA_0419 – poskytování školení zabezpečení pro nové uživatele	Ručně, zakázáno	1.1.0
Zajištění aktualizovaného školení pro zvyšování povědomí o zabezpečení	CMA_C1090 – poskytování aktualizovaného školení pro zvyšování povědomí o zabezpečení	Ručně, zakázáno	1.1.0

Ověřte konfiguraci provozního zabezpečení a identifikujte mezery zabezpečení provedením penetračního testování.

ID: SWIFT CSCF v2022 7.3A Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Využití nezávislého týmu pro penetrační testování	CMA_C1171 – zaměstnat nezávislý tým pro penetrační testování	Ručně, zakázáno	1.1.0
Vyžadovat, aby vývojáři vytvořili architekturu zabezpečení	CMA_C1612 – Vyžadovat, aby vývojáři vytvořili architekturu zabezpečení	Ručně, zakázáno	1.1.0

Vyhodnoťte riziko a připravenost organizace na základě možných scénářů kybernetických útoků.

ID: SWIFT CSCF v2022 7.4A Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Posouzení rizik	CMA_C1543 – Posouzení rizik	Ručně, zakázáno	1.1.0
Posouzení rizik a distribuce výsledků	CMA_C1544 – Posouzení rizik a distribuce výsledků	Ručně, zakázáno	1.1.0
Posouzení rizik a zdokumentování výsledků	CMA_C1542 – Posouzení rizik a zdokumentování výsledků	Ručně, zakázáno	1.1.0
Vytvoření strategie řízení rizik	CMA_0258 – Vytvoření strategie řízení rizik	Ručně, zakázáno	1.1.0
Implementace strategie řízení rizik	CMA_C1744 – implementace strategie řízení rizik	Ručně, zakázáno	1.1.0
Provedení posouzení rizik	CMA_0388 – provedení posouzení rizik	Ručně, zakázáno	1.1.0
Kontrola a aktualizace zásad a postupů posouzení rizik	CMA_C1537 – Kontrola a aktualizace zásad a postupů posouzení rizik	Ručně, zakázáno	1.1.0

8. Nastavení a monitorování výkonu

Zajištění dostupnosti formálním nastavením a monitorováním cílů, které mají být dosaženo

ID: VLASTNICTVÍ SWIFT CSCF v2022 8.1: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Koordinace plánů nepředvídaných událostí se souvisejícími plány	CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány	Ručně, zakázáno	1.1.0
Vývoj plánu nepředvídaných událostí	CMA_C1244 – vývoj plánu nepředvídaných událostí	Ručně, zakázáno	1.1.0
Získání právního stanoviska k monitorování systémových aktivit	CMA_C1688 – získání právního stanoviska k monitorování systémových činností	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Plánování kontinuance základních obchodních funkcí	CMA_C1255 – plánování kontinuance základních obchodních funkcí	Ručně, zakázáno	1.1.0
Plánování obnovení základních obchodních funkcí	CMA_C1253 – plán obnovení základních obchodních funkcí	Ručně, zakázáno	1.1.0
Podle potřeby zadejte informace o monitorování.	CMA_C1689 – podle potřeby poskytovat informace o monitorování	Ručně, zakázáno	1.1.0
Obnovení všech funkcí poslání a obchodních funkcí	CMA_C1254 – obnovení všech funkcí poslání a obchodních funkcí	Ručně, zakázáno	1.1.0

Zajištění dostupnosti, kapacity a kvality služeb zákazníkům

ID: VLASTNICTVÍ SWIFT CSCF v2022 8.4: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Plánování kapacity	CMA_C1252 – Plánování kapacity	Ručně, zakázáno	1.1.0
Koordinace plánů nepředvídaných událostí se souvisejícími plány	CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány	Ručně, zakázáno	1.1.0
Vytvoření alternativních akcí pro identifikované anomálie	CMA_C1711 – Vytvoření alternativních akcí pro identifikované anomálie	Ručně, zakázáno	1.1.0
Vývoj plánu nepředvídaných událostí	CMA_C1244 – vývoj plánu nepředvídaných událostí	Ručně, zakázáno	1.1.0
Upozorněte pracovníky na neúspěšné testy ověření zabezpečení.	CMA_C1710 – informujte pracovníky o neúspěšných testech ověření zabezpečení.	Ručně, zakázáno	1.1.0
Ověření bezpečnostní funkce s definovanou frekvencí	CMA_C1709 – provedení ověření funkce zabezpečení s definovanou frekvencí	Ručně, zakázáno	1.1.0
Plánování kontinuance základních obchodních funkcí	CMA_C1255 – plánování kontinuance základních obchodních funkcí	Ručně, zakázáno	1.1.0

Před zahájením provozu zajistěte včasnou dostupnost verzí SWIFTNet a standardů FIN pro správné testování zákazníkem.

