Condividi tramite


Dettagli dell'iniziativa predefinita di conformità alle normative SWIFT CSP-CSCF v2022

L'articolo seguente definisce il mapping della definizione dell'iniziativa predefinita di conformità normativa di Criteri di Azure ai domini di conformità e ai controlli SWIFT CSP-CSCF-v2022. Per altre informazioni su questo standard di conformità, vedere SWIFT CSP-CSCF v2022. Per comprendere la Proprietà, esaminare il tipo di criterio e la responsabilità condivisa nel cloud.

I mapping seguenti fanno riferimento ai controlli SWIFT CSP-CSCF v2022. Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Quindi, trovare e selezionare la definizione dell'iniziativa predefinita di conformità alle normative SWIFT CSP-CSCF v2022.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.

1. Limitare l'accesso a Internet e proteggere i sistemi critici dall'ambiente IT generale

Garantire la protezione dell'infrastruttura SWIFT locale dell'utente da elementi potenzialmente compromessi dell'ambiente IT generale e dell'ambiente esterno.

ID: SWIFT CSCF v2022 1.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
Le app del Servizio app di Azure devono usare un endpoint servizio di rete virtuale Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sugli endpoint del servizio app, visitare https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che questo non sia accessibile per impostazione predefinita a nessun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Controllare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne CMA_0053 - Controllare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne Manuale, Disabilitato 1.1.0
Assicurarsi che i provider esterni soddisfino in modo coerente gli interessi dei clienti CMA_C1592 - Accertarsi che i provider esterni soddisfino in modo coerente gli interessi dei clienti Manuale, Disabilitato 1.1.0
Implementare la protezione del limite del sistema CMA_0328 - Implementare la protezione del limite del sistema Manuale, Disabilitato 1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale. Audit, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
Esaminare la conformità del provider di servizi cloud ai criteri e ai contratti CMA_0469 - Esaminare la conformità del provider di servizi cloud ai criteri e ai contratti Manuale, Disabilitato 1.1.0
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono usare un endpoint servizio di rete virtuale Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. Audit, Disabled 1.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
Sottoporsi a una revisione indipendente della sicurezza CMA_0515 - Sottoporsi a una revisione indipendente della sicurezza Manuale, Disabilitato 1.1.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Limitare e controllare l'allocazione e l'utilizzo degli account del sistema operativo a livello di amministratore.

ID: SWIFT CSCF v2022 1.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. AuditIfNotExists, Disabled 3.0.0
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Definire e imporre le condizioni per gli account condivisi e di gruppo CMA_0117 - Definire e imporre le condizioni per gli account condivisi e di gruppo Manuale, Disabilitato 1.1.0
Progettare un modello di controllo degli accessi CMA_0129 - Progettare un modello di controllo degli accessi Manuale, Disabilitato 1.1.0
Sviluppare e definire un piano di sicurezza del sistema CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema Manuale, Disabilitato 1.1.0
Sviluppare criteri e procedure di sicurezza delle informazioni CMA_0158 - Sviluppare criteri e procedure di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Utilizzare l'accesso con privilegi minimi CMA_0212 - Utilizzare l'accesso con privilegi minimi Manuale, Disabilitato 1.1.0
Stabilire un programma per la privacy CMA_0257 - Stabilire un programma per la privacy Manuale, Disabilitato 1.1.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi CMA_0279 - Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi Manuale, Disabilitato 1.1.0
Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Implementare i principi di ingegneria della sicurezza dei sistemi informativi CMA_0325 - Implementare i principi di ingegneria della sicurezza dei sistemi informativi Manuale, Disabilitato 1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Monitorare l'attività dell'account CMA_0377 - Monitorare l'attività dell'account Manuale, Disabilitato 1.1.0
Monitorare l'assegnazione di ruoli con privilegi CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi Manuale, Disabilitato 1.1.0
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0
Revocare i ruoli con privilegi in base alle esigenze CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze Manuale, Disabilitato 1.1.0
Alla sottoscrizione deve essere assegnato più di un proprietario È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. AuditIfNotExists, Disabled 3.0.0
Usare Privileged Identity Management CMA_0533 - Usare Privileged Identity Management Manuale, Disabilitato 1.1.0

ID: SWIFT CSCF v2022 1.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controlla macchine virtuali che non usano dischi gestiti Questo criterio controlla le macchine virtuali che non usano dischi gestiti controllo 1.0.0
Implementare la protezione del limite del sistema CMA_0328 - Implementare la protezione del limite del sistema Manuale, Disabilitato 1.1.0

Controllare/proteggere l'accesso a Internet da PC e sistemi dell'operatore all'interno della zona sicura.

ID: SWIFT CSCF v2022 1.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
Autorizzare l'accesso remoto CMA_0024 - Autorizzare l'accesso remoto Manuale, Disabilitato 1.1.0
Definire l'utilizzo della crittografia CMA_0120 - Definire l'utilizzo della crittografia Manuale, Disabilitato 1.1.0
Documentare e implementare le linee guida per l'accesso wireless CMA_0190 - Documentare e implementare le linee guida per l'accesso wireless Manuale, Disabilitato 1.1.0
Documentare la formazione sulla mobilità CMA_0191 - Documentare la formazione sulla mobilità Manuale, Disabilitato 1.1.0
Documentare le linee guida di accesso remoto CMA_0196 - Documentare le linee guida di accesso remoto Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere i siti di lavoro alternativi CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi Manuale, Disabilitato 1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Proteggere l'accesso wireless CMA_0411 - Proteggere l'accesso wireless Manuale, Disabilitato 1.1.0
Fornire training sulla privacy CMA_0415 - Fornire formazione sulla privacy Manuale, Disabilitato 1.1.0

Garantire la protezione dell'infrastruttura di connettività del cliente dall'ambiente esterno e da elementi potenzialmente compromessi dell'ambiente IT generale.

ID: SWIFT CSCF v2022 1.5A Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
Le app del Servizio app di Azure devono usare un endpoint servizio di rete virtuale Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sugli endpoint del servizio app, visitare https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
Protezione DDoS di Azure deve essere abilitata È necessario abilitare la protezione DDoS Standard per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. AuditIfNotExists, Disabled 3.0.1
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che questo non sia accessibile per impostazione predefinita a nessun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Controllare il flusso di informazioni CMA_0079 - Controllare il flusso di informazioni Manuale, Disabilitato 1.1.0
Usare la protezione dei limiti per isolare i sistemi informativi CMA_C1639 - Usare la protezione dei limiti per isolare i sistemi informativi Manuale, Disabilitato 1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate Manuale, Disabilitato 1.1.0
Applicare restrizioni alle interconnessioni dei sistemi esterni CMA_C1155 - Applicare restrizioni alle interconnessioni dei sistemi esterni Manuale, Disabilitato 1.1.0
Stabilire gli standard di configurazione del firewall e del router CMA_0272 - Stabilire gli standard di configurazione del firewall e del router Manuale, Disabilitato 1.1.0
Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte CMA_0273 - Stabilire la segmentazione della rete per l'ambiente dei dati dei titolari di carte Manuale, Disabilitato 1.1.0
Identificare e gestire gli scambi di informazioni downstream CMA_0298 - Identificare e gestire gli scambi di informazioni downstream Manuale, Disabilitato 1.1.0
Implementare l'interfaccia gestita per ogni servizio esterno CMA_C1626 - Implementare l'interfaccia gestita per ogni servizio esterno Manuale, Disabilitato 1.1.0
Implementare la protezione del limite del sistema CMA_0328 - Implementare la protezione del limite del sistema Manuale, Disabilitato 1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale. Audit, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono usare un endpoint servizio di rete virtuale Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. Audit, Disabled 1.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

