Поделиться через

Microsoft Entra рекомендации клиентов в разделе DORA

  • Статья

Примечание.

Эта информация не является юридической, финансовой или профессиональной консультацией и не должна рассматриваться как полное заявление или действия, необходимые для выполнения требований закона. Он предоставляется только в информационных целях.

Закон о цифровой операционной устойчивости (DORA) — это нормативная база, созданная Европейским союзом, направленная на укрепление операционной устойчивости сектора финансовых услуг в условиях быстро развивающегося ландшафта рисков информационно-коммуникационных технологий (ИКТ). Регулируемые сущности могут рассмотреть возможность включения Microsoft Entra функций и возможностей в свои платформы, политики и планы для согласования с определенными требованиями в рамках DORA.

Хотя Microsoft Entra ID предлагает элементы управления, которые могут помочь в удовлетворении определенных требований DORA и предоставляют современные возможности управления удостоверениями и доступом (IAM), полагаться только на платформу IAM недостаточно для защиты данных финансовых сущностей. Важно ознакомиться с этой статьей и всеми требованиями DORA для создания комплексной программы цифровой операционной устойчивости. Для получения официальных ресурсов DORA посетите официальный веб-сайт Европейского управления по страхованию и профессиональным пенсиям.

Microsoft Entra и DORA

Microsoft Entra, состоящая из Microsoft Entra ID (прежнее название — Azure Active Directory) и других возможностей Microsoft Entra, — это корпоративная служба удостоверений, которая может помочь защитить приложения, системы и ресурсы в поддержку усилий по обеспечению соответствия требованиям DORA. Microsoft Entra ID лежит в основе корпоративных предложений Майкрософт, таких как Microsoft 365, Azure и Dynamics 365, повышает общую безопасность и защиту идентификации и может играть решающую роль в согласовании с более широкими требованиями к управлению рисками в области ИКТ в рамках DORA.

Регулируемые сущности могут рассмотреть возможность включения Microsoft Entra возможностей в свои платформы, политики и планы для согласования с определенными требованиями в рамках DORA:

  • Платформа управления рисками в области ИКТ
  • Политика непрерывности бизнес-процессов в области ИКТ
  • Планы реагирования на ИКТ и восстановления

Каждый из упомянутых выше пунктов может охватывать различные стратегии, политику, процедуры, протоколы ИКТ и инструменты, которые финансовые организации должны реализовать. Приведенный выше список не следует считать исчерпывающим.

Кроме того, внутренняя система управления и контроля, обеспечивающая эффективное и разумное управление рисками ИКТ, имеет решающее значение для устранения рисков, которые стремится устранить DORA. Если такая платформа поддерживается за счет использования Microsoft Entra элементов управления, следует проводить регулярную оценку средств контроля и других рисков, связанных с поддерживаемыми рабочими нагрузками, с особым вниманием к тем, которые являются неотъемлемой частью предоставления финансовых услуг.

Microsoft Entra руководство для клиентов в область DORA

Географически распределенная архитектура Microsoft Entra сочетает в себе широкие возможности мониторинга, автоматического перенаправления, отработки отказа и восстановления для обеспечения непрерывной высокой доступности и производительности. Корпорация Майкрософт также использует комплексный подход к управлению инцидентами безопасности, управлению поставщиками и управлению уязвимостями.

Microsoft Entra ID функции могут помочь финансовым организациям в выполнении их обязательств по соответствию DORA. В следующей таблице описаны функции, возможности и предложения служб Майкрософт, а также соответствующие рекомендации и неисчерпаемый список примеров статей DORA для рассмотрения в рамках комплексной программы цифровой операционной устойчивости.

В статьях, на которые ссылается таблица ниже, содержатся рекомендации для финансовых организаций о том, как Microsoft Entra ID можно настроить и реализовать в эксплуатацию таким образом, чтобы способствовать эффективному управлению удостоверениями и доступом (IAM) в рамках их обязательств по соответствию DORA.

Примечание.

Для краткости мы сослались на RTS на платформу управления рисками в ОБЛАСТИ ИКТ и упрощенную платформу управления рисками в области ИКТ (см. JC 2023 86) как "RTS on ICT risk management frameworks".