ID: SWIFT CSCF v2022 8.5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Řešení ohrožení zabezpečení kódování	CMA_0003 – Řešení ohrožení zabezpečení kódování	Ručně, zakázáno	1.1.0
Vývoj a zdokumentovat požadavky na zabezpečení aplikací	CMA_0148 – Vývoj a zdokumentovat požadavky na zabezpečení aplikací	Ručně, zakázáno	1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích.	CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení	Ručně, zakázáno	1.1.0
Vytvoření zabezpečeného programu pro vývoj softwaru	CMA_0259 – vytvoření zabezpečeného programu pro vývoj softwaru	Ručně, zakázáno	1.1.0
Provádění kontrol ohrožení zabezpečení	CMA_0393 – Provádění kontrol ohrožení zabezpečení	Ručně, zakázáno	1.1.0
Náprava chyb informačního systému	CMA_0427 – Náprava chyb informačního systému	Ručně, zakázáno	1.1.0
Vyžadovat, aby vývojáři dokumentovat schválené změny a potenciální dopad	CMA_C1597 – Vyžadovat, aby vývojáři zdokumentovali schválené změny a potenciální dopad	Ručně, zakázáno	1.1.0
Vyžadovat, aby vývojáři implementovali jenom schválené změny.	CMA_C1596 – Vyžadovat, aby vývojáři implementovali jenom schválené změny	Ručně, zakázáno	1.1.0
Vyžadování vývojářů ke správě integrity změn	CMA_C1595 – Vyžadování vývojářů ke správě integrity změn	Ručně, zakázáno	1.1.0
Vyžadovat, aby vývojáři vytvořili důkaz o provádění plánu posouzení zabezpečení.	CMA_C1602 – Vyžaduje, aby vývojáři vytvořili důkaz o provádění plánu posouzení zabezpečení.	Ručně, zakázáno	1.1.0
Ověření integrity softwaru, firmwaru a informací	CMA_0542 – Ověření integrity softwaru, firmwaru a informací	Ručně, zakázáno	1.1.0

9. Zajištění dostupnosti prostřednictvím odolnosti

Poskytovatelé musí zajistit, aby služba zůstala k dispozici zákazníkům v případě místního narušení nebo poruchy.

ID: VLASTNICTVÍ SWIFT CSCF v2022 9.1: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Testování reakce na incidenty	CMA_0060 – Provedení testování reakcí na incidenty	Ručně, zakázáno	1.1.0
Koordinace plánů nepředvídaných událostí se souvisejícími plány	CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány	Ručně, zakázáno	1.1.0
Vývoj plánu nepředvídaných událostí	CMA_C1244 – vývoj plánu nepředvídaných událostí	Ručně, zakázáno	1.1.0
Vývoj zásad a postupů plánování nepředvídaných událostí	CMA_0156 – vývoj zásad a postupů plánování nepředvídaných událostí	Ručně, zakázáno	1.1.0
Distribuce zásad a postupů	CMA_0185 – Distribuce zásad a postupů	Ručně, zakázáno	1.1.0
Vytvoření programu zabezpečení informací	CMA_0263 – Vytvoření programu zabezpečení informací	Ručně, zakázáno	1.1.0
Zajištění nepředvídaného školení	CMA_0412 – poskytování nepředvídaných školení	Ručně, zakázáno	1.1.0
Spuštění útoků simulace	CMA_0486 – Spuštění útoků simulace	Ručně, zakázáno	1.1.0

Poskytovatelé musí zajistit, aby služba zůstala dostupná zákazníkům v případě havárie lokality.