2. Ridurre la superficie di attacco e le vulnerabilità

ID: SWIFT CSCF v2022 2.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists, Disabled 3.2.0
Le variabili dell'account di automazione devono essere crittografate È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili Audit, Deny, Disabled 1.1.0
Configurare le azioni per i dispositivi non conformi CMA_0062: configurare le azioni per i dispositivi non conformi Manuale, Disabilitato 1.1.0
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Controllare il flusso di informazioni CMA_0079 - Controllare il flusso di informazioni Manuale, Disabilitato 1.1.0
Definire un processo di gestione delle chiavi fisiche CMA_0115 - Definire un processo di gestione delle chiavi fisiche Manuale, Disabilitato 1.1.0
Definire l'utilizzo della crittografia CMA_0120 - Definire l'utilizzo della crittografia Manuale, Disabilitato 1.1.0
Definire i requisiti aziendali per la gestione delle chiavi crittografiche CMA_0123 - Definire i requisiti aziendali per la gestione delle chiavi crittografiche Manuale, Disabilitato 1.1.0
Determinare i requisiti di asserzione CMA_0136 - Determinare i requisiti di asserzione Manuale, Disabilitato 1.1.0
Sviluppare e gestire le configurazioni di base CMA_0153 - Sviluppare e gestire le configurazioni di base Manuale, Disabilitato 1.1.0
Usare la protezione dei limiti per isolare i sistemi informativi CMA_C1639 - Usare la protezione dei limiti per isolare i sistemi informativi Manuale, Disabilitato 1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate Manuale, Disabilitato 1.1.0
Imporre identificatori di sessione univoci casuali CMA_0247 - Imporre identificatori di sessione univoci casuali Manuale, Disabilitato 1.1.0
Imporre le impostazioni della configurazione della sicurezza CMA_0249 - Imporre le impostazioni della configurazione della sicurezza Manuale, Disabilitato 1.1.0
Stabilire un comitato di controllo della configurazione CMA_0254: stabilire un comitato di controllo della configurazione Manuale, Disabilitato 1.1.0
Stabilire una procedura di gestione delle perdite di dati CMA_0255: stabilire una procedura di gestione delle perdite di dati Manuale, Disabilitato 1.1.0
Definire e documentare un piano di gestione della configurazione CMA_0264 - Definire e documentare un piano di gestione della configurazione Manuale, Disabilitato 1.1.0
Stabilire criteri e procedure di backup CMA_0268 - Stabilire criteri e procedure di backup Manuale, Disabilitato 1.1.0
Implementare uno strumento di gestione della configurazione automatizzato CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Implementare la protezione del limite del sistema CMA_0328 - Implementare la protezione del limite del sistema Manuale, Disabilitato 1.1.0
Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza CMA_C1029 - Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza Manuale, Disabilitato 1.1.0
Isolare i sistemi SecurID, i sistemi di gestione degli incidenti di sicurezza CMA_C1636 - Isolare i sistemi SecurID, i sistemi di gestione degli incidenti di sicurezza Manuale, Disabilitato 1.1.0
Rilasciare certificati a chiave pubblica CMA_0347 - Rilasciare certificati a chiave pubblica Manuale, Disabilitato 1.1.0
Mantenere la disponibilità delle informazioni CMA_C1644: mantenere la disponibilità delle informazioni Manuale, Disabilitato 1.1.0
Gestire le chiavi crittografiche simmetriche CMA_0367 - Gestire le chiavi crittografiche simmetriche Manuale, Disabilitato 1.1.0
Inviare agli utenti una notifica di accesso al sistema CMA_0382 - Inviare agli utenti una notifica di accesso al sistema Manuale, Disabilitato 1.1.0
Produrre, controllare e distribuire chiavi crittografiche asimmetriche CMA_C1646 - Produrre, controllare e distribuire chiavi crittografiche asimmetriche Manuale, Disabilitato 1.1.0
Produrre, controllare e distribuire chiavi crittografiche simmetriche CMA_C1645 - Produci, controlla e distribuisci chiavi crittografiche simmetriche Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
Limitare l'accesso alle chiavi private CMA_0445 - Limitare l'accesso alle chiavi private Manuale, Disabilitato 1.1.0
Proteggere l'interfaccia per i sistemi esterni CMA_0491 - Proteggere l'interfaccia per i sistemi esterni Manuale, Disabilitato 1.1.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. AuditIfNotExists, Disabled 4.1.1

Ridurre al minimo il verificarsi di vulnerabilità tecniche note nei PC degli operatori e nell'infrastruttura SWIFT locale, garantendo il supporto dei fornitori, applicando aggiornamenti software obbligatori e applicando aggiornamenti di sicurezza tempestivi allineati al rischio valutato.

ID: SWIFT CSCF v2022 2.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Controlla le macchine virtuali Windows in attesa di riavvio Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il computer è in attesa di riavvio per uno dei motivi seguenti: manutenzione basata su componenti, Windows Update, ridenominazione file in sospeso, ridenominazione computer in sospeso, Gestione configurazione in attesa di riavvio. Per ogni rilevamento è presente un percorso del Registro di sistema univoco. auditIfNotExists 2.0.0
Correlare le informazioni delle analisi di vulnerabilità CMA_C1558 - Correlare le informazioni delle analisi di vulnerabilità Manuale, Disabilitato 1.1.1
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Trasmettere avvisi di sicurezza al personale CMA_C1705 - Trasmettere avvisi di sicurezza al personale Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
Usare meccanismi automatizzati per gli avvisi di sicurezza CMA_C1707 - Usare meccanismi automatizzati per gli avvisi di sicurezza Manuale, Disabilitato 1.1.0

ID: SWIFT CSCF v2022 2.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 AuditIfNotExists, Disabled 3.1.0
Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. auditIfNotExists 2.0.0
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile AuditIfNotExists, Disabled 2.0.0
Automatizzare le modifiche documentate proposte CMA_C1191 - Automatizzare le modifiche documentate proposte Manuale, Disabilitato 1.1.0
Eseguire un'analisi dell'impatto sulla sicurezza CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza Manuale, Disabilitato 1.1.0
Configurare le azioni per i dispositivi non conformi CMA_0062: configurare le azioni per i dispositivi non conformi Manuale, Disabilitato 1.1.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Linux è un prerequisito per tutte le assegnazioni di Configurazione guest di Linux e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Sviluppare e mantenere uno standard di gestione delle vulnerabilità CMA_0152 - Sviluppare e mantenere uno standard di gestione delle vulnerabilità Manuale, Disabilitato 1.1.0
Sviluppare e gestire le configurazioni di base CMA_0153 - Sviluppare e gestire le configurazioni di base Manuale, Disabilitato 1.1.0
Imporre le impostazioni della configurazione della sicurezza CMA_0249 - Imporre le impostazioni della configurazione della sicurezza Manuale, Disabilitato 1.1.0
Stabilire un comitato di controllo della configurazione CMA_0254: stabilire un comitato di controllo della configurazione Manuale, Disabilitato 1.1.0
Definire una strategia di gestione dei rischi CMA_0258 - Definire una strategia di gestione dei rischi Manuale, Disabilitato 1.1.0
Definire e documentare un piano di gestione della configurazione CMA_0264 - Definire e documentare un piano di gestione della configurazione Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Stabilire i requisiti di gestione della configurazione per i developer CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori Manuale, Disabilitato 1.1.0
Implementare uno strumento di gestione della configurazione automatizzato CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato Manuale, Disabilitato 1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Eseguire una valutazione dell'impatto sulla privacy CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy Manuale, Disabilitato 1.1.0
Eseguire una valutazione dei rischi CMA_0388 - Eseguire una valutazione dei rischi Manuale, Disabilitato 1.1.0
Eseguire il controllo per la verifica delle modifiche di configurazione CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione Manuale, Disabilitato 1.1.0
Mantenere le versioni precedenti delle configurazioni di base CMA_C1181 - Mantenere le versioni precedenti delle configurazioni di base Manuale, Disabilitato 1.1.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Garantire la riservatezza, l'integrità e l'autenticità reciproca dei flussi di dati tra i componenti dell'infrastruttura SWIFT locale o remota e i primi hop di back-office a cui si connettono.