Функции, возможности или услуги Майкрософт Руководство по рассмотрению клиентами Примеры статей DORA для рассмотрения клиентом
Несколько возможностей Microsoft Entra ID позволяют организациям повысить устойчивость управления удостоверениями и доступом. Финансовые организации могут повысить устойчивость систем, защищенных Microsoft Entra ID, следуя рекомендациям, включенным и приведенным в следующей статье.
 Закон DORA:

  • Статья 7. Системы, протоколы и инструменты ИКТ
система проверки подлинности резервного копирования Microsoft Entra Финансовые организации могут рассмотреть Microsoft Entra систему проверки подлинности резервного копирования, что повышает устойчивость проверки подлинности в случае сбоя. Финансовые организации могут принять меры для обеспечения того, чтобы пользователи могли пройти проверку подлинности с помощью системы проверки подлинности резервного копирования в случае сбоя, например:
 Закон DORA:
  • Статья 7. Системы, протоколы и инструменты ИКТ
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.
Непрерывная оценка доступа Microsoft Entra Финансовые организации могут рассмотреть возможность использования непрерывной оценки доступа (CAE), которая позволяет Microsoft Entra ID выдавать маркеры с более длительным сроком существования, позволяя приложениям отменять доступ и принудительно выполнять повторную проверку подлинности только при необходимости. Конечным результатом этого шаблона является меньше вызовов для получения маркеров, что означает, что комплексный поток является более устойчивым.

Чтобы использовать CAE, служба и клиент должны поддерживать CAE. Поэтому финансовые организации могут рассмотреть эти шаги по реализации , чтобы обновить код для использования API с поддержкой CAE, обеспечить использование совместимых версий собственных приложений Microsoft Office и оптимизировать запросы повторной проверки подлинности.		 Закон DORA:
  • Статья 7. Системы, протоколы и инструменты ИКТ
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.
Параметры архитектуры гибридной проверки подлинности Майкрософт Финансовые организации, которым требуется архитектура гибридной проверки подлинности, могут учитывать устойчивость механизмов гибридной проверки подлинности, включая локальные зависимости и потенциальные точки сбоя.
  • Корпорация Майкрософт считает синхронизацию хэша паролей (PHS) наиболее устойчивым вариантом гибридной архитектуры, так как она имеет локальные зависимости только для синхронизации, а не для проверки подлинности. Это означает, что пользователи могут продолжать проверку подлинности с помощью Microsoft Entra ID в случае сбоя PHS.
  • Сквозная проверка подлинности (PTA) имеет локальный объем в виде Microsoft Entra агентов PTA. Эти агенты должны быть доступны пользователям для проверки подлинности с помощью Microsoft Entra ID.
  • Для федерации требуется использовать службу федерации, например службы федерации Active Directory (AD FS) (ADFS). Федерация имеет наибольшую зависимость от локальной инфраструктуры и, следовательно, больше точек сбоя проверки подлинности.
  • Организации, использующие PTA или федерацию, могут также рассмотреть возможность включения PHS для создания отчетов об утечке учетных данных и возможности переключения на использование облачной проверки подлинности в случае локального сбоя (например, из-за атаки программы-шантажистов).
 Закон DORA:
  • Статья 7. Системы, протоколы и инструменты ИКТ
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.
Несколько возможностей Microsoft Entra ID позволяют организациям повысить уровень безопасности клиентов. Финансовые организации могут развертывать критические рекомендуемые действия:

  • Укрепление учетных данных
  • Уменьшение области направления атак
  • Автоматизация реагирования на угрозы
  • Использование облачной аналитики
  • Включение самообслуживания для конечных пользователей
 Закон DORA:

  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций
Единый вход (SSO) для корпоративных приложений в Microsoft Entra ID помогает обеспечить преимущества политик учетных данных, обнаружения угроз, аудита, ведения журнала и других функций, добавляемых в эти приложения. Финансовые организации могут настроить приложения для использования Microsoft Entra ID в качестве поставщика удостоверений, чтобы воспользоваться политиками учетных данных, обнаружением угроз, аудитом, ведением журнала и другими функциями, которые помогут обеспечить надлежащую защиту и мониторинг приложений.

Следуйте рекомендациям по управлению приложениями , чтобы обеспечить безопасность, управление, мониторинг и очистку приложений.		 Закон DORA:

  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.
  • Статья 18. Классификация инцидентов, связанных с ИКТ, и киберугроз.


RTS о платформах управления рисками в области ИКТ:
  • Статья 20. Управление удостоверениями
Многофакторная проверка подлинности в Microsoft Entra ID требует двух или более методов проверки подлинности для повышения безопасности. Финансовые организации могут реализовать многофакторную проверку подлинности (MFA) в Microsoft Entra ID, чтобы значительно снизить риск несанкционированного доступа и обеспечить безопасность систем ИКТ:

 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций
  • Статья 15. Дальнейшее согласование инструментов, методов, процессов и политики управления рисками в области ИКТ

RTS о платформах управления рисками в области ИКТ:
  • Статья 11. Безопасность данных и систем
  • Статья 21: контроль доступа
  • Статья 33. контроль доступа (упрощенная платформа)
Условный доступ в Microsoft Entra ID — это подсистема политики "Никому не доверяй" корпорации Майкрософт, учитывающая сигналы из различных источников при применении решений политики. Финансовые организации могут реализовать следующие элементы управления в условном доступе для всех пользователей:

Мы также рекомендуем финансовым организациям изучить и рассмотреть рекомендуемые политики в руководстве по развертыванию условного доступа.

Реализация указанных выше элементов управления для привилегированных учетных записей может считаться критически важным требованием, так как эти учетные записи могут оказывать серьезное влияние на безопасность и работу Microsoft Entra ID.		 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций
  • Статья 15. Дальнейшее согласование инструментов, методов, процессов и политики управления рисками в области ИКТ

RTS о платформах управления рисками в области ИКТ:
  • Статья 11. Безопасность данных и систем
  • Статья 21: контроль доступа
  • Статья 22. Политика управления инцидентами, связанными с ИКТ
  • Статья 23. Обнаружение аномальных действий и критерии обнаружения и реагирования на инциденты, связанные с ИКТ
  • Статья 33. контроль доступа (упрощенная платформа)
управление привилегированными пользователями (PIM) — это служба в Microsoft Entra ID, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. Для привилегированных ролей можно реализовать надежные элементы управления безопасностью, чтобы предотвратить случайные или вредоносные Microsoft Entra ID доступности, неправильной конфигурации и (или) потери данных:
 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.

RTS о платформах управления рисками в области ИКТ:
  • Статья 11. Безопасность данных и систем
  • Статья 21: контроль доступа
  • Статья 33. контроль доступа (упрощенная платформа)
Microsoft Entra ID предоставляет элементы управления доступом на основе ролей (RBAC), включая как встроенные, так и пользовательские роли. Финансовые организации могут следовать принципу наименьших привилегий, чтобы ограничить доступ к тому, что требуется для законных и утвержденных функций и действий, помогая свести к минимуму потенциальное воздействие нарушения безопасности.

В рамках стратегии с наименьшими привилегиями мы рекомендуем финансовым организациям следовать рекомендациям для Microsoft Entra ролей.		 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.

RTS о платформах управления рисками в области ИКТ:
  • Статья 11. Безопасность данных и систем
  • Статья 21: контроль доступа
  • Статья 33. контроль доступа (упрощенная платформа)
Защищенные действия в Microsoft Entra ID — это разрешения, которым назначены политики условного доступа. Когда пользователь пытается выполнить защищенное действие, он сначала должен соответствовать политикам условного доступа , назначенным необходимым разрешениям. Чтобы увеличить количество административных действий, находящихся в область защищенных действий, и снизить риск блокировки клиента, следуйте рекомендациям по защищенным действиям в Microsoft Entra ID.

Чтобы защититься от случайного или вредоносного жесткого удаления некоторых обратимо удаленных объектов каталога из корзины и постоянной потери данных, можно добавить защищенное действие для следующего разрешения: Microsoft.directory/deletedItems/delete.

Это удаление применяется к пользователям, группам Microsoft 365 и приложениям.		 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.

RTS о платформах управления рисками в области ИКТ:
  • Статья 11. Безопасность данных и систем
  • Статья 21: контроль доступа
  • Статья 33. контроль доступа (упрощенная платформа)
Microsoft Entra ID поддерживает многочисленные варианты интеграции журналов действий для хранения или анализа, чтобы помочь в устранении неполадок, долгосрочном хранении или мониторинге. Финансовые организации могут выбрать и реализовать подход к интеграции журналов действий, который обеспечивает непрерывный анализ и мониторинг, а также достаточный срок хранения данных:
 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.
  • Статья 18. Классификация инцидентов, связанных с ИКТ, и киберугры
  • Статья 19. Отчетность о крупных инцидентах, связанных с ИКТ, и добровольное уведомление о серьезных киберугрозы

RTS о платформах управления рисками в области ИКТ:
  • Статья 12. Ведение журнала
  • Статья 21: контроль доступа
  • Статья 22. Политика управления инцидентами, связанными с ИКТ
  • Статья 23. Обнаружение аномальных действий и критерии обнаружения и реагирования на инциденты, связанные с ИКТ
  • Статья 33. контроль доступа (упрощенная платформа)
Оценка безопасности удостоверений Майкрософт указывает, насколько организация соответствует определенным рекомендациям Майкрософт по безопасности. Финансовые организации могут регулярно просматривать оценку безопасности удостоверений Майкрософт для измерения и отслеживания состояния безопасности удостоверений и планирования улучшений безопасности удостоверений.

Корпорация Майкрософт также предлагает множество служб, таких как семинар по "Никому не доверяй" (Майкрософт), которые могут помочь организациям оценить уровень безопасности Microsoft Entra клиента, как описано в других частях этой таблицы.		 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.

RTS о платформах управления рисками в области ИКТ:
  • Статья 34. Безопасность операций с ИКТ
Функция Microsoft Entra рекомендаций помогает обеспечить безопасность и работоспособность клиента с помощью мониторинга и оповещений по электронной почте. Финансовые организации могут регулярно проверка Microsoft Entra рекомендации, чтобы обеспечить осведомленность о любых новых рекомендациях, так как они могут помочь определить возможности для реализации рекомендаций и оптимизации конфигураций для функций, связанных с Microsoft Entra ID. Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.

RTS о платформах управления рисками в области ИКТ:
  • Статья 34. Безопасность операций с ИКТ
Книги Azure для Microsoft Entra ID предоставляют визуальное представление данных клиента, позволяя выполнять запросы и визуализацию для ряда сценариев управления удостоверениями. Финансовые организации могут выбирать и регулярно просматривать шаблоны книг в Microsoft Entra ID, которые помогают отслеживать безопасность и работу соответствующих Microsoft Entra ID вариантов использования.

В качестве примеров текущих Microsoft Entra общедоступных шаблонов книг, которые могут помочь:
  • Анализатор зазоров условного доступа помогает обеспечить правильную защиту ресурсов с помощью условного доступа в Microsoft Entra ID
  • Книга отчета о конфиденциальных операциях предназначена для выявления подозрительных действий приложения и субъекта-службы, которые могут указывать на компрометацию в вашей среде.
 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций
  • Статья 17. Процесс управления инцидентами, связанными с ИКТ
Microsoft Graph предоставляет доступ на основе API к Microsoft Entra ID и ряду служб Microsoft 365. Чтобы помочь уменьшить область атак приложения и влияние нарушения безопасности, финансовые организации могут следовать принципу наименьших привилегий при создании, назначении доступа и аудите платформа удостоверений Майкрософт интегрированного приложения. Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций

RTS о платформах управления рисками в области ИКТ:
  • Статья 12. Ведение журнала, статья 21: контроль доступа
  • Статья 33. контроль доступа (упрощенная платформа)
Microsoft365DSC включает автоматическое управление конфигурацией клиента. Microsoft365DSC поддерживает некоторые конфигурации Microsoft Entra ID. Для записи определенных Microsoft Entra ID параметров конфигурации и отслеживания изменений финансовые организации могут рассмотреть средства автоматического управления конфигурацией, такие как Microsoft365DSC.

Для любых параметров конфигурации, недоступных через API, может потребоваться документация вручную.		 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций
Защита Microsoft Entra ID помогает организациям обнаруживать, исследовать и устранять риски на основе удостоверений. Чтобы помочь обнаруживать, исследовать и устранять риски на основе удостоверений (включая аномальные действия), финансовые организации могут рассмотреть такие услуги, как Защита Microsoft Entra ID.

Финансовые организации, развертывающие Защита Microsoft Entra ID, могут интегрировать службу с условным доступом в Microsoft Entra ID для автоматического исправления и средств управления информационной безопасностью и событиями безопасности (SIEM), такими как Microsoft Sentinel для архивирования, дальнейшего исследования и корреляции. Удостоверения человека и рабочей нагрузки могут находиться в область этих средств защиты.

Мы рекомендуем использовать корпоративные средства защиты для координации обнаружения, предотвращения, исследования и реагирования. Например, Microsoft Defender XDR помогает группам безопасности защищать и обнаруживать свои организации с помощью информации из других продуктов майкрософт для обеспечения безопасности, включая Защита Microsoft Entra ID.		 Закон DORA:
  • Статья 10. Обнаружение
  • Статья 15. Дальнейшее согласование инструментов, методов, процессов и политики управления рисками в области ИКТ
  • Статья 17. Процесс управления инцидентами, связанными с ИКТ

RTS о платформах управления рисками в области ИКТ:
  • Статья 22. Политика управления инцидентами, связанными с ИКТ
  • Статья 23. Обнаружение аномальных действий и критерии обнаружения и реагирования на инциденты, связанные с ИКТ
Microsoft Entra ID функции восстановления, включая обратимое удаление и API Microsoft Graph для различных типов ресурсов (например, API Graph условного доступа). Финансовые организации могут внедрять лучшие методики восстановления в процедуры восстановления и тесты непрерывности бизнес-процессов ИКТ (или аналогичные действия), включая, помимо прочего:
  • API Microsoft Graph можно использовать для регулярного экспорта текущего состояния поддерживаемых конфигураций Microsoft Entra ID. M365DSC предоставляет платформу, которая может помочь в этом.
  • Журналы аудита и книги Azure можно использовать для отслеживания неправильной конфигурации клиента.
  • Процедуры восстановления после удаления в Microsoft Entra ID можно отрепетировать в тестовом клиенте для определенных типов объектов вместе с соответствующим процессом взаимодействия.
  • API Graph условного доступа можно использовать для управления такими политиками, как код.
  • Процедуры восстановления можно выполнять с помощью подхода с наименьшими привилегиями, а также JIT-повышения привилегий PIM , чтобы снизить риск, связанный с такими задачами, как удаление жесткого объекта.
  • Для сборников схем реагирования на инциденты и сценариев восстановления финансовые организации могут просматривать и внедрять сборники схем реагирования на инциденты Майкрософт.

Частота указанных выше шагов может быть определена финансовым субъектом на основе важности информации, содержащейся в Microsoft Entra ID, с учетом любых сроков, определенных DORA.		 Закон DORA:
  • Статья 11. Реагирование и восстановление
  • Статья 12. Политики и процедуры резервного копирования, процедуры и методы восстановления и восстановления

RTS о платформах управления рисками в области ИКТ:
  • Статья 25. Тестирование планов непрерывности бизнес-процессов в области ИКТ
  • Статья 26. Планы реагирования на ИКТ и восстановления
Ресурсы Майкрософт, которые предоставляют информацию и учебные ресурсы, связанные с уязвимостями, киберугрозами, инцидентами, связанными с ИКТ, и функциональными возможностями продуктов, связанных с безопасностью. Финансовые организации могут регулярно просматривать, отслеживать и действовать в отношении этих ресурсов, предоставляемых корпорацией Майкрософт, связанных с уязвимостями и киберугрозами, которые могут включать:

Финансовые учреждения могут разрабатывать программы повышения осведомленности о безопасности ИКТ, включающие Microsoft Entra ID подготовку соответствующих сотрудников, которая может включать:

Обратите внимание, что некоторые из приведенных выше ресурсов охватывают ряд продуктов и технологий Microsoft Security. Они не ограничиваются Microsoft Entra.		 Закон DORA:
  • Статья 13. Обучение и развитие
  • Статья 25. Тестирование средств и систем ИКТ

RTS о платформах управления рисками в области ИКТ:
  • Статья 3. Управление рисками в области ИКТ
  • Статья 10. Управление уязвимостями и исправлениями
Управление Microsoft Entra ID — это решение для управления удостоверениями, которое позволяет организациям повысить производительность, повысить безопасность и обеспечить соответствие нормативным требованиям. Финансовые организации могут рассмотреть развертывание решения для управления удостоверениями для управления правами управления доступом. Управление Microsoft Entra ID включает следующие возможности, которые помогут применить принцип наименьших привилегий к защищенным Microsoft Entra ID ресурсам:
 Закон DORA:
  • Статья 9. Защита и предотвращение рисков ИКТ при обеспечении устойчивости и безопасности операций финансовых организаций.
  • Статья 15. Дальнейшее согласование инструментов, методов, процессов и политики управления рисками в области ИКТ

RTS о платформах управления рисками в области ИКТ:
  • Статья 20. Управление удостоверениями
  • Статья 21: контроль доступа
  • Статья 33. контроль доступа (упрощенная платформа)
Ресурсы Майкрософт, предоставляющие рекомендации по Microsoft Entra ID операциям безопасности и реагированию на инциденты. Финансовые организации могут проверить и рассмотреть возможность ввода в эксплуатацию Microsoft Entra ID операций безопасности и рекомендаций по реагированию на инциденты, включая, помимо прочего, следующие:
 Закон DORA:
  • Статья 17. Процесс управления инцидентами, связанными с ИКТ
Ресурсы, предоставляющие сведения, связанные с (и потенциально связанные с) Microsoft Entra ID доступности Финансовые организации могут регулярно просматривать, отслеживать и рассматривать информацию, включенную в следующие статьи и сайты:

Обратите внимание, что некоторые из приведенных выше ресурсов охватывают ряд продуктов и технологий Microsoft Security. Они не ограничиваются Microsoft Entra.		 Закон DORA:
  • Статья 18. Классификация инцидентов, связанных с ИКТ, и киберугроз
  • Статья 19. Отчетность о крупных инцидентах, связанных с ИКТ, и добровольное уведомление о серьезных киберугрозы

RTS о платформах управления рисками в области ИКТ:
  • Статья 10. Управление уязвимостями и исправлениями
Предложения служб Майкрософт, которые могут помочь организациям оценить состояние безопасности Microsoft Entra клиента в рамках цифрового тестирования операционной устойчивости Программа цифрового тестирования операционной устойчивости, развернутая финансовой организацией, может включать в себя ряд оценок, инструментов и методологий, включая, помимо прочего, следующие:
  • Оценка Microsoft Entra ID по запросу, которая анализирует и предоставляет рекомендации по управлению удостоверениями и доступом (IAM) для Microsoft Entra ID и связанных компонентов.
  • Семинар microsoft Zero Trust — это комплексное техническое руководство, помогая клиентам и партнерам внедрить стратегию «Никому не доверяй» и развернуть комплексные решения по обеспечению безопасности для защиты своих организаций.

Финансовые организации могут регулярно выполнять такие оценки с частотой в соответствии с текущими требованиями DORA.		 Закон DORA:
  • Статья 24. Общие требования к производительности цифрового тестирования операционной устойчивости
  • Статья 25. Тестирование средств и систем ИКТ
Ресурсы, предоставляющие сведения, связанные с Microsoft Entra изменениями Финансовые организации могут регулярно отслеживать и рассматривать информацию, включенную в статьи и сайты ниже. Действия, выполняемые финансовыми организациями, могут включать, например, тестирование регрессии и обновление процессов и тестов, связанных с цифровой операционной устойчивостью.
 Закон DORA:
  • Статья 25. Тестирование средств и систем ИКТ

RTS о платформах управления рисками в области ИКТ:
  • Статья 16. Приобретение, разработка и обслуживание систем ИКТ
  • Статья 17. Управление изменениями в ИКТ
  • Статья 34. Безопасность операций с ИКТ
Ресурсы, предоставляющие сведения, связанные с тестированием на проникновение и Microsoft Entra ID Финансовые организации, желающие выполнить тесты на проникновение в microsoft Cloud, могут рассмотреть правила взаимодействия, перечисленные в этой статье:

Финансовые организации могут рассмотреть указанные выше правила обязательств в контексте настоящего отчета европейских надзорных органов (ESA):
  • JC 2024 29: окончательный отчет о DORA RTS о тестировании на проникновение под руководством угроз (TLPT) в соответствии со статьей 26 DORA.
 Закон DORA:
  • Статья 25. Тестирование средств и систем ИКТ
  • Статья 26. Расширенное тестирование средств, систем и процессов ИКТ на основе TLPT
  • Статья 27. Требования к тестировщикам для проведения TLPT

RTS о платформах управления рисками в области ИКТ:
  • Статья 25. Тестирование планов непрерывности бизнес-процессов в области ИКТ
  • Статья 26. Планы реагирования на ИКТ и восстановления
Ресурсы, связанные с включением, применением и управлением шифрованием и криптографическими элементами управления при передаче данных в Microsoft Entra ID или из Microsoft Entra ID. По соображениям безопасности Microsoft Entra ID скоро прекратит поддерживать протоколы и шифры TLS до TLS 1.2 и развертывает поддержку TLS 1.3.

Финансовые организации могут рассмотреть следующие действия, чтобы обеспечить использование подходящих средств шифрования и криптографических средств управления и управление ими:
  • Включение TLS 1.2 для клиентов и общих ролей сервера, взаимодействующих с Microsoft Entra ID.
  • Microsoft Entra шифрование токена SAML для применимых приложений и (или) регистраций приложений.
  • Microsoft Entra Рекомендации можно использовать для удаления неиспользуемых учетных данных из приложений и продления учетных данных приложения с истекающим сроком действия (включая сертификаты).
 RTS о платформах управления рисками в области ИКТ:
  • Статья 6. Элементы управления шифрованием и шифрованием
  • Статья 7. Управление криптографическими ключами
  • Статья 14. Защита передаваемых данных

RTS о платформах управления рисками в области ИКТ:
  • Статья 6. Элементы управления шифрованием и шифрованием
  • Статья 7. Управление криптографическими ключами
  • Статья 14. Защита передаваемых данных
  • Статья 35. Безопасность данных, систем и сети
Ресурсы, связанные с Microsoft Entra ID производительностью и характеристиками производительности Финансовые организации могут рассмотреть возможность проверки и отслеживания следующей документации, чтобы понять некоторые Microsoft Entra ID производительности и характеристик производительности:
 RTS о платформах управления рисками в области ИКТ:
  • Статья 9. Управление емкостью и производительностью

RTS о платформах управления рисками в области ИКТ:
  • Статья 34. Безопасность операций с ИКТ
Глобальный безопасный доступ — это решение Microsoft Security Service Microsoft Edge (SSE) Финансовые службы могут реализовать средства управления для защиты доступа к общедоступному Интернету и частным сетям с помощью глобального безопасного доступа. RTS о платформах управления рисками в области ИКТ:
  • Статья 13. Управление безопасностью сети
  • Статья 14. Защита передаваемых данных
  • Статья 35. Безопасность данных, систем и сети
Ресурсы, связанные с приобретением, разработкой и обслуживанием приложений Финансовые услуги могут включать следующие аспекты в рамках приобретения или создания новых приложений:
 RTS о платформах управления рисками в области ИКТ:
  • Статьи 16 Приобретение, разработка и обслуживание систем ИКТ
  • Статьи 37. Приобретение, разработка и обслуживание систем ИКТ (упрощенная платформа)

Ресурсы