ID: VLASTNICTVÍ SWIFT CSCF v2022 9.2: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zálohování dokumentace k informačnímu systému	CMA_C1289 – Zálohování dokumentace k informačnímu systému	Ručně, zakázáno	1.1.0
Vytvoření samostatných alternativních a primárních lokalit úložiště	CMA_C1269 – Vytvoření samostatných alternativních a primárních lokalit úložiště	Ručně, zakázáno	1.1.0
Ujistěte se, že ochrana lokality alternativního úložiště odpovídá primární lokalitě.	CMA_C1268 – Zajištění ochrany lokality alternativního úložiště odpovídá primární lokalitě	Ručně, zakázáno	1.1.0
Vytvoření alternativní lokality úložiště, která usnadňuje operace obnovení	CMA_C1270 – Vytvoření alternativní lokality úložiště, která usnadňuje operace obnovení	Ručně, zakázáno	1.1.0
Vytvoření alternativní lokality úložiště pro ukládání a načítání informací o zálohování	CMA_C1267 – Vytvoření alternativní lokality úložiště pro ukládání a načítání informací o zálohování	Ručně, zakázáno	1.1.0
Vytvoření lokality pro alternativní zpracování	CMA_0262 – Vytvoření lokality pro alternativní zpracování	Ručně, zakázáno	1.1.0
Stanovení požadavků pro poskytovatele internetových služeb	CMA_0278 – Stanovení požadavků pro poskytovatele internetových služeb	Ručně, zakázáno	1.1.0
Identifikace a zmírnění potenciálních problémů v alternativní lokalitě úložiště	CMA_C1271 – Identifikace a zmírnění potenciálních problémů v alternativní lokalitě úložiště	Ručně, zakázáno	1.1.0
Příprava lokality pro alternativní zpracování pro použití jako provozní lokality	CMA_C1278 – Příprava lokality pro alternativní zpracování pro použití jako provozní lokalita	Ručně, zakázáno	1.1.0
Obnovení a rekonstituce prostředků po přerušení	CMA_C1295 – obnovení a rekonstituce prostředků po přerušení	Ručně, zakázáno	1.1.1
Obnovení prostředků do provozního stavu	CMA_C1297 – Obnovení prostředků do provozního stavu	Ručně, zakázáno	1.1.1
Samostatně ukládat informace o zálohování	CMA_C1293 – Samostatně ukládat informace o zálohování	Ručně, zakázáno	1.1.0
Přenos informací o zálohování do alternativní lokality úložiště	CMA_C1294 – Přenos informací o zálohování do alternativní lokality úložiště	Ručně, zakázáno	1.1.0

Servisní úřad musí zajistit, aby služba zůstala k dispozici pro své zákazníky v případě narušení, nebezpečí nebo incidentu.

ID: VLASTNICTVÍ SWIFT CSCF v2022 9.3: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj a zdokumentování plánu provozní kontinuity a zotavení po havárii	CMA_0146 – Vývoj a zdokumentování plánu provozní kontinuity a zotavení po havárii	Ručně, zakázáno	1.1.0
Vývoj plánu nepředvídaných událostí	CMA_C1244 – vývoj plánu nepředvídaných událostí	Ručně, zakázáno	1.1.0
Použití automatického nouzového osvětlení	CMA_0209 – použití automatického nouzového osvětlení	Ručně, zakázáno	1.1.0
Implementace metodologie penetračního testování	CMA_0306 – implementace metodologie penetračního testování	Ručně, zakázáno	1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti	CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti	Ručně, zakázáno	1.1.0
Kontrola a aktualizace fyzických a environmentálních politik a postupů	CMA_C1446 – kontrola a aktualizace fyzických a environmentálních politik a postupů	Ručně, zakázáno	1.1.0
Spuštění útoků simulace	CMA_0486 – Spuštění útoků simulace	Ručně, zakázáno	1.1.0

Dostupnost a kvalita služeb poskytovatelů je zajištěna prostřednictvím doporučených balíčků připojení SWIFT a odpovídající šířky pásma linky.

ID: SWIFT CSCF v2022 9.4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Autorizace, monitorování a řízení voip	CMA_0025 – Autorizace, monitorování a řízení voip	Ručně, zakázáno	1.1.0
Plánování kapacity	CMA_C1252 – Plánování kapacity	Ručně, zakázáno	1.1.0
Implementace ochrany hranic systému	CMA_0328 – Implementace ochrany hranic systému	Ručně, zakázáno	1.1.0
Správa bran	CMA_0363 – Správa bran	Ručně, zakázáno	1.1.0
Směrování provozu přes spravované síťové přístupové body	CMA_0484 – Směrování provozu přes spravované síťové přístupové body	Ručně, zakázáno	1.1.0

10. Buďte připraveni v případě velké havárie

Kontinuita podnikových procesů je zajištěna prostřednictvím zdokumentovaného plánu oznámeného potenciálně ovlivněným stranám (servisní kancelář a zákazníci).