ID: SWIFT CSCF v2022 2.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esegui il backup della documentazione del sistema informativo CMA_C1289 - Esegui il backup della documentazione del sistema informativo Manuale, Disabilitato 1.1.0
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Stabilire criteri e procedure di backup CMA_0268 - Stabilire criteri e procedure di backup Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Inviare agli utenti una notifica di accesso al sistema CMA_0382 - Inviare agli utenti una notifica di accesso al sistema Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

Sicurezza del flusso di dati di back-office

ID: SWIFT CSCF v2022 2.4A Proprietà: Cliente

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed AuditIfNotExists, Disabled 3.2.0
Le variabili dell'account di automazione devono essere crittografate È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili Audit, Deny, Disabled 1.1.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. AuditIfNotExists, Disabled 4.1.1

ID: SWIFT CSCF v2022 2.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esegui il backup della documentazione del sistema informativo CMA_C1289 - Esegui il backup della documentazione del sistema informativo Manuale, Disabilitato 1.1.0
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Stabilire criteri e procedure di backup CMA_0268 - Stabilire criteri e procedure di backup Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere tutti i supporti CMA_0314 - Implementare i controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Gestire il trasporto degli asset CMA_0370 - Gestire il trasporto degli asset Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

Protezione dei dati personali dalla trasmissione esterna

ID: SWIFT CSCF v2022 2.5A Proprietà: Cliente

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Controlla macchine virtuali che non usano dischi gestiti Questo criterio controlla le macchine virtuali che non usano dischi gestiti controllo 1.0.0
Le variabili dell'account di automazione devono essere crittografate È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili Audit, Deny, Disabled 1.1.0
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 3.0.0
L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione Usa la ridondanza geografica per creare applicazioni a disponibilità elevata Audit, Disabled 1.0.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 2.0.0

ID: SWIFT CSCF v2022 2.6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Autorizzare l'accesso remoto CMA_0024 - Autorizzare l'accesso remoto Manuale, Disabilitato 1.1.0
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documentare e implementare le linee guida per l'accesso wireless CMA_0190 - Documentare e implementare le linee guida per l'accesso wireless Manuale, Disabilitato 1.1.0
Documentare la formazione sulla mobilità CMA_0191 - Documentare la formazione sulla mobilità Manuale, Disabilitato 1.1.0
Documentare le linee guida di accesso remoto CMA_0196 - Documentare le linee guida di accesso remoto Manuale, Disabilitato 1.1.0
Identificare e autenticare i dispositivi di rete CMA_0296 - Identificare e autenticare i dispositivi di rete Manuale, Disabilitato 1.1.0
Implementare i controlli per proteggere i siti di lavoro alternativi CMA_0315 - Implementare i controlli per proteggere siti di lavoro alternativi Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0
Proteggere l'accesso wireless CMA_0411 - Proteggere l'accesso wireless Manuale, Disabilitato 1.1.0
Fornire training sulla privacy CMA_0415 - Fornire formazione sulla privacy Manuale, Disabilitato 1.1.0
Rieseguire l’autenticazione o terminare una sessione utente CMA_0421 - Rieseguire l'autenticazione o terminare una sessione utente Manuale, Disabilitato 1.1.0
I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. AuditIfNotExists, Disabled 4.1.1
I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso interattivo' per visualizzare il nome dell'ultimo utente e richiedere la pressione della combinazione di tasti CTRL+ALT+CANC. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Identificare le vulnerabilità note all'interno dell'ambiente SWIFT locale implementando un processo regolare di analisi delle vulnerabilità e agire in base ai risultati.

ID: SWIFT CSCF v2022 2.7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Correlare le informazioni delle analisi di vulnerabilità CMA_C1558 - Correlare le informazioni delle analisi di vulnerabilità Manuale, Disabilitato 1.1.1
Implementare l'accesso privilegiato per l'esecuzione di attività di analisi delle vulnerabilità CMA_C1555 - Implementare l'accesso privilegiato per l'esecuzione di attività di analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Integrare la correzione dei difetti nella gestione della configurazione CMA_C1671 - Integrare la correzione dei difetti nella gestione della configurazione Manuale, Disabilitato 1.1.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Osservare e segnalare i punti deboli della sicurezza CMA_0384 - Osservare e segnalare i punti deboli della sicurezza Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Creare un modello di rischio CMA_0392 - Creare un modello di rischio Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.1.0

Garantire un approccio coerente ed efficace per il monitoraggio della messaggistica dei clienti.

ID: SWIFT CSCF v2022 2.8.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Valutare i rischi nelle relazioni con terze parti CMA_0014 - Valutare i rischi nelle relazioni con terze parti Manuale, Disabilitato 1.1.0
Definire e documentare la supervisione governativa CMA_C1587 - Definire e documentare la supervisione governativa Manuale, Disabilitato 1.1.0
Definire i requisiti per la fornitura di beni e servizi CMA_0126 - Definire i requisiti per la fornitura di beni e servizi Manuale, Disabilitato 1.1.0
Determinare gli obblighi contrattuali dei fornitori CMA_0140 - Determinare gli obblighi contrattuali dei fornitori Manuale, Disabilitato 1.1.0
Stabilire criteri per la gestione dei rischi della catena di approvvigionamento CMA_0275 - Stabilire criteri per la gestione dei rischi della catena di approvvigionamento Manuale, Disabilitato 1.1.0
Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza CMA_C1586 - Richiedere ai fornitori di servizi esterni di rispettare i requisiti di sicurezza Manuale, Disabilitato 1.1.0
Esaminare la conformità del provider di servizi cloud ai criteri e ai contratti CMA_0469 - Esaminare la conformità del provider di servizi cloud ai criteri e ai contratti Manuale, Disabilitato 1.1.0
Sottoporsi a una revisione indipendente della sicurezza CMA_0515 - Sottoporsi a una revisione indipendente della sicurezza Manuale, Disabilitato 1.1.0

Garantire la protezione dell'infrastruttura SWIFT locale dai rischi esposti dall'esternalizzazione di attività critiche.

ID: SWIFT CSCF v2022 2.8A Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Determinare gli obblighi contrattuali dei fornitori CMA_0140 - Determinare gli obblighi contrattuali dei fornitori Manuale, Disabilitato 1.1.0
Documentare i criteri di accettazione dei contratti di acquisizione CMA_0187 - Documentare i criteri di accettazione dei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare la protezione dei dati personali nei contratti di acquisizione CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione CMA_0195 - Documentare la protezione delle informazioni di sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti CMA_0197 - Documentare i requisiti per l'utilizzo dei dati condivisi nei contratti Manuale, Disabilitato 1.1.0
Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione CMA_0199 - Documentare i requisiti di controllo della sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione CMA_0200 - Documentare i requisiti di documentazione della sicurezza nel contratto di acquisizione Manuale, Disabilitato 1.1.0
Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione CMA_0201 - Documentare i requisiti funzionali della sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare l'ambiente del sistema informativo nei contratti di acquisizione CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti Manuale, Disabilitato 1.1.0

Garantire l'attività di transazione in uscita entro i limiti previsti della normale attività.

ID: SWIFT CSCF v2022 2.9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare, monitorare e controllare il sistema VoIP CMA_0025 - Autorizzare, monitorare e controllare il sistema VoIP Manuale, Disabilitato 1.1.0
Controllare il flusso di informazioni CMA_0079 - Controllare il flusso di informazioni Manuale, Disabilitato 1.1.0
Utilizzare meccanismi di controllo di flusso delle informazioni crittografate CMA_0211 - Utilizzare meccanismi di controllo di flusso delle informazioni crittografate Manuale, Disabilitato 1.1.0
Implementare la protezione del limite del sistema CMA_0328 - Implementare la protezione del limite del sistema Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Indirizzare il traffico tramite i punti di accesso di rete gestita CMA_0484 - Indirizzare il traffico tramite i punti di accesso di rete gestita Manuale, Disabilitato 1.1.0

Limitare l'attività di transazione a controparti aziendali convalidate e approvate.

ID: SWIFT CSCF v2022 2.11A Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza CMA_0022 - Autorizzare l'accesso alle informazioni e alle funzioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Progettare un modello di controllo degli accessi CMA_0129 - Progettare un modello di controllo degli accessi Manuale, Disabilitato 1.1.0
Utilizzare l'accesso con privilegi minimi CMA_0212 - Utilizzare l'accesso con privilegi minimi Manuale, Disabilitato 1.1.0
Imporre l'accesso logico CMA_0245 - Imporre l'accesso logico Manuale, Disabilitato 1.1.0
Imporre criteri di controllo degli accessi obbligatori e discrezionali CMA_0246 - Imporre criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Riassegnare o rimuovere i privilegi utente in base alle esigenze CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione di account CMA_0431 - Richiedere l'approvazione per la creazione di account Manuale, Disabilitato 1.1.0
Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso a dati sensibili Manuale, Disabilitato 1.1.0
Esaminare i privilegi utente CMA_C1039 - Esaminare i privilegi utente Manuale, Disabilitato 1.1.0

3. Proteggere fisicamente l'ambiente

Impedire l'accesso fisico non autorizzato ad apparecchiature sensibili, ambienti di lavoro, siti di hosting e spazio di archiviazione.

