Поделиться через

Сопоставление элементов управления для примера схемы Australian Government ISM PROTECTED

  • Статья

Внимание

11 июля 2026 г. схемы (предварительная версия) будут устарели. Перенос существующих определений схемы и назначений в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Сведения о создании артефакта в качестве ресурса ARM см. в статье:

В статье подробно описано, как пример схемы Azure Blueprints Australian Government ISM PROTECTED в службе Azure Blueprints соотносится с элементами управления ISM PROTECTED. См. подробные сведения об элементах управления ISM PROTECTED.

Далее представлены сопоставления для элементов управления ISM PROTECTED. Используйте панель навигации справа для перехода непосредственно к сопоставлению конкретных элементов управления. Многие сопоставленные элементы управления реализуются с помощью инициативы Политика Azure. Чтобы просмотреть полную инициативу, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Найдите и выберите функцию [Предварительная версия]: Audit Australian Government ISM PROTECTED controls and deploy specific VM Extensions to support audit requirements (Аудит норм контроля руководства ISM правительства Австралии и развертывание определенных расширений виртуальных машин для соответствия его требованиям) (встроенная инициатива политики).

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Соответствует в Политике Azure применимо только к самим политикам и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями Политики Azure для этого примера схемы соответствия могут измениться в будущем. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

Ограничения расположения

Эта схема позволяет ограничить расположение для развертывания всех ресурсов и групп ресурсов регионами "Центральная Австралия", Центральная Австралия 2", "Восточная Австралия" и "Юго-Восточная Австралия" назначив следующие определения Политики Azure:

  • допустимые расположения (строго ограничено вариантами "Центральная Австралия", "Центральная Австралия 2", "Восточная Австралия", "Юго-Восточная Австралия");
  • допустимые расположения для групп ресурсов (строго ограничено вариантами "Центральная Австралия", "Центральная Австралия 2", "Восточная Австралия", "Юго-Восточная Австралия").

Рекомендации по обеспечению безопасности персонала — доступ к системам и их ресурсам

0414. Персонал, которому предоставлен доступ к системе и ее ресурсам, является однозначно идентифицируемым.

  • Для учетных записей с разрешениями владельца в вашей подписке должна быть включена многофакторная проверка подлинности
  • Для учетных записей с разрешениями на запись в вашей подписке должна быть включена многофакторная проверка подлинности
  • Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинности

1503. Стандартный доступ к системам, приложениям и хранилищам данных ограничен возможностями, которые необходимы персоналу для выполнения своих обязанностей.

  • Подписке должно быть назначено не более 3 владельцев
  • Подписке должно быть назначено несколько владельцев
  • Отображение результатов аудита виртуальных машин Windows, на которых кто-то из указанных участников включен в группу "Администраторы".
  • Развертывание необходимых компонентов для аудита виртуальных машин Windows с кем-то из указанных участников в группе "Администраторы"

1507. Привилегированный доступ к системам, приложениям и репозиториям данных проверяется при первом запросе и повторно проверяется не реже чем раз в год.

  • Отображение результатов аудита виртуальных машин Windows, на которых кто-то из указанных участников включен в группу "Администраторы".
  • Развертывание необходимых компонентов для аудита виртуальных машин Windows с кем-то из указанных участников в группе "Администраторы"

1508. Привилегированный доступ к системам, приложениям и хранилищам данных ограничен возможностями, которые необходимы персоналу для выполнения своих обязанностей.

  • Подписке должно быть назначено не более 3 владельцев
  • Подписке должно быть назначено несколько владельцев
  • Отображение результатов аудита виртуальных машин Windows, на которых кто-то из указанных участников включен в группу "Администраторы".
  • Развертывание необходимых компонентов для аудита виртуальных машин Windows с кем-то из указанных участников в группе "Администраторы"
  • На виртуальных машинах должен применяться JIT-доступ к сети

0415. Использование общих учетных записей пользователей строго контролируется, и персонал, использующий такие учетные записи, является однозначно идентифицируемым.

  • Отображение результатов аудита виртуальных машин Windows, на которых кто-то из указанных участников включен в группу "Администраторы".
  • Развертывание необходимых компонентов для аудита виртуальных машин Windows с кем-то из указанных участников в группе "Администраторы"

0445. Привилегированным пользователям назначается выделенная привилегированная учетная запись, которая используется исключительно для задач, требующих привилегированного доступа.