ID: VLASTNICTVÍ SWIFT CSCF v2022 10.1 : Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Koordinace plánů nepředvídaných událostí se souvisejícími plány	CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány	Ručně, zakázáno	1.1.0
Vývoj plánu nepředvídaných událostí	CMA_C1244 – vývoj plánu nepředvídaných událostí	Ručně, zakázáno	1.1.0
Plánování kontinuance základních obchodních funkcí	CMA_C1255 – plánování kontinuance základních obchodních funkcí	Ručně, zakázáno	1.1.0
Plánování obnovení základních obchodních funkcí	CMA_C1253 – plán obnovení základních obchodních funkcí	Ručně, zakázáno	1.1.0
Obnovení všech funkcí poslání a obchodních funkcí	CMA_C1254 – obnovení všech funkcí poslání a obchodních funkcí	Ručně, zakázáno	1.1.0

11. Monitorování v případě závažné havárie

Zajistěte konzistentní a efektivní přístup pro monitorování a eskalaci událostí.

ID: SWIFT CSCF v2022 11.1 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zdokumentovat operace zabezpečení	CMA_0202 – Zdokumentovat operace zabezpečení	Ručně, zakázáno	1.1.0
Získání právního stanoviska k monitorování systémových aktivit	CMA_C1688 – získání právního stanoviska k monitorování systémových činností	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Podle potřeby zadejte informace o monitorování.	CMA_C1689 – podle potřeby poskytovat informace o monitorování	Ručně, zakázáno	1.1.0
Zapnutí senzorů pro řešení zabezpečení koncových bodů	CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů	Ručně, zakázáno	1.1.0

Zajištění konzistentního a efektivního přístupu ke správě incidentů (Správa problémů).

ID: VLASTNICTVÍ SWIFT CSCF v2022 11.2: Sdílené

V případě dopadu na zákazníka zajistěte odpovídající eskalaci provozních poruch.

ID: SWIFT CSCF v2022 11.4 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Automatizace procesu do dokumentu implementovaných změn	CMA_C1195 – Automatizace procesu pro dokumentaci implementovaných změn	Ručně, zakázáno	1.1.0
Automatizace procesu zvýrazňování nerevidovaných návrhů změn	CMA_C1193 – Automatizace procesu zvýrazňování nerevidovaných návrhů změn	Ručně, zakázáno	1.1.0
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Zdokumentovat operace zabezpečení	CMA_0202 – Zdokumentovat operace zabezpečení	Ručně, zakázáno	1.1.0
Povolení ochrany sítě	CMA_0238 – Povolení ochrany sítě	Ručně, zakázáno	1.1.0
Vymýcení kontaminovaných informací	CMA_0253 - Eradikát kontaminovaných informací	Ručně, zakázáno	1.1.0
Vytvoření a řízení změn dokumentů	CMA_0265 – vytvoření a řízení změn dokumentů	Ručně, zakázáno	1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře	CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře	Ručně, zakázáno	1.1.0
Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli	CMA_C1376 – Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli	Ručně, zakázáno	1.1.0
Provádění akcí v reakci na přelití informací	CMA_0281 – Provádění akcí v reakci na přelití informací	Ručně, zakázáno	1.1.0
Implementace zpracování incidentů	CMA_0318 – Implementace zpracování incidentů	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Provedení auditu pro řízení změn konfigurace	CMA_0390 – provedení auditu řízení změn konfigurace	Ručně, zakázáno	1.1.0
Zobrazení a prošetření omezených uživatelů	CMA_0545 – Zobrazení a prošetření omezených uživatelů	Ručně, zakázáno	1.1.0

Efektivní podpora se zákazníkům nabízí v případě, že během pracovní doby čelí problémům.

ID: SWIFT CSCF v2022 11.5 Vlastnictví: Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Zdokumentovat operace zabezpečení	CMA_0202 – Zdokumentovat operace zabezpečení	Ručně, zakázáno	1.1.0
Povolení ochrany sítě	CMA_0238 – Povolení ochrany sítě	Ručně, zakázáno	1.1.0
Vymýcení kontaminovaných informací	CMA_0253 - Eradikát kontaminovaných informací	Ručně, zakázáno	1.1.0
Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli	CMA_C1376 – Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli	Ručně, zakázáno	1.1.0
Provádění akcí v reakci na přelití informací	CMA_0281 – Provádění akcí v reakci na přelití informací	Ručně, zakázáno	1.1.0
Identifikace pracovníků reakce na incidenty	CMA_0301 – Identifikace pracovníků reakce na incidenty	Ručně, zakázáno	1.1.0
Implementace zpracování incidentů	CMA_0318 – Implementace zpracování incidentů	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Zobrazení a prošetření omezených uživatelů	CMA_0545 – Zobrazení a prošetření omezených uživatelů	Ručně, zakázáno	1.1.0

12. Ujistěte se, že jsou k dispozici znalosti

Zajištění kvality služeb zákazníkům prostřednictvím certifikovaných zaměstnanců SWIFT.