ID: SWIFT CSCF v2022 3.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controlla macchine virtuali che non usano dischi gestiti Questo criterio controlla le macchine virtuali che non usano dischi gestiti controllo 1.0.0
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0
Definire un processo di gestione delle chiavi fisiche CMA_0115 - Definire un processo di gestione delle chiavi fisiche Manuale, Disabilitato 1.1.0
Stabilire e gestire un inventario degli asset CMA_0266 - Stabilire e gestire un inventario degli asset Manuale, Disabilitato 1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette Manuale, Disabilitato 1.1.0
Installare un sistema di allarme CMA_0338 - Installare un sistema di allarme Manuale, Disabilitato 1.1.0
Gestire un sistema di videocamere di sorveglianza sicuro CMA_0354 - Gestire un sistema di videocamere di sorveglianza sicuro Manuale, Disabilitato 1.1.0
Esaminare e aggiornare criteri e procedure fisici e ambientali CMA_C1446 - Rivedere e aggiornare criteri e procedure fisici e ambientali Manuale, Disabilitato 1.1.0

4. Impedire la compromissione delle credenziali

Garantire che le password siano sufficientemente resistenti ai comuni attacchi alle password implementando e applicando criteri validi per le password.

ID: SWIFT CSCF v2022 4.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Controlla i computer Linux che consentono connessioni remote da account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password AuditIfNotExists, Disabled 3.1.0
Controlla i computer Linux in cui sono presenti account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password AuditIfNotExists, Disabled 3.1.0
Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Le macchine non sono conformi se si tratta di macchine Windows che consentono il riutilizzo delle password dopo il numero specificato di password uniche. Il valore predefinito per le password univoche è 24 AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password AuditIfNotExists, Disabled 2.0.0
Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Non sono conformi le macchine Windows che non limitano la lunghezza minima della password al numero di caratteri specificato. Il valore predefinito per la lunghezza minima della password è di 14 caratteri AuditIfNotExists, Disabled 2.1.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Linux è un prerequisito per tutte le assegnazioni di Configurazione guest di Linux e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Stabilire criteri per le password CMA_0256 - Stabilire criteri per le password Manuale, Disabilitato 1.1.0
Stabilire i processi e i tipi di autenticatori CMA_0267 - Stabilire i processi e i tipi di autenticatori Manuale, Disabilitato 1.1.0
Implementare i parametri per gli strumenti di verifica dei segreti memorizzati CMA_0321 - Implementare i parametri per gli strumenti di verifica dei segreti memorizzati Manuale, Disabilitato 1.1.0
Gestire la durata e il riutilizzo dell'autenticatore CMA_0355 - Gestire la durata e il riutilizzo dell'autenticatore Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

ID: SWIFT CSCF v2022 4.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Adottare meccanismi di autenticazione biometrica CMA_0005: adottare meccanismi di autenticazione biometrica Manuale, Disabilitato 1.1.0
Identificare e autenticare i dispositivi di rete CMA_0296 - Identificare e autenticare i dispositivi di rete Manuale, Disabilitato 1.1.0

5. Gestire le identità e separare i privilegi

Applicare i principi di sicurezza dell'accesso necessario, dei privilegi minimi e della separazione dei compiti per gli account operatore.

ID: SWIFT CSCF v2022 5.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. AuditIfNotExists, Disabled 3.0.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Assegnare i gestori degli account CMA_0015 - Assegnare i gestori degli account Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. auditIfNotExists 2.0.0
Automatizzare la gestione degli account CMA_0026 - Automatizzare la gestione degli account Manuale, Disabilitato 1.1.0
Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Definire le autorizzazioni di accesso per supportare la separazione dei compiti CMA_0116 - Definire le autorizzazioni di accesso per supportare la separazione dei compiti Manuale, Disabilitato 1.1.0
Definire i tipi di account del sistema informativo CMA_0121 - Definire i tipi di account del sistema informativo Manuale, Disabilitato 1.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Progettare un modello di controllo degli accessi CMA_0129 - Progettare un modello di controllo degli accessi Manuale, Disabilitato 1.1.0
Disabilitare gli autenticatori alla chiusura CMA_0169 - Disabilitare gli autenticatori alla chiusura Manuale, Disabilitato 1.1.0
Documentare i privilegi di accesso CMA_0186 - Documentare i privilegi di accesso Manuale, Disabilitato 1.1.0
Documentare la separazione dei compiti CMA_0204 - Documentare la separazione dei compiti Manuale, Disabilitato 1.1.0
Utilizzare l'accesso con privilegi minimi CMA_0212 - Utilizzare l'accesso con privilegi minimi Manuale, Disabilitato 1.1.0
Stabilire le condizioni per l'appartenenza a ruoli CMA_0269 - Stabilire le condizioni per l'appartenenza a ruoli Manuale, Disabilitato 1.1.0
Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gestire gli account di sistema e amministratore CMA_0368 - Gestire gli account di sistema e amministratore Manuale, Disabilitato 1.1.0
Monitorare l'accesso nell'organizzazione CMA_0376 - Monitorare l'accesso nell'organizzazione Manuale, Disabilitato 1.1.0
Monitorare l'attività dell'account CMA_0377 - Monitorare l'attività dell'account Manuale, Disabilitato 1.1.0
Inviare una notifica per gli account non necessari CMA_0383 - Inviare una notifica per gli account non necessari Manuale, Disabilitato 1.1.0
Proteggere le informazioni di audit CMA_0401 - Proteggere le informazioni di audit Manuale, Disabilitato 1.1.0
Riassegnare o rimuovere i privilegi utente in base alle esigenze CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione di account CMA_0431 - Richiedere l'approvazione per la creazione di account Manuale, Disabilitato 1.1.0
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0
Esaminare i log di provisioning account CMA_0460 - Esaminare i log di provisioning account Manuale, Disabilitato 1.1.0
Esaminare gli account utente CMA_0480 - Esaminare gli account utente Manuale, Disabilitato 1.1.0
Esaminare i privilegi utente CMA_C1039 - Esaminare i privilegi utente Manuale, Disabilitato 1.1.0
Revocare i ruoli con privilegi in base alle esigenze CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze Manuale, Disabilitato 1.1.0
Separare i compiti delle persone CMA_0492 - Separare i compiti delle persone Manuale, Disabilitato 1.1.0
Alla sottoscrizione deve essere assegnato più di un proprietario È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. AuditIfNotExists, Disabled 3.0.0

Garantire la gestione, il rilevamento e l'uso appropriati dell'autenticazione hardware connesso e disconnesso o dei token personali (quando vengono usati i token).

ID: SWIFT CSCF v2022 5.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Distribuire gli autenticatori CMA_0184 - Distribuire gli autenticatori Manuale, Disabilitato 1.1.0
Stabilire i processi e i tipi di autenticatori CMA_0267 - Stabilire i processi e i tipi di autenticatori Manuale, Disabilitato 1.1.0
Stabilire le procedure per la distribuzione iniziale dell'autenticatore CMA_0276 - Stabilire le procedure per la distribuzione iniziale dell'autenticatore Manuale, Disabilitato 1.1.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Verificare l'identità prima della distribuzione di autenticatori CMA_0538 - Verificare l'identità prima della distribuzione di autenticatori Manuale, Disabilitato 1.1.0

Per quanto consentito e praticabile, garantire l'affidabilità del personale che opera nell'ambiente SWIFT locale effettuando uno screening regolare del personale.

ID: SWIFT CSCF v2022 5.3A Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare il personale con accesso alle informazioni riservate CMA_0054 - Deselezionare il personale con accesso alle informazioni riservate Manuale, Disabilitato 1.1.0
Accertarsi che i contratti di accesso siano firmati o risolti tempestivamente CMA_C1528 - Accertarsi che i contratti di accesso siano firmati o risolti tempestivamente Manuale, Disabilitato 1.1.0
Implementare la verifica del personale CMA_0322 - Implementare la verifica del personale Manuale, Disabilitato 1.1.0
Proteggere le informazioni speciali CMA_0409: proteggere le informazioni speciali Manuale, Disabilitato 1.1.0
Riesegui lo screening dei singoli utenti con una frequenza definita CMA_C1512 - Rieseguire lo screening dei singoli utenti con una frequenza definita Manuale, Disabilitato 1.1.0

Proteggere fisicamente e logicamente il repository di password registrate.

