Поделиться через


Сведения о встроенной инициативе по соответствию нормативным требованиям (SOC) 2 (SOC) 2 (Azure для государственных организаций)

В следующей статье описано, как Политика Azure встроенное определение инициативы соответствия нормативным требованиям сопоставляется с доменами соответствия и элементами управления в системных и организационных элементах управления (SOC) 2 (Azure для государственных организаций). Дополнительные сведения об этом стандарте соответствия см. в разделе "Системные и организационные элементы управления" (SOC) 2. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.

Ниже приведены сопоставления элементов управления System and Organization Controls (SOC) 2 . Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы SOC 2 типа 2 нормативных требований.

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

Дополнительные критерии для доступности

Управление емкостью

Id: SOC 2 Type 2 A1.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Планирование емкости CMA_C1252 . Планирование емкости Вручную, отключено 1.1.0

Защита окружающей среды, программное обеспечение, процессы резервного копирования данных и инфраструктура восстановления

Id: SOC 2 Type 2 A1.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 3.0.0
Использование автоматического аварийного освещения CMA_0209 . Использование автоматического аварийного освещения Вручную, отключено 1.1.0
Создание альтернативного сайта обработки CMA_0262. Создание альтернативного сайта обработки Вручную, отключено 1.1.0
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
Реализация методологии тестирования на проникновение CMA_0306 . Реализация методологии тестирования на проникновение Вручную, отключено 1.1.0
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0
Установка системы сигнализации CMA_0338. Установка системы сигнализации Вручную, отключено 1.1.0
Восстановление и восстановление ресурсов после каких-либо нарушений CMA_C1295 — восстановление и восстановление ресурсов после каких-либо нарушений Вручную, отключено 1.1.1
Запуск атак имитации CMA_0486. Выполнение атак имитации Вручную, отключено 1.1.0
Отдельно хранить сведения о резервном копировании CMA_C1293 — отдельно хранить сведения о резервном копировании Вручную, отключено 1.1.0
Передача сведений о резервном копировании на альтернативный сайт хранилища CMA_C1294. Передача сведений о резервном копировании на альтернативный сайт хранилища Вручную, отключено 1.1.0

Тестирование плана восстановления

Id: SOC 2 Type 2 A1.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Координация планов на непредвиденные случаи с соответствующими планами CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами Вручную, отключено 1.1.0
Инициирование действий по тестированию планов на непредвиденные случаи CMA_C1263. Инициирование действий по тестированию планов на непредвиденные случаи Вручную, отключено 1.1.0
Просмотр результатов тестирования плана на непредвиденные случаи CMA_C1262 . Просмотр результатов тестирования плана на непредвиденные случаи Вручную, отключено 1.1.0
Тестирование плана непрерывности бизнес-процессов и аварийного восстановления CMA_0509. Тестирование плана непрерывности бизнес-процессов и аварийного восстановления Вручную, отключено 1.1.0

Дополнительные критерии конфиденциальности

Защита конфиденциальной информации

Id: SOC 2 Type 2 C1.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Управление вводом, выводом, обработкой и хранением данных CMA_0369 — Управление вводом, выводом, обработкой и хранением данных Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0

Удаление конфиденциальной информации

Id: SOC 2 Type 2 C1.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Управление вводом, выводом, обработкой и хранением данных CMA_0369 — Управление вводом, выводом, обработкой и хранением данных Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0

Среда управления

Принцип COSO 1

Id: SOC 2 Type 2 CC1.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка допустимых политик и процедур использования CMA_0143. Разработка допустимых политик и процедур использования Вручную, отключено 1.1.0
Разработка кодекса поведения организации CMA_0159 . Разработка кодекса поведения организации Вручную, отключено 1.1.0
Принятие персоналом документов о требованиях к конфиденциальности CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности Вручную, отключено 1.1.0
Применение правил поведения и соглашений о доступе CMA_0248 . Применение правил поведения и соглашений о доступе Вручную, отключено 1.1.0
Запрет несправедливой практики CMA_0396 . Запретить несправедливую практику Вручную, отключено 1.1.0
Проверка и подписание измененных правил поведения CMA_0465. Проверка и подписание измененных правил поведения Вручную, отключено 1.1.0
Обновление правил поведения и соглашений о доступе CMA_0521 . Обновление правил поведения и соглашений о доступе Вручную, отключено 1.1.0
Обновление правил поведения и соглашений о доступе каждые 3 года CMA_0522 — обновление правил поведения и соглашений о доступе каждые 3 года Вручную, отключено 1.1.0

Принцип COSO 2

Id: SOC 2 Type 2 CC1.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Назначение старшего сотрудника по информационной безопасности CMA_C1733 . Назначение старшего сотрудника по информационной безопасности Вручную, отключено 1.1.0
Разработка и создание плана безопасности системы CMA_0151 . Разработка и создание плана безопасности системы Вручную, отключено 1.1.0
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Установка требований к безопасности для производства подключенных устройств CMA_0279. Создание требований к безопасности для производства подключенных устройств Вручную, отключено 1.1.0
Реализация принципов проектирования безопасности информационных систем CMA_0325 . Реализация принципов проектирования безопасности информационных систем Вручную, отключено 1.1.0

Принцип COSO 3

Id: SOC 2 Type 2 CC1.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Назначение старшего сотрудника по информационной безопасности CMA_C1733 . Назначение старшего сотрудника по информационной безопасности Вручную, отключено 1.1.0
Разработка и создание плана безопасности системы CMA_0151 . Разработка и создание плана безопасности системы Вручную, отключено 1.1.0
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Установка требований к безопасности для производства подключенных устройств CMA_0279. Создание требований к безопасности для производства подключенных устройств Вручную, отключено 1.1.0
Реализация принципов проектирования безопасности информационных систем CMA_0325 . Реализация принципов проектирования безопасности информационных систем Вручную, отключено 1.1.0

Принцип COSO 4

Id: SOC 2 Type 2 CC1.4 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предоставление периодического обучения безопасности на основе ролей CMA_C1095. Предоставление периодического обучения безопасности на основе ролей Вручную, отключено 1.1.0
Предоставление периодической подготовки по обеспечению осведомленности о безопасности CMA_C1091. Предоставление периодической подготовки по повышению осведомленности о безопасности Вручную, отключено 1.1.0
Предоставление практических упражнений на основе ролей CMA_C1096. Предоставление практических упражнений на основе ролей Вручную, отключено 1.1.0
Предоставьте обучение безопасности перед предоставлением доступа CMA_0418. Предоставьте обучение безопасности перед предоставлением доступа Вручную, отключено 1.1.0
Предоставление обучения безопасности для новых пользователей CMA_0419. Предоставление обучения безопасности для новых пользователей Вручную, отключено 1.1.0