ID: VLASTNICTVÍ SWIFT CSCF v2022 12.1 : Sdílené

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Zajištění pravidelného trénování zabezpečení na základě rolí	CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí	Ručně, zakázáno	1.1.0
Poskytnutí trénování zabezpečení na základě rolí	CMA_C1094 – Poskytování školení zabezpečení na základě rolí	Ručně, zakázáno	1.1.0
Zajištění školení zabezpečení před poskytnutím přístupu	CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu	Ručně, zakázáno	1.1.0

Další kroky

Další články o službě Azure Policy:

Přehled dodržování právních předpisů
Podívejte se na strukturu definice iniciativy.
Projděte si další příklady v ukázkách služby Azure Policy.
Projděte si Vysvětlení efektů zásad.
Zjistěte, jak napravit nevyhovující prostředky.

Název _{(Azure Portal)}	Popis	Účinek	Verze _(GitHub)
Posouzení událostí zabezpečení informací	CMA_0013 – Posouzení událostí zabezpečení informací	Ručně, zakázáno	1.1.0
Testování reakce na incidenty	CMA_0060 – Provedení testování reakcí na incidenty	Ručně, zakázáno	1.1.0
Vývoj plánu reakce na incidenty	CMA_0145 – Vytvoření plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Vývoj bezpečnostních opatření	CMA_0161 – Vývoj bezpečnostních opatření	Ručně, zakázáno	1.1.0
Zdokumentovat operace zabezpečení	CMA_0202 – Zdokumentovat operace zabezpečení	Ručně, zakázáno	1.1.0
Povolení ochrany sítě	CMA_0238 – Povolení ochrany sítě	Ručně, zakázáno	1.1.0
Vymýcení kontaminovaných informací	CMA_0253 - Eradikát kontaminovaných informací	Ručně, zakázáno	1.1.0
Vytvoření programu zabezpečení informací	CMA_0263 – Vytvoření programu zabezpečení informací	Ručně, zakázáno	1.1.0
Provádění akcí v reakci na přelití informací	CMA_0281 – Provádění akcí v reakci na přelití informací	Ručně, zakázáno	1.1.0
Identifikace tříd incidentů a provedených akcí	CMA_C1365 – identifikace tříd incidentů a provedených akcí	Ručně, zakázáno	1.1.0
Implementace zpracování incidentů	CMA_0318 – Implementace zpracování incidentů	Ručně, zakázáno	1.1.0
Začlenění simulovaných událostí do trénování reakce na incidenty	CMA_C1356 – Začlenění simulovaných událostí do trénování reakce na incidenty	Ručně, zakázáno	1.1.0
Udržování záznamů o porušení zabezpečení dat	CMA_0351 – Udržování záznamů o porušení zabezpečení dat	Ručně, zakázáno	1.1.0
Údržba plánu reakce na incidenty	CMA_0352 – Údržba plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Provedení analýzy trendu u hrozeb	CMA_0389 – provedení analýzy trendů u hrozeb	Ručně, zakázáno	1.1.0
Ochrana plánu reakce na incidenty	CMA_0405 – Ochrana plánu reakce na incidenty	Ručně, zakázáno	1.1.0
Poskytnutí školení k přelití informací	CMA_0413 – poskytnutí školení k přelití informací	Ručně, zakázáno	1.1.0
Kontrola a aktualizace zásad a postupů reakce na incidenty	CMA_C1352 – Kontrola a aktualizace zásad a postupů reakce na incidenty	Ručně, zakázáno	1.1.0
Spuštění útoků simulace	CMA_0486 – Spuštění útoků simulace	Ručně, zakázáno	1.1.0
Zobrazení a prošetření omezených uživatelů	CMA_0545 – Zobrazení a prošetření omezených uživatelů	Ručně, zakázáno	1.1.0

Sdílet prostřednictvím