ID: SWIFT CSCF v2022 5.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile AuditIfNotExists, Disabled 2.0.0
Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione CMA_0203 - Documentare i requisiti di complessità della sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Stabilire criteri per le password CMA_0256 - Stabilire criteri per le password Manuale, Disabilitato 1.1.0
Implementare i parametri per gli strumenti di verifica dei segreti memorizzati CMA_0321 - Implementare i parametri per gli strumenti di verifica dei segreti memorizzati Manuale, Disabilitato 1.1.0
È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. Audit, Deny, Disabled 2.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

6. Rilevare attività anomale a sistemi o record delle transazioni

Garantire che l'infrastruttura SWIFT locale sia protetta da malware e agire in base ai risultati.

ID: SWIFT CSCF v2022 6.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Bloccare i processi non attendibili e non firmati eseguiti da USB CMA_0050 - Bloccare i processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Correlare i record di controllo CMA_0087 - Correlare i record di controllo Manuale, Disabilitato 1.1.0
Correlare le informazioni delle analisi di vulnerabilità CMA_C1558 - Correlare le informazioni delle analisi di vulnerabilità Manuale, Disabilitato 1.1.1
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Stabilire i requisiti per la revisione e i report di controllo CMA_0277 - Stabilire i requisiti per la revisione e i report di controllo Manuale, Disabilitato 1.1.0
Implementare l'accesso privilegiato per l'esecuzione di attività di analisi delle vulnerabilità CMA_C1555 - Implementare l'accesso privilegiato per l'esecuzione di attività di analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Integrare revisione, analisi e report di controllo CMA_0339 - Integrare la revisione, l'analisi e il report di controllo Manuale, Disabilitato 1.1.0
Integrare Cloud App Security con un sistema SIEM CMA_0340 - Integrare Cloud App Security con un sistema SIEM Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. AuditIfNotExists, Disabled 1.1.0
Osservare e segnalare i punti deboli della sicurezza CMA_0384 - Osservare e segnalare i punti deboli della sicurezza Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Creare un modello di rischio CMA_0392 - Creare un modello di rischio Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
Esaminare i log di provisioning account CMA_0460 - Esaminare i log di provisioning account Manuale, Disabilitato 1.1.0
Rivedere le assegnazioni degli amministratori ogni settimana CMA_0461 - Rivedere le assegnazioni degli amministratori ogni settimana Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0
Esaminare la panoramica del report sulle identità cloud CMA_0468 - Esaminare la panoramica del report sulle identità cloud Manuale, Disabilitato 1.1.0
Esaminare gli eventi di accesso controllato alle cartelle CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle Manuale, Disabilitato 1.1.0
Esaminare gli eventi di protezione dagli exploit CMA_0472 - Esaminare gli eventi di protezione dagli exploit Manuale, Disabilitato 1.1.0
Esaminare le attività relative a file e cartelle CMA_0473 - Esaminare le attività relative a file e cartelle Manuale, Disabilitato 1.1.0
Esaminare il report sui rilevamenti di malware ogni settimana CMA_0475 - Esaminare il report sui rilevamenti di malware ogni settimana Manuale, Disabilitato 1.1.0
Rivedere le modifiche del gruppo di ruoli ogni settimana CMA_0476 - Rivedere le modifiche del gruppo di ruoli ogni settimana Manuale, Disabilitato 1.1.0
Aggiornare le definizioni antivirus CMA_0517 - Aggiornare le definizioni antivirus Manuale, Disabilitato 1.1.0
Verificare l'integrità di software, firmware e informazioni CMA_0542 - Verificare l'integrità di software, firmware e informazioni Manuale, Disabilitato 1.1.0

ID: SWIFT CSCF v2022 6.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le workstation per il controllo dei certificati digitali CMA_0073 - Configurare le workstation per il controllo dei certificati digitali Manuale, Disabilitato 1.1.0
Usare l'arresto/riavvio automatico quando vengono rilevate violazioni CMA_C1715 - Usare l'arresto/riavvio automatico quando vengono rilevate violazioni Manuale, Disabilitato 1.1.0
Proteggere i dati in movimento mediante la crittografia CMA_0403 - Proteggere i dati in movimento mediante la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0
Verificare l'integrità di software, firmware e informazioni CMA_0542 - Verificare l'integrità di software, firmware e informazioni Manuale, Disabilitato 1.1.0
Visualizzare e configurare i dati di diagnostica del sistema CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema Manuale, Disabilitato 1.1.0

Garantire l'integrità dei record del database per l'interfaccia di messaggistica SWIFT o il connettore del cliente e agire in base ai risultati.

ID: SWIFT CSCF v2022 6.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare l'integrità di software, firmware e informazioni CMA_0542 - Verificare l'integrità di software, firmware e informazioni Manuale, Disabilitato 1.1.0
Visualizzare e configurare i dati di diagnostica del sistema CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema Manuale, Disabilitato 1.1.0

Registrare gli eventi di sicurezza e rilevare azioni e operazioni anomale all'interno dell'ambiente SWIFT locale.

ID: SWIFT CSCF v2022 6.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell’elenco Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. AuditIfNotExists, Disabled 2.0.1-preview
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
Il log attività deve essere conservato per almeno un anno Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0). AuditIfNotExists, Disabled 1.0.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Tutte le risorse del log del flusso devono essere in stato abilitato Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. Audit, Disabled 1.0.1
I log delle risorse devono essere abilitati per le app del servizio app Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. AuditIfNotExists, Disabled 2.0.1
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. auditIfNotExists 1.0.0
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 3.0.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Il profilo di log di Monitoraggio di Azure deve raccogliere i log per le categorie 'scrittura', 'eliminazione' e 'azione' Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione' AuditIfNotExists, Disabled 1.0.0
I cluster dei log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
I cluster dei log di Monitoraggio di Azure devono essere crittografati con una chiave gestita dal cliente Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log sono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare la conformità normativa. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
I log di Monitoraggio di Azure per Application Insights devono essere collegati a un'area di lavoro Log Analytics Collegare il componente Application Insights a un'area di lavoro Log Analytics per la crittografia dei log. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso ai dati in Monitoraggio di Azure. Il collegamento del componente a un'area di lavoro Log Analytics abilitata con una chiave gestita dal cliente garantisce che i log di Application Insights soddisfino questo requisito di conformità, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
Monitoraggio di Azure deve raccogliere i log attività da tutte le aree Questo criterio controlla il profilo del log di Monitoraggio di Azure che non esporta le attività da tutte le aree supportate da Azure, incluse quelle globali. AuditIfNotExists, Disabled 2.0.0
Correlare i record di controllo CMA_0087 - Correlare i record di controllo Manuale, Disabilitato 1.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Stabilire i requisiti per la revisione e i report di controllo CMA_0277 - Stabilire i requisiti per la revisione e i report di controllo Manuale, Disabilitato 1.1.0
I log dei flussi devono essere configurati per tutti i gruppi di sicurezza di rete Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. Audit, Disabled 1.1.0
Integrare revisione, analisi e report di controllo CMA_0339 - Integrare la revisione, l'analisi e il report di controllo Manuale, Disabilitato 1.1.0
Integrare Cloud App Security con un sistema SIEM CMA_0340 - Integrare Cloud App Security con un sistema SIEM Manuale, Disabilitato 1.1.0
L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. AuditIfNotExists, Disabled 2.0.1
Microsoft Defender per l'archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
I log dei flussi di Network Watcher devono avere abilitata l'analisi del traffico Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni di Azure e identificare le aree sensibili, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora. Audit, Disabled 1.0.1
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Fornire avvisi in tempo reale per errori relativi a eventi di controllo CMA_C1114 - Fornire avvisi in tempo reale per errori relativi a eventi di controllo Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
I log delle risorse devono essere abilitati negli account Batch Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati in Key Vault Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati in App per la logica Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.1.0
I log delle risorse devono essere abilitati nei servizi di ricerca Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse devono essere abilitati nel bus di servizio Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
Esaminare i log di provisioning account CMA_0460 - Esaminare i log di provisioning account Manuale, Disabilitato 1.1.0
Rivedere le assegnazioni degli amministratori ogni settimana CMA_0461 - Rivedere le assegnazioni degli amministratori ogni settimana Manuale, Disabilitato 1.1.0
Rivedere i dati di audit CMA_0466 - Rivedere i dati di audit Manuale, Disabilitato 1.1.0
Esaminare la panoramica del report sulle identità cloud CMA_0468 - Esaminare la panoramica del report sulle identità cloud Manuale, Disabilitato 1.1.0
Esaminare gli eventi di accesso controllato alle cartelle CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle Manuale, Disabilitato 1.1.0
Esaminare gli eventi di protezione dagli exploit CMA_0472 - Esaminare gli eventi di protezione dagli exploit Manuale, Disabilitato 1.1.0
Esaminare le attività relative a file e cartelle CMA_0473 - Esaminare le attività relative a file e cartelle Manuale, Disabilitato 1.1.0
Rivedere le modifiche del gruppo di ruoli ogni settimana CMA_0476 - Rivedere le modifiche del gruppo di ruoli ogni settimana Manuale, Disabilitato 1.1.0
Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0
L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali Questo criterio controlla i set di scalabilità di macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1
Nelle macchine virtuali deve essere installata l'estensione di Log Analytics Questo criterio controlla le macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. AuditIfNotExists, Disabled 1.0.1

Rilevare e contenere attività di rete anomale all'interno dell'ambiente SWIFT locale o remoto.

ID: SWIFT CSCF v2022 6.5A Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
[Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-anteprima
Avvisare il personale della perdita di informazioni CMA_0007: Avvisare il personale della perdita di informazioni Manuale, Disabilitato 1.1.0
Autorizzare, monitorare e controllare il sistema VoIP CMA_0025 - Autorizzare, monitorare e controllare il sistema VoIP Manuale, Disabilitato 1.1.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Rilevare i servizi di rete non autorizzati o approvati CMA_C1700: rilevare i servizi di rete non autorizzati o approvati Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Documentare le operazioni di sicurezza CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
Implementare la protezione del limite del sistema CMA_0328 - Implementare la protezione del limite del sistema Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
Microsoft Defender per archiviazione deve essere abilitato Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
Indirizzare il traffico tramite i punti di accesso di rete gestita CMA_0484 - Indirizzare il traffico tramite i punti di accesso di rete gestita Manuale, Disabilitato 1.1.0
Imposta le notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatiche per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0
Abilitare i sensori per la soluzione di sicurezza degli endpoint CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint Manuale, Disabilitato 1.1.0

7. Pianificare la risposta agli incidenti e la condivisione delle informazioni

Garantire un approccio coerente ed efficace per la gestione degli incidenti informatici.

ID: SWIFT CSCF v2022 7.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Risolvi i problemi di sicurezza delle informazioni CMA_C1742 - Risolvi i problemi di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.2.0
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.1.0
Identificare le classi di eventi imprevisti e azioni eseguite CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite Manuale, Disabilitato 1.1.0
Incorporare gli eventi simulati nel training della risposta agli incidenti CMA_C1356 - Incorporare eventi simulati nel training della risposta agli incidenti Manuale, Disabilitato 1.1.0
Erogare formazione sulla fuga di informazioni CMA_0413 - Fornire formazione sulla fuga di informazioni Manuale, Disabilitato 1.1.0
Rivedere e aggiornare i criteri e le procedure di risposta agli incidenti CMA_C1352 - Rivedere e aggiornare i criteri e le procedure di risposta agli incidenti Manuale, Disabilitato 1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1

Garantire che tutto il personale sia informato e rispetti le proprie responsabilità di sicurezza eseguendo regolarmente attività di consapevolezza e mantenendo le informazioni sulla sicurezza del personale con accesso privilegiato.

ID: SWIFT CSCF v2022 7.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare le attività di formazione sulla sicurezza e sulla privacy CMA_0198 - Documentare le attività di formazione sulla sicurezza e sulla privacy Manuale, Disabilitato 1.1.0
Erogare formazione periodica sulla sicurezza basata sui ruoli CMA_C1095 - Erogare formazione periodica sulla sicurezza basata sui ruoli Manuale, Disabilitato 1.1.0
Erogare formazione periodica di sensibilizzazione sulla sicurezza CMA_C1091 - Erogare formazione periodica di sensibilizzazione sulla sicurezza Manuale, Disabilitato 1.1.0
Fornire training sulla privacy CMA_0415 - Fornire formazione sulla privacy Manuale, Disabilitato 1.1.0
Fornire esercizi pratici basati sul ruolo CMA_C1096 - Fornire esercizi pratici basati sul ruolo Manuale, Disabilitato 1.1.0
Erogare formazione sulla sicurezza basata sui ruoli CMA_C1094 - Fornisci formazione sulla sicurezza basata sui ruoli Manuale, Disabilitato 1.1.0
Fornire training basata sui ruoli su attività sospette CMA_C1097 - Fornire formazione basata sui ruoli su attività sospette Manuale, Disabilitato 1.1.0
Fornire training sulla sicurezza per le minacce interne CMA_0417 - Fornire formazione sulla consapevolezza della sicurezza per le minacce interne Manuale, Disabilitato 1.1.0
Fornire la formazione sulla sicurezza prima di concedere l'accesso CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso Manuale, Disabilitato 1.1.0
Erogare la formazione sulla sicurezza per i nuovi utenti CMA_0419 - Erogare la formazione sulla sicurezza per i nuovi utenti Manuale, Disabilitato 1.1.0
Fornire una training aggiornata sulla sensibilizzazione sulla sicurezza CMA_C1090 - Fornire una formazione aggiornata sulla sensibilizzazione sulla sicurezza Manuale, Disabilitato 1.1.0

Convalidare la configurazione della sicurezza operativa e identificare i gap di sicurezza eseguendo i test di penetrazione.

ID: SWIFT CSCF v2022 7.3A Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Impiegare un team indipendente per i test di penetrazione CMA_C1171 - Impiegare un team indipendente per i test di penetrazione Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di creare un'architettura di sicurezza CMA_C1612 - Richiedere agli sviluppatori di creare un'architettura di sicurezza Manuale, Disabilitato 1.1.0

Valutare il rischio e l'idoneità dell'organizzazione in base a scenari di cyberattacco plausibili.

ID: SWIFT CSCF v2022 7.4A Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire la valutazione dei rischi CMA_C1543 - Eseguire la valutazione dei rischi Manuale, Disabilitato 1.1.0
Eseguire la valutazione dei rischi e distribuirne i risultati CMA_C1544 - Eseguire la valutazione dei rischi e distribuirne i risultati Manuale, Disabilitato 1.1.0
Eseguire la valutazione dei rischi e documentarne i risultati CMA_C1542 - Eseguire la valutazione dei rischi e documentarne i risultati Manuale, Disabilitato 1.1.0
Definire una strategia di gestione dei rischi CMA_0258 - Definire una strategia di gestione dei rischi Manuale, Disabilitato 1.1.0
Implementa la strategia di gestione dei rischi CMA_C1744 - Implementa la strategia di gestione dei rischi Manuale, Disabilitato 1.1.0
Eseguire una valutazione dei rischi CMA_0388 - Eseguire una valutazione dei rischi Manuale, Disabilitato 1.1.0
Esaminare e aggiornare i criteri e le procedure di valutazione dei rischi CMA_C1537 - Rivedere e aggiornare i criteri e le procedure di valutazione dei rischi Manuale, Disabilitato 1.1.0

8. Impostare e monitorare le prestazioni

Garantire la disponibilità impostando e monitorando formalmente gli obiettivi da raggiungere

ID: SWIFT CSCF v2022 8.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Coordinare i piani di emergenza con i piani correlati CMA_0086 - Coordinare i piani di emergenza con i piani correlati Manuale, Disabilitato 1.1.0
Sviluppare un piano di emergenza CMA_C1244 - Sviluppare un piano di emergenza Manuale, Disabilitato 1.1.0
Ottenere un'opinione legale per il monitoraggio delle attività del sistema CMA_C1688 - Ottenere un'opinione legale per il monitoraggio delle attività del sistema Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Pianificare la continuità delle funzioni aziendali essenziali CMA_C1255 - Pianificare la continuità delle funzioni aziendali essenziali Manuale, Disabilitato 1.1.0
Pianificare la ripresa delle funzioni aziendali essenziali CMA_C1253 - Pianificare la ripresa delle funzioni aziendali essenziali Manuale, Disabilitato 1.1.0
Fornire le informazioni di monitoraggio in base alle esigenze CMA_C1689 - Fornire le informazioni di monitoraggio in base alle esigenze Manuale, Disabilitato 1.1.0
Riprendere tutte le funzioni di mission e business CMA_C1254 - Riprendere tutte le funzioni di mission e business Manuale, Disabilitato 1.1.0

Garantire disponibilità, capacità e qualità dei servizi ai clienti

ID: SWIFT CSCF v2022 8.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire la pianificazione della capacità CMA_C1252 - Eseguire la pianificazione della capacità Manuale, Disabilitato 1.1.0
Coordinare i piani di emergenza con i piani correlati CMA_0086 - Coordinare i piani di emergenza con i piani correlati Manuale, Disabilitato 1.1.0
Creare azioni alternative per le anomalie identificate CMA_C1711 - Creare azioni alternative per le anomalie identificate Manuale, Disabilitato 1.1.0
Sviluppare un piano di emergenza CMA_C1244 - Sviluppare un piano di emergenza Manuale, Disabilitato 1.1.0
Informare il personale in merito a eventuali test di verifica della sicurezza non superati CMA_C1710 - Segnalare al personale eventuali test di verifica della sicurezza non superati Manuale, Disabilitato 1.1.0
Eseguire la verifica della funzione di sicurezza a una frequenza definita CMA_C1709 - Eseguire la verifica della funzione di sicurezza a una frequenza definita Manuale, Disabilitato 1.1.0
Pianificare la continuità delle funzioni aziendali essenziali CMA_C1255 - Pianificare la continuità delle funzioni aziendali essenziali Manuale, Disabilitato 1.1.0

Garantire la disponibilità tempestiva delle versioni SWIFTNet e degli standard FIN per i test appropriati da parte del cliente prima dell'attivazione.

ID: SWIFT CSCF v2022 8.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Risolvere le vulnerabilità legate alla scrittura del codice CMA_0003 - Risolvere le vulnerabilità legate alla scrittura del codice Manuale, Disabilitato 1.1.0
Sviluppare e documentare i requisiti di sicurezza delle applicazioni CMA_0148 - Sviluppare e documentare i requisiti di sicurezza delle applicazioni Manuale, Disabilitato 1.1.0
Documentare l'ambiente del sistema informativo nei contratti di acquisizione CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Stabilire un programma di sviluppo software sicuro CMA_0259 - Stabilire un programma di sviluppo software sicuro Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di documentare le modifiche approvate e il potenziale impatto CMA_C1597 - Richiedi agli sviluppatori di documentare le modifiche approvate e il potenziale impatto Manuale, Disabilitato 1.1.0
Richiedi agli sviluppatori di implementare solo le modifiche approvate CMA_C1596 - Richiedere agli sviluppatori di implementare solo le modifiche approvate Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di gestire l'integrità delle modifiche CMA_C1595 - Richiedere agli sviluppatori di gestire l'integrità delle modifiche Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di produrre prove dell'esecuzione del piano di valutazione della sicurezza CMA_C1602 - Richiedere agli sviluppatori di produrre prove dell'esecuzione del piano di valutazione della sicurezza Manuale, Disabilitato 1.1.0
Verificare l'integrità di software, firmware e informazioni CMA_0542 - Verificare l'integrità di software, firmware e informazioni Manuale, Disabilitato 1.1.0

9. Garantire la disponibilità tramite la resilienza

I provider devono garantire che il servizio rimanga disponibile per i clienti in caso di problemi o malfunzionamenti locali.

ID: SWIFT CSCF v2022 9.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire test di risposta agli incidenti CMA_0060 - Eseguire test di risposta agli incidenti Manuale, Disabilitato 1.1.0
Coordinare i piani di emergenza con i piani correlati CMA_0086 - Coordinare i piani di emergenza con i piani correlati Manuale, Disabilitato 1.1.0
Sviluppare un piano di emergenza CMA_C1244 - Sviluppare un piano di emergenza Manuale, Disabilitato 1.1.0
Sviluppare criteri e procedure di pianificazione delle emergenze CMA_0156 - Sviluppa criteri e procedure di pianificazione delle emergenze Manuale, Disabilitato 1.1.0
Distribuire criteri e procedure CMA_0185 - Distribuire criteri e procedure Manuale, Disabilitato 1.1.0
Stabilire un programma di sicurezza delle informazioni CMA_0263 - Stabilire un programma di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Erogare formazione sulle emergenze CMA_0412 - Erogare formazione sulle emergenze Manuale, Disabilitato 1.1.0
Eseguire attacchi di simulazione CMA_0486 - Eseguire attacchi di simulazione Manuale, Disabilitato 1.1.0

I provider devono garantire che il servizio rimanga disponibile per i clienti in caso di emergenza del sito.

ID: SWIFT CSCF v2022 9.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esegui il backup della documentazione del sistema informativo CMA_C1289 - Esegui il backup della documentazione del sistema informativo Manuale, Disabilitato 1.1.0
Creare siti di archiviazione alternativi e primari separati CMA_C1269 - Creare siti di archiviazione alternativi e primari separati Manuale, Disabilitato 1.1.0
Accertarsi che le misure di sicurezza alternative del sito di archiviazione siano equivalenti al sito primario CMA_C1268 - Accertarsi che le misure di sicurezza alternative del sito di archiviazione siano equivalenti al sito primario Manuale, Disabilitato 1.1.0
Stabilire un sito di archiviazione alternativo che faciliti le operazioni di ripristino CMA_C1270 - Stabilire un sito di archiviazione alternativo che faciliti le operazioni di ripristino Manuale, Disabilitato 1.1.0
Stabilire un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup CMA_C1267 - Stabilisci un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup Manuale, Disabilitato 1.1.0
Stabilire un sito di elaborazione alternativo CMA_0262 - Stabilire un sito di elaborazione alternativo Manuale, Disabilitato 1.1.0
Stabilire i requisiti per i provider di servizi Internet CMA_0278 - Stabilire i requisiti per i provider di servizi Internet Manuale, Disabilitato 1.1.0
Identificare e attenuare i potenziali problemi nel sito di archiviazione alternativo CMA_C1271 - Identificare e attenuare i potenziali problemi nel sito di archiviazione alternativo Manuale, Disabilitato 1.1.0
Preparare un sito di elaborazione alternativo per l'uso come sito operativo CMA_C1278 - Preparare un sito di elaborazione alternativo per l'uso come sito operativo Manuale, Disabilitato 1.1.0
Recuperare e ricostituire le risorse in seguito a interruzioni del servizio CMA_C1295 - Recuperare e ricostituire le risorse in seguito a un’interruzione Manuale, Disabilitato 1.1.1
Ripristinare le risorse allo stato operativo CMA_C1297 - Ripristinare le risorse allo stato operativo Manuale, Disabilitato 1.1.1
Archiviare separatamente le informazioni di backup CMA_C1293 - Archiviare separatamente le informazioni di backup Manuale, Disabilitato 1.1.0
Trasferire le informazioni di backup in un sito di archiviazione alternativo CMA_C1294 -Trasferire le informazioni di backup in un sito di archiviazione alternativo Manuale, Disabilitato 1.1.0

L'agenzia di servizi deve garantire che il servizio rimanga disponibile per i clienti in caso di problemi, pericolo o incidente.

ID: SWIFT CSCF v2022 9.3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza CMA_0146 - Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza Manuale, Disabilitato 1.1.0
Sviluppare un piano di emergenza CMA_C1244 - Sviluppare un piano di emergenza Manuale, Disabilitato 1.1.0
Utilizzare l'illuminazione di emergenza automatica CMA_0209 - Utilizzare l'illuminazione di emergenza automatica Manuale, Disabilitato 1.1.0
Implementare una metodologia per i test di penetrazione CMA_0306 - Implementare una metodologia per i test di penetrazione Manuale, Disabilitato 1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree protette Manuale, Disabilitato 1.1.0
Esaminare e aggiornare criteri e procedure fisici e ambientali CMA_C1446 - Rivedere e aggiornare criteri e procedure fisici e ambientali Manuale, Disabilitato 1.1.0
Eseguire attacchi di simulazione CMA_0486 - Eseguire attacchi di simulazione Manuale, Disabilitato 1.1.0

ID: SWIFT CSCF v2022 9.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare, monitorare e controllare il sistema VoIP CMA_0025 - Autorizzare, monitorare e controllare il sistema VoIP Manuale, Disabilitato 1.1.0
Eseguire la pianificazione della capacità CMA_C1252 - Eseguire la pianificazione della capacità Manuale, Disabilitato 1.1.0
Implementare la protezione del limite del sistema CMA_0328 - Implementare la protezione del limite del sistema Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
Indirizzare il traffico tramite i punti di accesso di rete gestita CMA_0484 - Indirizzare il traffico tramite i punti di accesso di rete gestita Manuale, Disabilitato 1.1.0

10. Prepararsi in caso di emergenza grave

La continuità aziendale viene garantita da un piano documentato comunicato alle parti potenzialmente interessate (agenzia di servizi e clienti).

ID: SWIFT CSCF v2022 10.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Coordinare i piani di emergenza con i piani correlati CMA_0086 - Coordinare i piani di emergenza con i piani correlati Manuale, Disabilitato 1.1.0
Sviluppare un piano di emergenza CMA_C1244 - Sviluppare un piano di emergenza Manuale, Disabilitato 1.1.0
Pianificare la continuità delle funzioni aziendali essenziali CMA_C1255 - Pianificare la continuità delle funzioni aziendali essenziali Manuale, Disabilitato 1.1.0
Pianificare la ripresa delle funzioni aziendali essenziali CMA_C1253 - Pianificare la ripresa delle funzioni aziendali essenziali Manuale, Disabilitato 1.1.0
Riprendere tutte le funzioni di mission e business CMA_C1254 - Riprendere tutte le funzioni di mission e business Manuale, Disabilitato 1.1.0

11. Eseguire il monitoraggio in caso di emergenza grave

Garantire un approccio coerente ed efficace per il monitoraggio e l'escalation degli eventi.

ID: SWIFT CSCF v2022 11.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare le operazioni di sicurezza CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
Ottenere un'opinione legale per il monitoraggio delle attività del sistema CMA_C1688 - Ottenere un'opinione legale per il monitoraggio delle attività del sistema Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Fornire le informazioni di monitoraggio in base alle esigenze CMA_C1689 - Fornire le informazioni di monitoraggio in base alle esigenze Manuale, Disabilitato 1.1.0
Abilitare i sensori per la soluzione di sicurezza degli endpoint CMA_0514 - Abilitare i sensori per la soluzione di sicurezza degli endpoint Manuale, Disabilitato 1.1.0

Garantire un approccio coerente ed efficace per la gestione degli incidenti (gestione dei problemi).

ID: SWIFT CSCF v2022 11.2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Valutare gli eventi di sicurezza delle informazioni CMA_0013 - Valutare gli eventi di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Eseguire test di risposta agli incidenti CMA_0060 - Eseguire test di risposta agli incidenti Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Sviluppare misure di sicurezza CMA_0161 - Sviluppare misure di sicurezza Manuale, Disabilitato 1.1.0
Documentare le operazioni di sicurezza CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
Abilitare la protezione della rete CMA_0238 - Abilitare la protezione della rete Manuale, Disabilitato 1.1.0
Eliminare le informazioni contaminate CMA_0253 - Eliminare le informazioni contaminate Manuale, Disabilitato 1.1.0
Stabilire un programma di sicurezza delle informazioni CMA_0263 - Stabilire un programma di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Eseguire azioni in risposta a fuga/perdita di informazioni CMA_0281 - Eseguire azioni in risposta a fuga/perdita di informazioni Manuale, Disabilitato 1.1.0
Identificare le classi di eventi imprevisti e azioni eseguite CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite Manuale, Disabilitato 1.1.0
Implementare la gestione degli eventi CMA_0318 - Implementare la gestione degli eventi Manuale, Disabilitato 1.1.0
Incorporare gli eventi simulati nel training della risposta agli incidenti CMA_C1356 - Incorporare eventi simulati nel training della risposta agli incidenti Manuale, Disabilitato 1.1.0
Gestire i record di violazione dei dati CMA_0351 - Gestire i record di violazione dei dati Manuale, Disabilitato 1.1.0
Gestire il piano di risposta agli incidenti CMA_0352 - Gestire il piano di risposta agli incidenti Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Proteggere il piano di risposta agli incidenti CMA_0405 - Proteggere il piano di risposta agli incidenti Manuale, Disabilitato 1.1.0
Erogare formazione sulla fuga di informazioni CMA_0413 - Fornire formazione sulla fuga di informazioni Manuale, Disabilitato 1.1.0
Rivedere e aggiornare i criteri e le procedure di risposta agli incidenti CMA_C1352 - Rivedere e aggiornare i criteri e le procedure di risposta agli incidenti Manuale, Disabilitato 1.1.0
Eseguire attacchi di simulazione CMA_0486 - Eseguire attacchi di simulazione Manuale, Disabilitato 1.1.0
Visualizzare e analizzare gli utenti con restrizioni CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni Manuale, Disabilitato 1.1.0

Garantire un'escalation adeguata dei malfunzionamenti operativi in caso di impatto sul cliente.

ID: SWIFT CSCF v2022 11.4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Automatizzare il processo per documentare le modifiche implementate CMA_C1195 - Automatizzare il processo per documentare le modifiche implementate Manuale, Disabilitato 1.1.0
Automatizzare il processo per evidenziare le proposte di modifica non presentate CMA_C1193 - Automatizzare il processo per evidenziare le proposte di modifica non presentate Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Documentare le operazioni di sicurezza CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
Abilitare la protezione della rete CMA_0238 - Abilitare la protezione della rete Manuale, Disabilitato 1.1.0
Eliminare le informazioni contaminate CMA_0253 - Eliminare le informazioni contaminate Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Stabilire i requisiti di gestione della configurazione per i developer CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori Manuale, Disabilitato 1.1.0
Stabilire una relazione tra la funzionalità di risposta agli incidenti e i provider esterni CMA_C1376 - Stabilire una relazione tra la funzionalità di risposta agli incidenti e i provider esterni Manuale, Disabilitato 1.1.0
Eseguire azioni in risposta a fuga/perdita di informazioni CMA_0281 - Eseguire azioni in risposta a fuga/perdita di informazioni Manuale, Disabilitato 1.1.0
Implementare la gestione degli eventi CMA_0318 - Implementare la gestione degli eventi Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Eseguire il controllo per la verifica delle modifiche di configurazione CMA_0390 - Eseguire il controllo per la verifica delle modifiche di configurazione Manuale, Disabilitato 1.1.0
Visualizzare e analizzare gli utenti con restrizioni CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni Manuale, Disabilitato 1.1.0

Offrire un supporto efficace ai clienti in caso di problemi durante l'orario di lavoro.

ID: SWIFT CSCF v2022 11.5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Documentare le operazioni di sicurezza CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
Abilitare la protezione della rete CMA_0238 - Abilitare la protezione della rete Manuale, Disabilitato 1.1.0
Eliminare le informazioni contaminate CMA_0253 - Eliminare le informazioni contaminate Manuale, Disabilitato 1.1.0
Stabilire una relazione tra la funzionalità di risposta agli incidenti e i provider esterni CMA_C1376 - Stabilire una relazione tra la funzionalità di risposta agli incidenti e i provider esterni Manuale, Disabilitato 1.1.0
Eseguire azioni in risposta a fuga/perdita di informazioni CMA_0281 - Eseguire azioni in risposta a fuga/perdita di informazioni Manuale, Disabilitato 1.1.0
Identificare il personale incaricato di rispondere agli incidenti CMA_0301 - Identificare il personale incaricato di rispondere agli eventi imprevisti Manuale, Disabilitato 1.1.0
Implementare la gestione degli eventi CMA_0318 - Implementare la gestione degli eventi Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze per le minacce CMA_0389 - Eseguire un'analisi delle tendenze per le minacce Manuale, Disabilitato 1.1.0
Visualizzare e analizzare gli utenti con restrizioni CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni Manuale, Disabilitato 1.1.0

12. Garantire la disponibilità delle conoscenze

Garantire la qualità del servizio ai clienti tramite dipendenti certificati SWIFT.

ID: SWIFT CSCF v2022 12.1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Erogare formazione periodica sulla sicurezza basata sui ruoli CMA_C1095 - Erogare formazione periodica sulla sicurezza basata sui ruoli Manuale, Disabilitato 1.1.0
Erogare formazione sulla sicurezza basata sui ruoli CMA_C1094 - Fornisci formazione sulla sicurezza basata sui ruoli Manuale, Disabilitato 1.1.0
Fornire la formazione sulla sicurezza prima di concedere l'accesso CMA_0418 - Erogare la formazione sulla sicurezza prima di concedere l'accesso Manuale, Disabilitato 1.1.0

Passaggi successivi

Articoli aggiuntivi su Criteri di Azure: