Стандарты соответствия Security Posture Management
- Последняя Dynatrace
Стандарт соответствия объединяет требования безопасности, конфигурации и процессов, которые следуют установленным руководствам и лучшим практикам ИКТ-безопасности. Соблюдение этих стандартов помогает организациям поддерживать необходимый уровень усиления безопасности и снижать подверженность рискам.
Ниже вы найдёте подробные описания каждого стандарта и как Dynatrace его поддерживает.
BSI C5¶
C5, также известный как Cloud Computing Compliance Criteria Catalogue, разработанный Федеральным ведомством Германии по информационной безопасности (BSI), описывает базовые требования для безопасных облачных вычислений. Он в первую очередь предназначен для обеспечения высокого уровня гарантий безопасности облачных сервисов. Основанный на международных стандартах, таких как ISO 27001, C5 идёт дальше, включая дополнительные элементы управления, специально адаптированные для облачных сред.
Поддержка версий BSI C5¶
Поддерживаемая версия — C5:2020.
BSI IT-Grundschutz¶
Немецкий стандарт IT Baseline Protection (IT-Grundschutz) был разработан BSI как надёжная и устойчивая система управления информационной безопасностью (ISMS). IT-Grundschutz охватывает технические, организационные, инфраструктурные и кадровые аспекты в равной мере. Благодаря широкой основе IT-Grundschutz предлагает систематический подход к информационной безопасности, совместимый с ISO/IEC 27001.
Поддержка версий BSI IT-Grundschutz¶
Поддерживаемые издания — 2022 и 2023.
CIS¶
Center for Internet Security (CIS) публикует CIS Critical Security Controls (CSC) для помощи организациям в достижении более высокого уровня общей защиты от киберугроз. Эти элементы управления представляют собой рекомендованный набор действий для киберзащиты, предоставляющий конкретные и практические способы остановки наиболее распространённых и опасных атак. Основное преимущество элементов управления — приоритизация и фокус на меньшем количестве действий с высокой отдачей.
Поддержка CIS-бенчмарков¶
| Бенчмарк | Облачный провайдер/Серверное ПО | Поддерживаемые версии |
|---|---|---|
| CIS Kubernetes v1.12.0 | Upstream Kubernetes | 1.32, 1.33, 1.34 |
| CIS Kubernetes v1.11.1 | Upstream Kubernetes | 1.29, 1.30, 1.31, 1.32 |
| CIS Amazon Elastic Kubernetes Service (EKS) Benchmark v1.7.0 | Amazon EKS | 1.30, 1.31, 1.32 |
| CIS Azure Kubernetes Service (AKS) Benchmark v1.8.0 | Azure AKS | 1.32, 1.33, 1.34 |
| CIS Amazon Web Services Foundations Benchmark v3.0.0 | AWS | — |
| CIS Microsoft Azure Foundations Benchmark v5.0.0 | Azure | — |
| CIS Google Cloud Platform Foundation Benchmark v1.3.0 | GCP | — |
| CIS VMware ESXi 8.0 Benchmark v1.2.0 | VMware | VMware ESXi 8.0 |
| CIS VMware ESXi 7.0 Benchmark v1.4.0 | VMware | VMware ESXi 7.0 |
| CIS VMware ESXi 6.7 Benchmark v1.2.0 | VMware | VMware ESXi 6.7 |
| CIS VMware ESXi 6.5 Benchmark v1.0.0 | VMware | VMware ESXi 6.5 |
Cyber Essentials¶
Cyber Essentials — это стандарт безопасности Великобритании, направленный на демонстрацию того, что организация внедрила минимальные средства защиты от киберугроз через ежегодные оценки. Он включает фундаментальные технические элементы управления для помощи организациям в защите от распространённых онлайн-угроз. Схема Cyber Essentials — это поддерживаемая правительством рамочная программа, разработанная Национальным центром кибербезопасности (NCSC).
Поддержка версий Cyber Essentials¶
Поддерживаемая версия Requirements for IT infrastructure — v3.1.
DISA STIG¶
Security Technical Implementation Guides (STIGs) основаны на стандартах Министерства обороны США (DoD). Руководства DISA STIG часто используются как базовый уровень в других секторах для обеспечения соответствия стандартам и доступа к сетям DoD. Все организации должны соответствовать стандартам безопасности DISA STIG перед получением доступа и работой в сетях DoD.
Поддержка DISA STIG¶
| STIG | Поддерживаемые версии |
|---|---|
| Kubernetes STIG - Ver 2, Rel 4 | Upstream Kubernetes, Amazon EKS, Azure AKS |
| VMware vSphere 8.0 STIG | VMware vCenter 8.0.x, VMware ESXi 8.0.x |
| VMware vSphere 7.0 STIG | VMware vCenter 7.0.x, VMware ESXi 7.0.x |
| VMware vSphere 6.7 STIG | VMware vCenter 6.7.x, VMware ESXi 6.7.x |
| VMware vSphere 6.5 STIG | VMware vCenter 6.5.x, VMware ESXi 6.5.x |
| VMware NSX 4.x STIG | NSX 4.x |
| VMware NSX-T Data Center STIG | NSX 3.x |
DORA¶
Digital Operational Resilience Act (DORA) — это крупный законодательный акт Европейского союза (Регламент (ЕС) 2022/2554). DORA направлен на повышение устойчивости цифровых операций и защиту целостности инфраструктуры финансового рынка в Европейском союзе. Соблюдение DORA — это путь к созданию более безопасной и надёжной цифровой среды в финансовых учреждениях. Акт влияет на повседневные операции, протоколы безопасности и меры по обеспечению соответствия. DORA вступил в силу 17 января 2025 г.