  • Отображение результатов аудита виртуальных машин Windows, на которых кто-то из указанных участников включен в группу "Администраторы".
  • Развертывание необходимых компонентов для аудита виртуальных машин Windows с кем-то из указанных участников в группе "Администраторы"

0430. Доступ к системам, приложениям и репозиториям данных отменяется или приостанавливается в тот же день, когда сотрудник теряет допустимые основания для такого доступа.

  • Устаревшие учетные записи должны быть удалены из подписки
  • Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки

0441. Когда персоналу предоставляется временный доступ к системе, применяются действующие средства управления безопасностью для ограничения такого доступа только той информацией, которая необходима для выполнения обязанностей.

  • Внешние учетные записи с разрешениями владельца должны быть удалены из подписки
  • Внешние учетные записи с разрешениями на запись должны быть удалены из подписки
  • Устаревшие учетные записи должны быть удалены из подписки
  • Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки

Рекомендации по укреплению безопасности системы — усиление защиты операционной системы

1407. Для стандартных операционных сред используется последняя (N) или предпоследняя (N-1) версия операционной системы.

  • На ваших компьютерах должны быть установлены обновления системы
  • В масштабируемых наборах виртуальных машин должны быть установлены обновления системы

0380. Ненужные учетные записи, программное обеспечение, компоненты, службы и функции операционной системы удаляются или отключаются.

  • Устаревшие учетные записи должны быть удалены из подписки
  • Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки

1490 Решение для перечисления приложений реализовано на всех серверах, чтобы ограничить выполнение исполняемых файлов, программных библиотек, скриптов и установщиков утвержденным набором

  • На виртуальных машинах должны быть включены адаптивные элементы управления приложениями

1417. На рабочих станциях и серверах реализовано антивирусное программное обеспечение со следующими настройками: включено обнаружение на основе подписей и для него установлен высокий уровень, включено обнаружение на основе эвристического анализа и для него установлен высокий уровень, включена проверка актуальности подписей и по меньшей мере ежедневное их обновление, настроено автоматическое и регулярное сканирование для всех фиксированных дисков и съемных носителей.

  • На серверах Windows должно быть развернуто расширение Microsoft IaaSAntimalware.
  • В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection
  • Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure

Рекомендации по укреплению безопасности системы — усиление проверки подлинности

1546. Пользователи проходят проверку подлинности перед получением доступа к системе и ее ресурсам.

  • Аудит неограниченного сетевого доступа к учетным записям хранения
  • Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента
  • Отображение результатов аудита виртуальных машин Linux с разрешенным удаленным подключением с использованием учетных записей без паролей
  • Развертывание требуемых компонентов для аудита виртуальных машин Linux с разрешенным удаленным подключением учетных записей без паролей
  • Отображение результатов аудита виртуальных машин Linux с учетными записями без паролей
  • Развертывание необходимых компонентов для аудита виртуальных машин Linux с учетными записями без паролей.

0974. Для аутентификации стандартных пользователей используется многофакторная проверка подлинности.

  • Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинности

1173. Для аутентификации всех привилегированных пользователей и любых ролей, предполагающих доверие, используется многофакторная проверка подлинности.

  • Для учетных записей с разрешениями владельца в вашей подписке должна быть включена многофакторная проверка подлинности
  • Для учетных записей с разрешениями на запись в вашей подписке должна быть включена многофакторная проверка подлинности

0421. Парольные фразы для однофакторной проверки подлинности имеют длину не менее 14 символов, а в идеале состоят из 4 случайных слов.

  • Отображение результатов аудита для конфигураций виртуальных машин с Windows в разделе "Параметры безопасности — политики учетных записей"
  • Развертывание необходимых компонентов для аудита конфигураций виртуальных машин с Windows в разделе "Параметры безопасности — политики учетных записей"

Рекомендации по управлению системой — системное администрирование

1384. Для аутентификации пользователей при выполнении любых привилегированных действий используется многофакторная проверка подлинности.

  • Для учетных записей с разрешениями владельца в вашей подписке должна быть включена многофакторная проверка подлинности
  • Для учетных записей с разрешениями на запись в вашей подписке должна быть включена многофакторная проверка подлинности
  • Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинности

1386. Трафик управления допускается только из тех сетевых зон, которые назначены для администрирования систем и приложений.

  • На виртуальных машинах должен применяться JIT-доступ к сети
  • Удаленная отладка должна быть отключена для приложений API.
  • Удаленная отладка должна быть отключена для приложений-функций.
  • Удаленная отладка должна быть отключена для веб-приложений.

Рекомендации по управлению системой — применение исправлений

1144. Уязвимости системы безопасности в приложениях и драйверах, для которых определен экстремальный уровень риска, исправляются, обновляются или устраняются в течение 48 часов с момента выявления этих уязвимостей поставщиками, независимыми сторонними производителями, диспетчерами или пользователями систем.

  • Уязвимости в базах данных SQL должны быть устранены.
  • На серверах SQL Server должна быть включена оценка уязвимости
  • В управляемых экземплярах SQL должна быть включена оценка уязвимостей
  • На компьютерах должна быть включена оценка уязвимостей
  • Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены.
  • Уязвимости должны быть устранены с помощью решения для оценки уязвимостей
  • Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
  • Необходимо устранить уязвимости в конфигурациях безопасности контейнера.
  • Параметры оценки уязвимостей для сервера SQL должны включать адрес электронной почты для получения отчетов о проверке.

0940. Уязвимости системы безопасности в приложениях и драйверах, для которых определен высокий уровень риска, исправляются, обновляются или устраняются в течение двух недель с момента выявления этих уязвимостей поставщиками, независимыми сторонними производителями, диспетчерами или пользователями систем.

  • Уязвимости в базах данных SQL должны быть устранены.
  • На серверах SQL Server должна быть включена оценка уязвимости
  • В управляемых экземплярах SQL должна быть включена оценка уязвимостей
  • На виртуальных машинах должна быть включена Оценка уязвимостей
  • Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены.
  • Уязвимости должны быть устранены с помощью решения для оценки уязвимостей
  • Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
  • Необходимо устранить уязвимости в конфигурациях безопасности контейнера.
  • Параметры оценки уязвимостей для сервера SQL должны включать адрес электронной почты для получения отчетов о проверке.

1472. Уязвимости системы безопасности в приложениях и драйверах, для которых определен средний или низкий уровень риска, исправляются, обновляются или устраняются в течение одного месяца с момента выявления этих уязвимостей поставщиками, независимыми сторонними производителями, диспетчерами или пользователями систем.

  • Уязвимости в базах данных SQL должны быть устранены.
  • На серверах SQL Server должна быть включена оценка уязвимости
  • В управляемых экземплярах SQL должна быть включена оценка уязвимостей
  • На виртуальных машинах должна быть включена Оценка уязвимостей
  • Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены.
  • Уязвимости должны быть устранены с помощью решения для оценки уязвимостей
  • Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
  • Необходимо устранить уязвимости в конфигурациях безопасности контейнера.
  • Параметры оценки уязвимостей для сервера SQL должны включать адрес электронной почты для получения отчетов о проверке.

1494. Уязвимости системы безопасности в операционных системах и встроенном ПО, для которых определен экстремальный уровень риска, исправляются, обновляются или устраняются в течение 48 часов с момента выявления этих уязвимостей поставщиками, независимыми сторонними производителями, диспетчерами или пользователями систем.

  • Уязвимости в базах данных SQL должны быть устранены.
  • На серверах SQL Server должна быть включена оценка уязвимости
  • В управляемых экземплярах SQL должна быть включена оценка уязвимостей
  • На виртуальных машинах должна быть включена Оценка уязвимостей
  • Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены.
  • Уязвимости должны быть устранены с помощью решения для оценки уязвимостей
  • Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
  • Необходимо устранить уязвимости в конфигурациях безопасности контейнера.
  • Параметры оценки уязвимостей для сервера SQL должны включать адрес электронной почты для получения отчетов о проверке.

1495. Уязвимости системы безопасности в операционных системах и встроенном ПО, для которых определен высокий уровень риска, исправляются, обновляются или устраняются в течение двух недель с момента выявления этих уязвимостей поставщиками, независимыми сторонними производителями, диспетчерами или пользователями систем.

  • Уязвимости в базах данных SQL должны быть устранены.
  • На серверах SQL Server должна быть включена оценка уязвимости
  • В управляемых экземплярах SQL должна быть включена оценка уязвимостей
  • На виртуальных машинах должна быть включена Оценка уязвимостей
  • Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены.
  • Уязвимости должны быть устранены с помощью решения для оценки уязвимостей
  • Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
  • Необходимо устранить уязвимости в конфигурациях безопасности контейнера.
  • Параметры оценки уязвимостей для сервера SQL должны включать адрес электронной почты для получения отчетов о проверке.