Принцип COSO 5

Id: SOC 2 Type 2 CC1.5 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка допустимых политик и процедур использования CMA_0143. Разработка допустимых политик и процедур использования Вручную, отключено 1.1.0
Применение правил поведения и соглашений о доступе CMA_0248 . Применение правил поведения и соглашений о доступе Вручную, отключено 1.1.0
Реализация формального процесса санкций CMA_0317 . Реализация формального процесса санкций Вручную, отключено 1.1.0
Уведомление персонала о санкциях CMA_0380 — уведомление персонала о санкциях Вручную, отключено 1.1.0

Коммуникация и информация

Принцип COSO 13

Id: SOC 2 Type 2 CC2.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Управление вводом, выводом, обработкой и хранением данных CMA_0369 — Управление вводом, выводом, обработкой и хранением данных Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0

Принцип COSO 14

Id: SOC 2 Type 2 CC2.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка допустимых политик и процедур использования CMA_0143. Разработка допустимых политик и процедур использования Вручную, отключено 1.1.0
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.0.0
Применение правил поведения и соглашений о доступе CMA_0248 . Применение правил поведения и соглашений о доступе Вручную, отключено 1.1.0
Предоставление периодического обучения безопасности на основе ролей CMA_C1095. Предоставление периодического обучения безопасности на основе ролей Вручную, отключено 1.1.0
Предоставление периодической подготовки по обеспечению осведомленности о безопасности CMA_C1091. Предоставление периодической подготовки по повышению осведомленности о безопасности Вручную, отключено 1.1.0
Предоставьте обучение безопасности перед предоставлением доступа CMA_0418. Предоставьте обучение безопасности перед предоставлением доступа Вручную, отключено 1.1.0
Предоставление обучения безопасности для новых пользователей CMA_0419. Предоставление обучения безопасности для новых пользователей Вручную, отключено 1.1.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1

Принцип COSO 15

Id: SOC 2 Type 2 CC2.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение обязанностей процессоров CMA_0127. Определение обязанностей процессоров Вручную, отключено 1.1.0
Результаты оценки безопасности CMA_C1147. Результаты оценки безопасности Вручную, отключено 1.1.0
Разработка и создание плана безопасности системы CMA_0151 . Разработка и создание плана безопасности системы Вручную, отключено 1.1.0
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.0.0
Установка требований к безопасности для производства подключенных устройств CMA_0279. Создание требований к безопасности для производства подключенных устройств Вручную, отключено 1.1.0
Создание сторонних требований к безопасности персонала CMA_C1529. Создание требований к безопасности сторонних сотрудников Вручную, отключено 1.1.0
Реализация методов доставки уведомлений о конфиденциальности CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности Вручную, отключено 1.1.0
Реализация принципов проектирования безопасности информационных систем CMA_0325 . Реализация принципов проектирования безопасности информационных систем Вручную, отключено 1.1.0
Создание отчета об оценке безопасности CMA_C1146 . Создание отчета об оценке безопасности Вручную, отключено 1.1.0
Предоставление уведомления о конфиденциальности CMA_0414 . Предоставление уведомления о конфиденциальности Вручную, отключено 1.1.0
Требовать от сторонних поставщиков соблюдать политики и процедуры безопасности персонала CMA_C1530. Требовать, чтобы сторонние поставщики соответствовали политикам и процедурам безопасности персонала Вручную, отключено 1.1.0
Ограничение обмена данными CMA_0449. Ограничение обмена данными Вручную, отключено 1.1.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1

конфиденциальности

Принцип COSO 6

Id: SOC 2 Type 2 CC3.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Классификация сведений CMA_0052 — классификация сведений Вручную, отключено 1.1.0
Определение потребностей защиты информации CMA_C1750. Определение потребностей защиты информации Вручную, отключено 1.1.0
Разработка схем бизнес-классификации CMA_0155 . Разработка схем классификации бизнеса Вручную, отключено 1.1.0
Разработка служб SSP, удовлетворяющих критериям CMA_C1492 . Разработка SSP, соответствующего критериям Вручную, отключено 1.1.0
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0

Принцип COSO 7

Id: SOC 2 Type 2 CC3.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Классификация сведений CMA_0052 — классификация сведений Вручную, отключено 1.1.0
Определение потребностей защиты информации CMA_C1750. Определение потребностей защиты информации Вручную, отключено 1.1.0
Разработка схем бизнес-классификации CMA_0155 . Разработка схем классификации бизнеса Вручную, отключено 1.1.0
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0

Принцип COSO 8

Id: SOC 2 Type 2 CC3.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0

Принцип COSO 9

Id: SOC 2 Type 2 CC3.4 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка риска в отношениях сторонних производителей CMA_0014. Оценка риска в отношениях сторонних производителей Вручную, отключено 1.1.0
Определение требований к поставке товаров и услуг CMA_0126. Определение требований к поставке товаров и услуг Вручную, отключено 1.1.0
Определение обязательств по контракту поставщика CMA_0140. Определение обязательств по контракту поставщика Вручную, отключено 1.1.0
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Установка политик для управления рисками цепочки поставок CMA_0275. Создание политик для управления рисками цепочки поставок Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0

Мониторинг действий

Принцип COSO 16

Id: SOC 2 Type 2 CC4.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка элементов управления безопасностью CMA_C1145 . Оценка элементов управления безопасностью Вручную, отключено 1.1.0
Разработка плана оценки безопасности CMA_C1144. Разработка плана оценки безопасности Вручную, отключено 1.1.0
Выбор дополнительного тестирования для оценки системы управления безопасностью CMA_C1149. Выбор дополнительного тестирования для оценки системы безопасности Вручную, отключено 1.1.0

Принцип COSO 17

Id: SOC 2 Type 2 CC4.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Результаты оценки безопасности CMA_C1147. Результаты оценки безопасности Вручную, отключено 1.1.0
Создание отчета об оценке безопасности CMA_C1146 . Создание отчета об оценке безопасности Вручную, отключено 1.1.0