Essential Eight¶
Стандарт Essential Eight основан на восьми приоритетных стратегиях смягчения рисков, предназначенных для помощи специалистам по кибербезопасности в смягчении инцидентов, вызванных различными киберугрозами. Разработанный Австралийским центром кибербезопасности (ACSC), он является обязательным для всех австралийских некорпоративных (федеральных) государственных организаций и настоятельно рекомендуется для других бизнес-организаций.
GDPR¶
General Data Protection Regulation (GDPR) — это европейский закон о конфиденциальности, призванный гармонизировать правила защиты данных в Европейском союзе (ЕС) путём создания единой обязательной рамочной программы для всех стран-членов ЕС. GDPR.eu предлагает обширную библиотеку ресурсов для помощи организациям в достижении соответствия GDPR.
HIPAA¶
Закон 1996 года о переносимости и подотчётности медицинского страхования (HIPAA) обязал министра здравоохранения и социальных служб США (HHS) установить правила защиты конфиденциальности и безопасности определённой медицинской информации. В ответ HHS ввёл Правило конфиденциальности HIPAA и Правило безопасности HIPAA, которые сейчас являются широко признанными стандартами.
Поддержка версий HIPAA¶
Поддерживаемая версия — 5/2005: ред. 3/2007.
ISO 27001¶
ISO 27001 — один из наиболее признанных в мире стандартов, предлагающий комплексную рамочную программу для системы управления информационной безопасностью (ISMS). Он помогает организациям согласовать свои практики безопасности с международными лучшими практиками и бизнес-, правовыми и нормативными требованиями. Стандарт охватывает все аспекты управления рисками информационной безопасности, от оценки рисков до их обработки, что делает его необходимым инструментом в современном постоянно меняющемся ландшафте кибербезопасности.
Поддержка версий ISO 27001¶
Поддерживаемая версия — ISO 27001/2022.
KVKK¶
Закон о защите персональных данных (тур. Kişisel Verilerin Korunması Kanunu, KVKK) — это турецкий закон, регулирующий защиту персональных данных и определяющий правовые обязательства субъектов и физических лиц, обрабатывающих персональные данные. Этот закон обеспечивает соблюдение технических требований к защите данных, доступу к данным и готовности к аудиту, будучи создан по образцу Общего регламента ЕС по защите данных (GDPR).
NIST¶
Национальный институт стандартов и технологий (NIST) публикует NIST SP 800-53, содержащий элементы управления безопасностью и конфиденциальностью для информационных систем и организаций. Согласно Управлению по управлению и бюджету (OMB), стандарты и политики NIST обязательны для всех систем, не относящихся к национальной безопасности, управляемых федеральными агентствами США.
Поддержка ревизий NIST¶
| Ревизия | Облачный провайдер/Серверное ПО |
|---|---|
| SP 800-53 Rev. 5.1.1 | Upstream Kubernetes, Amazon EKS, Azure AKS |
| SP 800-53 Rev. 5 | AWS, Azure |
| SP 800-53 Rev. 5.1 | VMware vSphere |
PCI DSS¶
Payment Card Industry Data Security Standard (PCI DSS) — это набор требований для обеспечения того, чтобы компании, обрабатывающие, хранящие или передающие информацию о кредитных картах, работали в безопасной среде. Разработанный для устранения растущего риска утечек данных в системах платёжных карт, PCI DSS критически важен для любого бизнеса, принимающего, обрабатывающего или хранящего информацию о платёжных картах.
Поддержка версий PCI DSS¶
Поддерживаемая версия — PCI DSS v4.0.
TISAX¶
Trusted Information Security Assessment Exchange (TISAX) — это известный стандарт информационной безопасности в автомобильной промышленности, разработанный Немецкой ассоциацией автомобильной промышленности (VDA). Требования TISAX изложены в каталоге Information Security Assessment (ISA), который управляется ассоциацией ENX. Эти требования основаны на международном стандарте ISO/IEC 27001 для управления информационной безопасностью с дополнительными положениями, специально адаптированными для автомобильного сектора.
Поддержка версий TISAX¶
Поддерживаемая версия — VDA ISA 5.1.
VMware SCG¶
VMware Security Configuration Guides предоставляет руководство по безопасному развёртыванию и эксплуатации продуктов VMware на основе VMware Security Configuration Guide.
Поддержка версий VMware SCG¶
Поддерживаемая версия — vCenter Server 8.0 Update 3.
Связанные темы¶
- Security Posture Management