1496. Уязвимости системы безопасности в операционных системах и встроенном ПО, для которых определен средний или низкий уровень риска, исправляются, обновляются или устраняются в течение одного месяца с момента выявления этих уязвимостей поставщиками, независимыми сторонними производителями, диспетчерами или пользователями систем.

  • Уязвимости в базах данных SQL должны быть устранены.
  • На серверах SQL Server должна быть включена оценка уязвимости
  • В управляемых экземплярах SQL должна быть включена оценка уязвимостей
  • На виртуальных машинах должна быть включена Оценка уязвимостей
  • Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены.
  • Уязвимости должны быть устранены с помощью решения для оценки уязвимостей
  • Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
  • Необходимо устранить уязвимости в конфигурациях безопасности контейнера.
  • Параметры оценки уязвимостей для сервера SQL должны включать адрес электронной почты для получения отчетов о проверке.

Рекомендации по управлению системой — резервное копирование и восстановление данных

1511. Не реже чем ежедневно создаются резервные копии важной информации, параметров программного обеспечения и конфигурации.

  • Аудит виртуальных машин без аварийного восстановления

Рекомендации по мониторингу системы — ведение журнала событий и аудит событий

1405. Реализовано централизованное ведение журнала и во всех системах настроено сохранение журналов событий в централизованное средство ведения журнала в кратчайшие сроки после соответствующего события.

  • Подписки Azure должны иметь профиль журнала для журнала действий

0582. Следующие события в операционной системе регистрируются в журнале: доступ к важным данным и процессам, сбои приложений и любые сообщения об ошибках, попытки использовать специальные привилегии, изменения в учетных записях, изменения в политике безопасности, изменения конфигураций системы, запросы к службе доменных имен (DNS) и ресурсам HTTP, неудачные попытки доступа к данным и системным ресурсам, ошибки и перезапуски системы, запуски и завершения работы системы, перенос данных на внешние носители, управление пользователями или группами, использование специальных привилегий.

  • [Предварительная версия]: аудит развертывания агента Log Analytics — образ виртуальной машины (ОС) без списка
  • Проверка развертывания агента Log Analytics в VMSS — образ ВМ (ОС) отсутствует в списке
  • Проверка рабочей области Log Analytics для ВМ — сообщение о несоответствии
  • Аудит параметров диагностики

1537. Следующие события в базах данных регистрируются в журнале: доступ к особо важной информации, добавление новых пользователей (особенно привилегированных), любой запрос с комментариями, любой запрос с несколькими внедренными запросами, любые предупреждения или сбои на уровне запроса или базы данных, попытки повышения прав, успешные и неудачные попытки доступа, изменения в структуре базы данных, изменения ролей пользователей или разрешений в базе данных, действия администратора базы данных, входы в базу данных и выходы из нее, изменения данных, использование исполняемых команд.

  • На серверах SQL должна быть включена Расширенная защита данных
  • Аудит параметров диагностики
  • Необходимо включить Расширенную защиту данных на управляемых экземплярах SQL

Рекомендации по мониторингу системы — управление уязвимостями

0911. Квалифицированные сотрудники выполняют оценки уязвимостей и тесты на проникновение перед развертыванием системы, после любых значительных изменений в системе и регулярно по усмотрению владельца системы, но не реже одного раза в год.

  • Уязвимости в базах данных SQL должны быть устранены.
  • На серверах SQL Server должна быть включена оценка уязвимости
  • В управляемых экземплярах SQL должна быть включена оценка уязвимостей
  • На виртуальных машинах должна быть включена Оценка уязвимостей
  • Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены.
  • Уязвимости должны быть устранены с помощью решения для оценки уязвимостей
  • Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
  • Необходимо устранить уязвимости в конфигурациях безопасности контейнера.

Рекомендации по управлению системой базы данных — серверы баз данных

1425. Жесткие диски на серверах баз данных шифруются по технологии полного шифрования диска.

  • Шифрование дисков должно применяться к виртуальным машинам.
  • Прозрачное шифрование данных должно быть включено в базах данных SQL.

1277. Шифруется обмен информацией между серверами баз данных и веб-приложениями.

  • Должны быть включены только защищенные подключения к кэшу Redis
  • Должно выполняться безопасное перемещение в учетные записи хранения
  • Отображение результатов аудита веб-серверов Windows без безопасных протоколов связи
  • Развертывание требуемых компонентов для аудита веб-серверов Windows без безопасных протоколов связи

Рекомендации по управлению системой базы данных — программное обеспечение управления базой данных

1260. Стандартные учетные записи администратора базы данных отключаются либо для них изменяются имена входа или парольные фразы.

  • Для серверов SQL должен быть подготовлен администратор Azure Active Directory

1262. Администраторы баз данных имеют уникальные и идентифицируемые учетные записи.

  • Для серверов SQL должен быть подготовлен администратор Azure Active Directory

1261. Учетные записи администратора базы данных не используются в нескольких базах данных.

  • Для серверов SQL должен быть подготовлен администратор Azure Active Directory

1263. Учетные записи администратора базы данных используются исключительно для административных задач, а стандартные учетные записи баз данных используются для обычного взаимодействия с базой данных.

  • Для серверов SQL должен быть подготовлен администратор Azure Active Directory

1264. Доступ администратора базы данных ограничен определенными ролями, а не предоставляется в форме учетных записей со стандартными или полными разрешениями.

  • Для серверов SQL должен быть подготовлен администратор Azure Active Directory

Рекомендации по использованию шифрования — основы криптографии

0459. Программное обеспечение, которое используется для шифрования неактивных данных, реализует полное шифрование диска или частичное шифрование, в котором элементы управления доступом разрешают только запись в зашифрованную секцию.

  • Шифрование дисков должно применяться к виртуальным машинам.

Рекомендации по использованию шифрования — протокол TLS

1139. Используется только последняя версия TLS.

  • В вашем приложении API необходимо использовать последнюю версию TLS
  • В вашем веб-приложении необходимо использовать последнюю версию TLS
  • В вашем приложении-функции необходимо использовать последнюю версию TLS
  • Развертывание требуемых компонентов для аудита веб-серверов Windows без безопасных протоколов связи
  • Отображение результатов аудита веб-серверов Windows без безопасных протоколов связи

Рекомендации по передаче данных и фильтрации содержимого — фильтрация содержимого

1288. Для всего содержимого выполняется антивирусное сканирование с использованием нескольких разных антивирусных систем.

  • На серверах Windows должно быть развернуто расширение Microsoft IaaSAntimalware.
  • В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection
  • Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure

Рекомендации по передаче данных и фильтрации содержимого — разработка веб-приложений

1552. Все содержимое веб-приложения предлагается только по протоколу HTTPS.

  • Приложение-функция должно быть доступно только по HTTPS.
  • Приложение API должно быть доступно только по HTTPS
  • Веб-приложение должно быть доступно только по HTTPS.
  • Должны быть включены только защищенные подключения к кэшу Redis

1424. Для веб-приложений реализованы браузерные средства управления безопасностью, которые позволяют защитить веб-приложения и их пользователей.

  • Функция CORS не должна разрешать всем ресурсам доступ к вашим веб-приложениям.

Рекомендации по управлению сетями — проектирование и настройка сети

0520. В сетях реализовано управление доступом для предотвращения подключения неавторизованных сетевых устройств.

  • Аудит неограниченного сетевого доступа к учетным записям хранения

1182. Реализовано управление доступом к сети для ограничения трафика внутри сегментов сети и между ними в строгом соответствии с бизнес-целями.

  • Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети.
  • Аудит неограниченного сетевого доступа к учетным записям хранения
  • На виртуальных машинах с выходом в Интернет должны применяться рекомендации Адаптивной защиты сети.

Рекомендации по управлению сетью — непрерывность работы веб-служб

1431. С поставщиками услуг согласованы стратегии предотвращения атак типа "отказ в обслуживании" и способы их устранения, в частности: технические возможности для противодействия атакам типа "отказ в обслуживании", любые расходы клиентов в случае атак типа "отказ в обслуживании", пороговые значения для извещения клиентов и (или) отключения веб-служб при атаках типа "отказ в обслуживании", заранее утвержденный список допустимых действий при атаках типа "отказ в обслуживании", договоренности с вышестоящим поставщиком по предотвращению атак типа "отказ в обслуживании", позволяющие блокировать вредоносный трафик на максимально высоком уровне.

  • Защита от атак DDoS должна быть включена

Примечание.

Возможность использования отдельных определений Политики Azure может отличаться в Azure для государственных организаций и других национальных облаках.

Следующие шаги

Дополнительные статьи о схемах и способах их использования:

Схема ISM PROTECTED — общие сведенияСхема ISM PROTECTED — этапы развертывания