Действия элемента управления

Принцип COSO 10

Id: SOC 2 Type 2 CC5.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0

Принцип COSO 11

Id: SOC 2 Type 2 CC5.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Проектирование модели управления доступом CMA_0129 — Проектирование модели управления доступом Вручную, отключено 1.1.0
Определение обязательств по контракту поставщика CMA_0140. Определение обязательств по контракту поставщика Вручную, отключено 1.1.0
Критерии принятия контракта на приобретение документов CMA_0187 — условия принятия контракта на приобретение документов Вручную, отключено 1.1.0
Защита персональных данных в контрактах на приобретение CMA_0194 — защита персональных данных в контрактах на приобретение Вручную, отключено 1.1.0
Защита сведений о безопасности в контрактах на приобретение CMA_0195 . Защита информации о безопасности в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документу для использования общих данных в контрактах CMA_0197 . Требования к документу для использования общих данных в контрактах Вручную, отключено 1.1.0
Документирование требований к обеспечению безопасности в контрактах на приобретение CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документации по безопасности документов в контракте на приобретение CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение Вручную, отключено 1.1.0
Документируйте функциональные требования к безопасности в контрактах на приобретение CMA_0201 . Требования к безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте требования к надежности безопасности в контрактах на приобретение CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте среду информационной системы в контрактах на приобретение CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте защиту данных заполнителей карт в сторонних контрактах CMA_0207 . Документируйте защиту данных заполнителей карт в сторонних контрактах Вручную, отключено 1.1.0
Использование минимальных прав доступа CMA_0212 — Использование минимальных прав доступа Вручную, отключено 1.1.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, Disabled 3.0.0

Принцип COSO 12

Id: SOC 2 Type 2 CC5.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка списка разрешений обнаружения CMA_0068. Настройка списка разрешений по обнаружению Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0
Включение датчиков для решения безопасности конечной точки CMA_0514 — Включение датчиков для решения безопасности конечной точки Вручную, отключено 1.1.0
Прохождение независимой проверки безопасности CMA_0515. Прохождение независимой проверки безопасности Вручную, отключено 1.1.0

Логические и физические контроль доступа

Программное обеспечение для обеспечения безопасности, инфраструктуры и архитектуры логического доступа

Id: SOC 2 Type 2 CC6.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Внедрение механизмов биометрической проверки подлинности CMA_0005 — Внедрение механизмов биометрической проверки подлинности Вручную, отключено 1.1.0
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
При аутентификации на компьютерах Linux должны использоваться ключи SSH Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 2.4.0
Авторизация доступа к функциям безопасности и информации о безопасности CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности Вручную, отключено 1.1.0
Авторизация и управление доступом CMA_0023 — Авторизация и управление доступом Вручную, отключено 1.1.0
Авторизация удаленного доступа CMA_0024  — Авторизация удаленного доступа Вручную, отключено 1.1.0
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Audit, Deny, Disabled 1.1.0
Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. Audit, Deny, Disabled 2.2.0
Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.1.0
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Управление потоком информации CMA_0079 — Управление потоком информации Вручную, отключено 1.1.0
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Создание инвентаризации данных CMA_0096. Создание инвентаризации данных Вручную, отключено 1.1.0
Определение физического процесса управления ключами CMA_0115 — Определение физического процесса управления ключами Вручную, отключено 1.1.0
Определение использования шифрования CMA_0120 — Определение использования шифрования Вручную, отключено 1.1.0
Определение требований организации к управлению криптографическими ключами CMA_0123 — Определение требований организации к управлению криптографическими ключами Вручную, отключено 1.1.0
Проектирование модели управления доступом CMA_0129 — Проектирование модели управления доступом Вручную, отключено 1.1.0
Определение требований к утверждению CMA_0136 — Определение требований к утверждению Вручную, отключено 1.1.0
Документирование обучения мобильности CMA_0191 — Документирование обучения мобильности Вручную, отключено 1.1.0
Документирование инструкций по удаленному доступу CMA_0196 — Документирование инструкций по удаленному доступу Вручную, отключено 1.1.0
Применение механизмов управления потоком зашифрованных данных CMA_0211 — Применение механизмов управления потоком зашифрованных данных Вручную, отключено 1.1.0
Использование минимальных прав доступа CMA_0212 — Использование минимальных прав доступа Вручную, отключено 1.1.0
Принудительный логический доступ CMA_0245 — Принудительный логический доступ Вручную, отключено 1.1.0
Принудительное применение обязательных и избирательных политик управления доступом CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом Вручную, отключено 1.1.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Создание процедуры управления утечкой данных CMA_0255 — Создание процедуры управления утечкой данных Вручную, отключено 1.1.0
Установка стандартов конфигурации брандмауэра и маршрутизатора CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора Вручную, отключено 1.1.0
Создание сегментации сети для среды данных держателей карт CMA_0273 — Создание сегментации сети для среды данных держателей карт Вручную, отключено 1.1.0
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.1.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Определение обмена нисходящими данными и управление им CMA_0298 — Определение обмена нисходящими данными и управление им Вручную, отключено 1.1.0
Реализация элементов управления для защиты альтернативных рабочих сайтов CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов Вручную, отключено 1.1.0
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Выдача сертификатов открытого ключа CMA_0347 — Выдача сертификатов открытого ключа Вручную, отключено 1.1.0
В хранилищах ключей должна быть включена защита от удаления Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. Audit, Deny, Disabled 2.1.0
В хранилищах ключей должно быть включено обратимое удаление Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. Audit, Deny, Disabled 3.0.0
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Обслуживание записей обработки персональных данных CMA_0353 . Сохранение записей об обработке персональных данных Вручную, отключено 1.1.0
Управление симметричными криптографическими ключами CMA_0367 — Управление симметричными криптографическими ключами Вручную, отключено 1.1.0
Управление вводом, выводом, обработкой и хранением данных CMA_0369 — Управление вводом, выводом, обработкой и хранением данных Вручную, отключено 1.1.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Порты управления на виртуальных машинах должны быть закрыты Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Уведомление пользователей о входе в систему или доступе CMA_0382. Уведомление пользователей о входе в систему или доступе Вручную, отключено 1.1.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Защита данных при передаче с помощью шифрования CMA_0403 — Защита данных при передаче с помощью шифрования Вручную, отключено 1.1.0
Защита специальной информации CMA_0409 — Защита специальной информации Вручную, отключено 1.1.0
Обучение в области конфиденциальности CMA_0415 — Обучение в области конфиденциальности Вручную, отключено 1.1.0
Требование утверждения для создания учетной записи CMA_0431 — Требование утверждения для создания учетной записи Вручную, отключено 1.1.0
Ограничение доступа к закрытым ключам CMA_0445 — Ограничение доступа к закрытым ключам Вручную, отключено 1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным Вручную, отключено 1.1.0
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. Audit, Deny, Disabled 1.1.0
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.0
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.1
Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Disabled 1.0.3
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, Disabled 3.0.0
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 3.0.1

Доступ к подготовке и удалению

Id: SOC 2 Type 2 CC6.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Назначение диспетчеров учетных записей CMA_0015. Назначение диспетчеров учетных записей Вручную, отключено 1.1.0
Аудит состояния учетной записи пользователя CMA_0020 — Аудит состояния учетной записи пользователя Вручную, отключено 1.1.0
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Права доступа к документам CMA_0186 . Права доступа к документам Вручную, отключено 1.1.0
Создание условий для членства в роли CMA_0269. Создание условий для членства в роли Вручную, отключено 1.1.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Требование утверждения для создания учетной записи CMA_0431 — Требование утверждения для создания учетной записи Вручную, отключено 1.1.0
Ограничение доступа к привилегированным учетным записям CMA_0446 — Ограничение доступа к привилегированным учетным записям Вручную, отключено 1.1.0
Проверка журналов подготовки учетных записей CMA_0460 — Проверка журналов подготовки учетных записей Вручную, отключено 1.1.0
Проверка учетных записей пользователей CMA_0480 — Проверка учетных записей пользователей Вручную, отключено 1.1.0

Доступ на основе Rol и минимальные привилегии

Id: SOC 2 Type 2 CC6.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Аудит привилегированных функций CMA_0019 — Аудит привилегированных функций Вручную, отключено 1.1.0
Аудит использования пользовательских ролей RBAC Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. Audit, Disabled 1.0.1
Аудит состояния учетной записи пользователя CMA_0020 — Аудит состояния учетной записи пользователя Вручную, отключено 1.1.0
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Проектирование модели управления доступом CMA_0129 — Проектирование модели управления доступом Вручную, отключено 1.1.0
Использование минимальных прав доступа CMA_0212 — Использование минимальных прав доступа Вручную, отключено 1.1.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Мониторинг назначения привилегированной роли CMA_0378 — Мониторинг назначения привилегированной роли Вручную, отключено 1.1.0
Ограничение доступа к привилегированным учетным записям CMA_0446 — Ограничение доступа к привилегированным учетным записям Вручную, отключено 1.1.0
Проверка журналов подготовки учетных записей CMA_0460 — Проверка журналов подготовки учетных записей Вручную, отключено 1.1.0
Проверка учетных записей пользователей CMA_0480 — Проверка учетных записей пользователей Вручную, отключено 1.1.0
Проверка привилегий пользователя CMA_C1039 — Проверка привилегий пользователя Вручную, отключено 1.1.0
Отзыв привилегированных ролей при необходимости CMA_0483 — Отзыв привилегированных ролей при необходимости Вручную, отключено 1.1.0
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. Audit, Disabled 1.0.4
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, Disabled 3.0.0
Использование Privileged Identity Management CMA_0533 — Использование Privileged Identity Management Вручную, отключено 1.1.0

Ограниченный физический доступ

Id: SOC 2 Type 2 CC6.4 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0

Логические и физические средства защиты от физических ресурсов

Id: SOC 2 Type 2 CC6.5 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование механизма очистки мультимедиа CMA_0208 . Использование механизма очистки мультимедиа Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0

Меры безопасности для угроз вне системных границ

Идентификатор: владение SOC 2 типа 2 CC6.6: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Внедрение механизмов биометрической проверки подлинности CMA_0005 — Внедрение механизмов биометрической проверки подлинности Вручную, отключено 1.1.0
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
При аутентификации на компьютерах Linux должны использоваться ключи SSH Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 2.4.0
Авторизация удаленного доступа CMA_0024  — Авторизация удаленного доступа Вручную, отключено 1.1.0
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
Управление потоком информации CMA_0079 — Управление потоком информации Вручную, отключено 1.1.0
Документирование обучения мобильности CMA_0191 — Документирование обучения мобильности Вручную, отключено 1.1.0
Документирование инструкций по удаленному доступу CMA_0196 — Документирование инструкций по удаленному доступу Вручную, отключено 1.1.0
Применение механизмов управления потоком зашифрованных данных CMA_0211 — Применение механизмов управления потоком зашифрованных данных Вручную, отключено 1.1.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Установка стандартов конфигурации брандмауэра и маршрутизатора CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора Вручную, отключено 1.1.0
Создание сегментации сети для среды данных держателей карт CMA_0273 — Создание сегментации сети для среды данных держателей карт Вручную, отключено 1.1.0
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.1.0
Идентификация и аутентификация сетевых устройств CMA_0296 — Идентификация и аутентификация сетевых устройств Вручную, отключено 1.1.0
Определение обмена нисходящими данными и управление им CMA_0298 — Определение обмена нисходящими данными и управление им Вручную, отключено 1.1.0
Реализация элементов управления для защиты альтернативных рабочих сайтов CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов Вручную, отключено 1.1.0
Реализация защиты границ системы CMA_0328 . Реализация защиты границ системы Вручную, отключено 1.1.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
На виртуальной машине должна быть отключена IP-переадресация Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. AuditIfNotExists, Disabled 3.0.0
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Порты управления на виртуальных машинах должны быть закрыты Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Уведомление пользователей о входе в систему или доступе CMA_0382. Уведомление пользователей о входе в систему или доступе Вручную, отключено 1.1.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Защита данных при передаче с помощью шифрования CMA_0403 — Защита данных при передаче с помощью шифрования Вручную, отключено 1.1.0
Обучение в области конфиденциальности CMA_0415 — Обучение в области конфиденциальности Вручную, отключено 1.1.0
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 3.0.1

Ограничение перемещения информации авторизованным пользователям

Id: SOC 2 Type 2 CC6.7 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Настройка рабочих станций для проверки на наличие цифровых сертификатов CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов Вручную, отключено 1.1.0
Управление потоком информации CMA_0079 — Управление потоком информации Вручную, отключено 1.1.0
Определение требований к мобильным устройствам CMA_0122. Определение требований к мобильным устройствам Вручную, отключено 1.1.0
Использование механизма очистки мультимедиа CMA_0208 . Использование механизма очистки мультимедиа Вручную, отключено 1.1.0
Применение механизмов управления потоком зашифрованных данных CMA_0211 — Применение механизмов управления потоком зашифрованных данных Вручную, отключено 1.1.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Установка стандартов конфигурации брандмауэра и маршрутизатора CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора Вручную, отключено 1.1.0
Создание сегментации сети для среды данных держателей карт CMA_0273 — Создание сегментации сети для среды данных держателей карт Вручную, отключено 1.1.0
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.1.0
Определение обмена нисходящими данными и управление им CMA_0298 — Определение обмена нисходящими данными и управление им Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Управление транспортировкой ресурсов CMA_0370 . Управление транспортировкой активов Вручную, отключено 1.1.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Порты управления на виртуальных машинах должны быть закрыты Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Защита данных при передаче с помощью шифрования CMA_0403 — Защита данных при передаче с помощью шифрования Вручную, отключено 1.1.0
Защита паролей с помощью шифрования CMA_0408 — Защита паролей с помощью шифрования Вручную, отключено 1.1.0
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 3.0.1

Предотвращение или обнаружение несанкционированного или вредоносного программного обеспечения

Id: SOC 2 Type 2 CC6.8 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. Audit, Disabled 3.1.0-устаревший
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Приложения Службы приложений должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
Аудит виртуальных машин, которые не используют управляемые диски Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. audit 1.0.0
В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. Audit, Disabled 1.0.2
Блокировать ненадежные и неподписанные процессы, выполняемые из USB CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB Вручную, отключено 1.1.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Приложения-функции должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные образы Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Службы кластера Kubernetes должны прослушивать только разрешенные порты Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Кластер Kubernetes не должен разрешать привилегированные контейнеры Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.1.0
Кластеры Kubernetes должны отключить учетные данные API автоподключения Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Кластеры Kubernetes не должны использовать пространство имен по умолчанию Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. AuditIfNotExists, Disabled 1.5.0
Управление шлюзами CMA_0363 — Управление шлюзами Вручную, отключено 1.1.0
Должны быть установлены только утвержденные расширения виртуальных машин Эта политика управляет неутвержденными расширениями виртуальных машин. Audit, Deny, Disabled 1.0.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ Вручную, отключено 1.1.0
Еженедельная проверка состояния защиты от угроз CMA_0479 — Еженедельная проверка состояния защиты от угроз Вручную, отключено 1.1.0
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. Audit, Deny, Disabled 1.0.0
Обновление определений антивирусной программы CMA_0517 — Обновление определений для антивирусного ПО Вручную, отключено 1.1.0
Проверка программного обеспечения, встроенного ПО и целостности данных CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных Вручную, отключено 1.1.0
Просмотр и настройка системных диагностических данных CMA_0544. Просмотр и настройка системных диагностических данных Вручную, отключено 1.1.0
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. AuditIfNotExists, Disabled 1.0.0

Системные операции

Обнаружение и мониторинг новых уязвимостей

Id: SOC 2 Type 2 CC7.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка действий для несоответствующих устройств CMA_0062 — Настройка действий для несоответствующих устройств Вручную, отключено 1.1.0
Разработка и настройка базовых конфигураций CMA_0153 — Разработка и настройка базовых конфигураций Вручную, отключено 1.1.0
Включение обнаружения сетевых устройств CMA_0220. Включение обнаружения сетевых устройств Вручную, отключено 1.1.0
Принудительное применение параметров конфигурации безопасности CMA_0249 — Принудительное применение параметров конфигурации безопасности Вручную, отключено 1.1.0
Создание совета по контролю за конфигурацией CMA_0254 — Создание совета по контролю за конфигурацией Вручную, отключено 1.1.0
Определение и документирование плана управления конфигурацией CMA_0264 — Определение и документирование плана управления конфигурацией Вручную, отключено 1.1.0
Реализация средства автоматизированного управления конфигурацией CMA_0311 — Реализация средства автоматизированного управления конфигурацией Вручную, отключено 1.1.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации Вручную, отключено 1.1.0
Проверка программного обеспечения, встроенного ПО и целостности данных CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных Вручную, отключено 1.1.0
Просмотр и настройка системных диагностических данных CMA_0544. Просмотр и настройка системных диагностических данных Вручную, отключено 1.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0

Мониторинг системных компонентов для аномального поведения

Id: SOC 2 Type 2 CC7.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 4.0.1-preview
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Обнаружение сетевых служб, которые не были авторизованы или утверждены CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены Вручную, отключено 1.1.0
Управление действиями по обработке данных аудита и их мониторинг CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг Вручную, отключено 1.1.0
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender для хранилища (классическая модель) должна быть включена Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. AuditIfNotExists, Disabled 1.0.4
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). AuditIfNotExists, Disabled 1.1.1

Обнаружение инцидентов безопасности

Id: SOC 2 Type 2 CC7.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик и процедур реагирования на инциденты CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты Вручную, отключено 1.1.0

Реагирование на инциденты безопасности

Id: SOC 2 Type 2 CC7.4 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка событий информационной безопасности CMA_0013. Оценка событий информационной безопасности Вручную, отключено 1.1.0
Координация планов на непредвиденные случаи с соответствующими планами CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами Вручную, отключено 1.1.0
Разработка плана реагирования на инциденты CMA_0145 — Разработка плана реагирования на инциденты Вручную, отключено 1.1.0
Разработка гарантий безопасности CMA_0161. Разработка гарантий безопасности Вручную, отключено 1.1.0
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.0.0
Включение защиты сети CMA_0238. Включение защиты сети Вручную, отключено 1.1.0
Искоренение загрязненной информации CMA_0253 . Искоренение загрязненной информации Вручную, отключено 1.1.0
Выполнение действий в ответ на утечки информации CMA_0281. Выполнение действий в ответ на утечки информации Вручную, отключено 1.1.0
Определение классов инцидентов и действий, выполненных CMA_C1365. Определение классов инцидентов и действий, выполненных Вручную, отключено 1.1.0
Реализация обработки инцидентов CMA_0318. Реализация обработки инцидентов Вручную, отключено 1.1.0
Включение динамической перенастройки развернутых пользователем ресурсов CMA_C1364. Включение динамической перенастройки развернутых пользователем ресурсов Вручную, отключено 1.1.0
Обслуживание плана реагирования на инциденты CMA_0352 — обслуживание плана реагирования на инциденты Вручную, отключено 1.1.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
Просмотр и исследование ограниченных пользователей CMA_0545 . Просмотр и исследование ограниченных пользователей Вручную, отключено 1.1.0

Восстановление после выявленных инцидентов безопасности

Id: SOC 2 Type 2 CC7.5 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка событий информационной безопасности CMA_0013. Оценка событий информационной безопасности Вручную, отключено 1.1.0
Проведение тестирования реагирования на инциденты CMA_0060. Проведение тестирования реагирования на инциденты Вручную, отключено 1.1.0
Координация планов на непредвиденные случаи с соответствующими планами CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами Вручную, отключено 1.1.0
Координация с внешними организациями для достижения кросс-организационной перспективы CMA_C1368 . Координация с внешними организациями для достижения межорганиционной перспективы Вручную, отключено 1.1.0
Разработка плана реагирования на инциденты CMA_0145 — Разработка плана реагирования на инциденты Вручную, отключено 1.1.0
Разработка гарантий безопасности CMA_0161. Разработка гарантий безопасности Вручную, отключено 1.1.0
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.0.0
Включение защиты сети CMA_0238. Включение защиты сети Вручную, отключено 1.1.0
Искоренение загрязненной информации CMA_0253 . Искоренение загрязненной информации Вручную, отключено 1.1.0
Установка программы информационной безопасности CMA_0263. Создание программы информационной безопасности Вручную, отключено 1.1.0
Выполнение действий в ответ на утечки информации CMA_0281. Выполнение действий в ответ на утечки информации Вручную, отключено 1.1.0
Реализация обработки инцидентов CMA_0318. Реализация обработки инцидентов Вручную, отключено 1.1.0
Обслуживание плана реагирования на инциденты CMA_0352 — обслуживание плана реагирования на инциденты Вручную, отключено 1.1.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Запуск атак имитации CMA_0486. Выполнение атак имитации Вручную, отключено 1.1.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
Просмотр и исследование ограниченных пользователей CMA_0545 . Просмотр и исследование ограниченных пользователей Вручную, отключено 1.1.0

Управление изменениями

Изменения инфраструктуры, данных и программного обеспечения

Id: SOC 2 Type 2 CC8.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. Audit, Disabled 3.1.0-устаревший
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Приложения Службы приложений должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
Аудит виртуальных машин, которые не используют управляемые диски Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. audit 1.0.0
В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. Audit, Disabled 1.0.2
Проведение анализа влияния на безопасность CMA_0057. Проведение анализа влияния на безопасность Вручную, отключено 1.1.0
Настройка действий для несоответствующих устройств CMA_0062 — Настройка действий для несоответствующих устройств Вручную, отключено 1.1.0
Разработка и обслуживание стандарта управление уязвимостями CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями Вручную, отключено 1.1.0
Разработка и настройка базовых конфигураций CMA_0153 — Разработка и настройка базовых конфигураций Вручную, отключено 1.1.0
Принудительное применение параметров конфигурации безопасности CMA_0249 — Принудительное применение параметров конфигурации безопасности Вручную, отключено 1.1.0
Создание совета по контролю за конфигурацией CMA_0254 — Создание совета по контролю за конфигурацией Вручную, отключено 1.1.0
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Определение и документирование плана управления конфигурацией CMA_0264 — Определение и документирование плана управления конфигурацией Вручную, отключено 1.1.0
Внедрение и документирование процессов управления изменениями CMA_0265 — Внедрение и документирование процессов управления изменениями Вручную, отключено 1.1.0
Установка требований к управлению конфигурацией для разработчиков CMA_0270. Установка требований к управлению конфигурацией для разработчиков Вручную, отключено 1.1.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Приложения-функции должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Реализация средства автоматизированного управления конфигурацией CMA_0311 — Реализация средства автоматизированного управления конфигурацией Вручную, отключено 1.1.0
Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные образы Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.2.0
Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.1
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.1.0
Службы кластера Kubernetes должны прослушивать только разрешенные порты Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.1.0
Кластер Kubernetes не должен разрешать привилегированные контейнеры Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 10.1.0
Кластеры Kubernetes должны отключить учетные данные API автоподключения Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.1.0
Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.1.0
Кластеры Kubernetes не должны использовать пространство имен по умолчанию Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. AuditIfNotExists, Disabled 1.5.0
Должны быть установлены только утвержденные расширения виртуальных машин Эта политика управляет неутвержденными расширениями виртуальных машин. Audit, Deny, Disabled 1.0.0
Оценка влияния на конфиденциальность CMA_0387. Выполнение оценки влияния на конфиденциальность Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0
Выполнение аудита для элемента управления изменениями конфигурации CMA_0390. Выполнение аудита для управления изменениями конфигурации Вручную, отключено 1.1.0
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. Audit, Deny, Disabled 1.0.0
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1
Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. AuditIfNotExists, Disabled 1.0.0

Устранение рисков

Действия по устранению рисков

Id: SOC 2 Type 2 CC9.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение потребностей защиты информации CMA_C1750. Определение потребностей защиты информации Вручную, отключено 1.1.0
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0

Управление рисками поставщиков и бизнес-партнеров

Id: SOC 2 Type 2 CC9.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка риска в отношениях сторонних производителей CMA_0014. Оценка риска в отношениях сторонних производителей Вручную, отключено 1.1.0
Определение требований к поставке товаров и услуг CMA_0126. Определение требований к поставке товаров и услуг Вручную, отключено 1.1.0
Определение обязанностей процессоров CMA_0127. Определение обязанностей процессоров Вручную, отключено 1.1.0
Определение обязательств по контракту поставщика CMA_0140. Определение обязательств по контракту поставщика Вручную, отключено 1.1.0
Критерии принятия контракта на приобретение документов CMA_0187 — условия принятия контракта на приобретение документов Вручную, отключено 1.1.0
Защита персональных данных в контрактах на приобретение CMA_0194 — защита персональных данных в контрактах на приобретение Вручную, отключено 1.1.0
Защита сведений о безопасности в контрактах на приобретение CMA_0195 . Защита информации о безопасности в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документу для использования общих данных в контрактах CMA_0197 . Требования к документу для использования общих данных в контрактах Вручную, отключено 1.1.0
Документирование требований к обеспечению безопасности в контрактах на приобретение CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документации по безопасности документов в контракте на приобретение CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение Вручную, отключено 1.1.0
Документируйте функциональные требования к безопасности в контрактах на приобретение CMA_0201 . Требования к безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте требования к надежности безопасности в контрактах на приобретение CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте среду информационной системы в контрактах на приобретение CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте защиту данных заполнителей карт в сторонних контрактах CMA_0207 . Документируйте защиту данных заполнителей карт в сторонних контрактах Вручную, отключено 1.1.0
Установка политик для управления рисками цепочки поставок CMA_0275. Создание политик для управления рисками цепочки поставок Вручную, отключено 1.1.0
Создание сторонних требований к безопасности персонала CMA_C1529. Создание требований к безопасности сторонних сотрудников Вручную, отключено 1.1.0
Мониторинг соответствия сторонних поставщиков CMA_C1533 . Мониторинг соответствия сторонним поставщикам Вручную, отключено 1.1.0
Запись раскрытия персональных данных третьим лицам CMA_0422 — запись раскрытия персональных данных третьим лицам Вручную, отключено 1.1.0
Требовать от сторонних поставщиков соблюдать политики и процедуры безопасности персонала CMA_C1530. Требовать, чтобы сторонние поставщики соответствовали политикам и процедурам безопасности персонала Вручную, отключено 1.1.0
Обучение персонала по совместному использованию персональных данных и его последствиям CMA_C1871 — обучение персонала по обмену персональными данными и его последствиями Вручную, отключено 1.1.0

Дополнительные критерии конфиденциальности

Уведомление о конфиденциальности

Идентификатор: владение SOC 2 типа 2 P1.1: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование и распространение политики конфиденциальности CMA_0188 . Документируйте и распространяйте политику конфиденциальности Вручную, отключено 1.1.0
Обеспечение общедоступной доступности сведений о программе конфиденциальности CMA_C1867. Обеспечение общедоступной информации о программе конфиденциальности Вручную, отключено 1.1.0
Реализация методов доставки уведомлений о конфиденциальности CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности Вручную, отключено 1.1.0
Предоставление уведомления о конфиденциальности CMA_0414 . Предоставление уведомления о конфиденциальности Вручную, отключено 1.1.0
Предоставление уведомления о конфиденциальности общественности и отдельным лицам CMA_C1861 . Предоставление уведомления о конфиденциальности общественности и отдельным лицам Вручную, отключено 1.1.0

Id: SOC 2 Type 2 P2.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Принятие персоналом документов о требованиях к конфиденциальности CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности Вручную, отключено 1.1.0
Реализация методов доставки уведомлений о конфиденциальности CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности Вручную, отключено 1.1.0
Получение согласия перед сбором или обработкой персональных данных CMA_0385. Получение согласия перед сбором или обработкой персональных данных Вручную, отключено 1.1.0
Предоставление уведомления о конфиденциальности CMA_0414 . Предоставление уведомления о конфиденциальности Вручную, отключено 1.1.0

Согласованная сбор персональных данных

Id: SOC 2 Type 2 P3.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение юридического органа для сбора персональных данных CMA_C1800. Определение юридического органа для сбора персональных данных Вручную, отключено 1.1.0
Процесс документа для обеспечения целостности персональных данных CMA_C1827 — процесс документа для обеспечения целостности персональных данных Вручную, отключено 1.1.0
Регулярно оценивать и просматривать личные данные CMA_C1832 — регулярно оценивать и просматривать данные о персональных данных Вручную, отключено 1.1.0
Получение согласия перед сбором или обработкой персональных данных CMA_0385. Получение согласия перед сбором или обработкой персональных данных Вручную, отключено 1.1.0

Id: SOC 2 Type 2 P3.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Сбор персональных данных непосредственно из отдельного пользователя CMA_C1822 — сбор персональных данных непосредственно от отдельного пользователя Вручную, отключено 1.1.0
Получение согласия перед сбором или обработкой персональных данных CMA_0385. Получение согласия перед сбором или обработкой персональных данных Вручную, отключено 1.1.0

Использование персональных данных

Id: SOC 2 Type 2 P4.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документируйте юридическую основу для обработки персональных данных CMA_0206 . Документируйте юридическую основу для обработки персональных данных Вручную, отключено 1.1.0
Реализация методов доставки уведомлений о конфиденциальности CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности Вручную, отключено 1.1.0
Получение согласия перед сбором или обработкой персональных данных CMA_0385. Получение согласия перед сбором или обработкой персональных данных Вручную, отключено 1.1.0
Предоставление уведомления о конфиденциальности CMA_0414 . Предоставление уведомления о конфиденциальности Вручную, отключено 1.1.0
Ограничение обмена данными CMA_0449. Ограничение обмена данными Вручную, отключено 1.1.0

Хранение персональных данных

Id: SOC 2 Type 2 P4.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Соблюдение заданных периодов хранения CMA_0004 — Соблюдение заданных периодов хранения Вручную, отключено 1.1.0
Процесс документа для обеспечения целостности персональных данных CMA_C1827 — процесс документа для обеспечения целостности персональных данных Вручную, отключено 1.1.0

Удаление персональных данных

Id: SOC 2 Type 2 P4.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выполнение проверки ликвидации CMA_0391 . Выполнение проверки ликвидации Вручную, отключено 1.1.0
Проверка удаления персональных данных в конце обработки CMA_0540. Проверка удаления персональных данных в конце обработки Вручную, отключено 1.1.0

Доступ к персональным данным

Id: SOC 2 Type 2 P5.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация методов для запросов потребителей CMA_0319. Реализация методов для запросов потребителей Вручную, отключено 1.1.0
Публикация правил и правил, доступ к записям Закона о конфиденциальности CMA_C1847 . Публикация правил и правил, обращаюющихся к записям Закона о конфиденциальности Вручную, отключено 1.1.0

Исправление персональных данных

Id: SOC 2 Type 2 P5.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реагирование на запросы на исправление CMA_0442 . Реагирование на запросы на исправление Вручную, отключено 1.1.0

Раскрытие информации сторонних производителей персональных данных

Id: SOC 2 Type 2 P6.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение обязанностей процессоров CMA_0127. Определение обязанностей процессоров Вручную, отключено 1.1.0
Определение обязательств по контракту поставщика CMA_0140. Определение обязательств по контракту поставщика Вручную, отключено 1.1.0
Критерии принятия контракта на приобретение документов CMA_0187 — условия принятия контракта на приобретение документов Вручную, отключено 1.1.0
Защита персональных данных в контрактах на приобретение CMA_0194 — защита персональных данных в контрактах на приобретение Вручную, отключено 1.1.0
Защита сведений о безопасности в контрактах на приобретение CMA_0195 . Защита информации о безопасности в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документу для использования общих данных в контрактах CMA_0197 . Требования к документу для использования общих данных в контрактах Вручную, отключено 1.1.0
Документирование требований к обеспечению безопасности в контрактах на приобретение CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документации по безопасности документов в контракте на приобретение CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение Вручную, отключено 1.1.0
Документируйте функциональные требования к безопасности в контрактах на приобретение CMA_0201 . Требования к безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте требования к надежности безопасности в контрактах на приобретение CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте среду информационной системы в контрактах на приобретение CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте защиту данных заполнителей карт в сторонних контрактах CMA_0207 . Документируйте защиту данных заполнителей карт в сторонних контрактах Вручную, отключено 1.1.0
Установка требований к конфиденциальности для подрядчиков и поставщиков услуг CMA_C1810. Создание требований к конфиденциальности для подрядчиков и поставщиков услуг Вручную, отключено 1.1.0
Запись раскрытия персональных данных третьим лицам CMA_0422 — запись раскрытия персональных данных третьим лицам Вручную, отключено 1.1.0
Обучение персонала по совместному использованию персональных данных и его последствиям CMA_C1871 — обучение персонала по обмену персональными данными и его последствиями Вручную, отключено 1.1.0

Авторизованное раскрытие записи личных сведений

Id: SOC 2 Type 2 P6.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Точную учетную информацию CMA_C1818 . Ведения точного учета раскрытия информации Вручную, отключено 1.1.0

Несанкционированное раскрытие записи личных сведений

Id: SOC 2 Type 2 P6.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Точную учетную информацию CMA_C1818 . Ведения точного учета раскрытия информации Вручную, отключено 1.1.0

Сторонние соглашения

Id: SOC 2 Type 2 P6.4 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение обязанностей процессоров CMA_0127. Определение обязанностей процессоров Вручную, отключено 1.1.0

Уведомление о неавторизованном раскрытии информации сторонних производителей

Id: SOC 2 Type 2 P6.5 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение обязательств по контракту поставщика CMA_0140. Определение обязательств по контракту поставщика Вручную, отключено 1.1.0
Критерии принятия контракта на приобретение документов CMA_0187 — условия принятия контракта на приобретение документов Вручную, отключено 1.1.0
Защита персональных данных в контрактах на приобретение CMA_0194 — защита персональных данных в контрактах на приобретение Вручную, отключено 1.1.0
Защита сведений о безопасности в контрактах на приобретение CMA_0195 . Защита информации о безопасности в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документу для использования общих данных в контрактах CMA_0197 . Требования к документу для использования общих данных в контрактах Вручную, отключено 1.1.0
Документирование требований к обеспечению безопасности в контрактах на приобретение CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документации по безопасности документов в контракте на приобретение CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение Вручную, отключено 1.1.0
Документируйте функциональные требования к безопасности в контрактах на приобретение CMA_0201 . Требования к безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте требования к надежности безопасности в контрактах на приобретение CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте среду информационной системы в контрактах на приобретение CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте защиту данных заполнителей карт в сторонних контрактах CMA_0207 . Документируйте защиту данных заполнителей карт в сторонних контрактах Вручную, отключено 1.1.0
Защита информационных данных и защита персональных данных CMA_0332 — защита информационных данных и защита персональных данных Вручную, отключено 1.1.0

Уведомление об инциденте конфиденциальности

Идентификатор: владение SOC 2 типа 2 P6.6: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка плана реагирования на инциденты CMA_0145 — Разработка плана реагирования на инциденты Вручную, отключено 1.1.0
Защита информационных данных и защита персональных данных CMA_0332 — защита информационных данных и защита персональных данных Вручную, отключено 1.1.0

Учет раскрытия персональных данных

Id: SOC 2 Type 2 P6.7 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация методов доставки уведомлений о конфиденциальности CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности Вручную, отключено 1.1.0
Точную учетную информацию CMA_C1818 . Ведения точного учета раскрытия информации Вручную, отключено 1.1.0
Предоставление сведений о раскрытии информации по запросу CMA_C1820. Предоставление сведений о раскрытии информации по запросу Вручную, отключено 1.1.0
Предоставление уведомления о конфиденциальности CMA_0414 . Предоставление уведомления о конфиденциальности Вручную, отключено 1.1.0
Ограничение обмена данными CMA_0449. Ограничение обмена данными Вручную, отключено 1.1.0

Качество персональных данных

Id: SOC 2 Type 2 P7.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подтверждение качества и целостности персональных данных CMA_C1821 . Подтверждение качества и целостности piI Вручную, отключено 1.1.0
Рекомендации по обеспечению качества и целостности данных CMA_C1824. Рекомендации по обеспечению качества и целостности данных Вручную, отключено 1.1.0
Проверка неточных или устаревших персональных данных CMA_C1823. Проверка неточных или устаревших личных данных Вручную, отключено 1.1.0

Управление жалобами на конфиденциальность и управление соответствием требованиям

Id: SOC 2 Type 2 P8.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование и реализация процедур жалоб на конфиденциальность CMA_0189 . Документирование и реализация процедур жалоб на конфиденциальность Вручную, отключено 1.1.0
Регулярно оценивать и просматривать личные данные CMA_C1832 — регулярно оценивать и просматривать данные о персональных данных Вручную, отключено 1.1.0
Защита информационных данных и защита персональных данных CMA_0332 — защита информационных данных и защита персональных данных Вручную, отключено 1.1.0
Своевременно отвечать на жалобы, опасения или вопросы CMA_C1853 . Реагирование на жалобы, опасения или вопросы своевременно Вручную, отключено 1.1.0
Обучение персонала по совместному использованию персональных данных и его последствиям CMA_C1871 — обучение персонала по обмену персональными данными и его последствиями Вручную, отключено 1.1.0

Дополнительные критерии для целостности обработки

Определения обработки данных

Id: SOC 2 Type 2 PI1.1 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация методов доставки уведомлений о конфиденциальности CMA_0324 . Реализация методов доставки уведомлений о конфиденциальности Вручную, отключено 1.1.0
Предоставление уведомления о конфиденциальности CMA_0414 . Предоставление уведомления о конфиденциальности Вручную, отключено 1.1.0
Ограничение обмена данными CMA_0449. Ограничение обмена данными Вручную, отключено 1.1.0

Системные входные данные по полноте и точности

Id: SOC 2 Type 2 PI1.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выполнение проверки входных данных CMA_C1723. Выполнение проверки входных данных Вручную, отключено 1.1.0

Системная обработка

Id: SOC 2 Type 2 PI1.3 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Создание сообщений об ошибках CMA_C1724. Создание сообщений об ошибках Вручную, отключено 1.1.0
Управление вводом, выводом, обработкой и хранением данных CMA_0369 — Управление вводом, выводом, обработкой и хранением данных Вручную, отключено 1.1.0
Выполнение проверки входных данных CMA_C1723. Выполнение проверки входных данных Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0

Выходные данные системы являются полными, точными и своевременными

Id: SOC 2 Type 2 PI1.4 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Управление вводом, выводом, обработкой и хранением данных CMA_0369 — Управление вводом, выводом, обработкой и хранением данных Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0

Хранение входных и выходных данных полностью, точно и своевременно

Id: SOC 2 Type 2 PI1.5 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 3.0.0
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Установка политик резервного копирования и процедур CMA_0268. Создание политик резервного копирования и процедур Вручную, отключено 1.1.0
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
Управление вводом, выводом, обработкой и хранением данных CMA_0369 — Управление вводом, выводом, обработкой и хранением данных Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0
Отдельно хранить сведения о резервном копировании CMA_C1293 — отдельно хранить сведения о резервном копировании Вручную, отключено 1.1.0

Следующие шаги

Дополнительные статьи о Политике Azure: