Center for Internet Security (CIS) Benchmarks

About CIS Benchmarks

The Center for Internet Security is a nonprofit entity whose mission is to ‘identify, develop, validate, promote, and sustain best practice solutions for cyberdefense.’ It draws on the expertise of cybersecurity and IT professionals from government, business, and academia from around the world. To develop standards and best practices, including CIS benchmarks, controls, and hardened images, they follow a consensus decision-making model.

CIS benchmarks are configuration baselines and best practices for securely configuring a system. Each of the guidance recommendations references one or more CIS controls that were developed to help organizations improve their cyberdefense capabilities. CIS controls map to many established standards and regulatory frameworks, including the NIST Cybersecurity Framework (CSF) and NIST SP 800-53, the ISO 27000 series of standards, PCI DSS, HIPAA, and others.

Each benchmark undergoes two phases of consensus review. The first occurs during initial development when experts convene to discuss, create, and test working drafts until they reach consensus on the benchmark. During the second phase, after the benchmark has been published, the consensus team reviews the feedback from the internet community for incorporation into the benchmark.

CIS benchmarks provide two levels of security settings:

• Level 1 recommends essential basic security requirements that can be configured on any system and should cause little or no interruption of service or reduced functionality.
• Level 2 recommends security settings for environments requiring greater security that could result in some reduced functionality.

CIS Hardened Images are securely configured virtual machine images based on CIS Benchmarks hardened to either a Level 1 or Level 2 CIS benchmark profile. Hardening is a process that helps protect against unauthorized access, denial of service, and other cyberthreats by limiting potential weaknesses that make systems vulnerable to cyberattacks.

Microsoft and the CIS Benchmarks

The Center for Internet Security (CIS) has published benchmarks for Microsoft products and services including the Microsoft Azure and Microsoft 365 Foundations Benchmarks, the Windows 10 Benchmark, and the Windows Server 2016 Benchmark.

CIS benchmarks are internationally recognized as security standards for defending IT systems and data against cyberattacks. Used by thousands of businesses, they offer prescriptive guidance for establishing a secure baseline configuration. System and application administrators, security specialists, and others who develop solutions using Microsoft products and services can use these best practices to assess and improve the security of their applications.

Like all CIS benchmarks, the Microsoft benchmarks were created using a consensus review process based on input from subject matter experts with diverse backgrounds spanning software development, audit and compliance, security research, operations, government, and law. Microsoft was an integral partner in these CIS efforts. For example, Office 365 was tested against the listed services, and the resulting Microsoft 365 Foundations Benchmark covers a broad range of recommendations for setting appropriate security policies that cover account and authentication, data management, application permissions, storage, and other security policy areas.

In addition to the benchmarks for Microsoft products and services, CIS has also published CIS Hardened Images for use on Azure virtual machines configured to meet CIS benchmarks. These include the CIS Hardened Image for Microsoft Windows Server 2016 certified to run on Azure. CIS states that, ‘All CIS hardened images that are available on the Azure Marketplace are certified to run on Azure. They have been pre-tested for readiness and compatibility with the Azure public cloud, the Microsoft Cloud Platform hosted by service providers through the Cloud OS Network, and on-premise private cloud Windows Server Hyper-V deployments managed by customers.’

Microsoft in-scope cloud services

• Azure and Azure Government
• Office and Microsoft 365
• SQL Server
• Windows 10
• Windows Server 2016

Audits, reports, and certificates

Get a complete list of CIS benchmarks for Microsoft products and services.

How to implement

• CIS Benchmark for Azure: Get prescriptive guidance for establishing a secure baseline configuration for Azure.
• Microsoft 365 security roadmap: Minimize the potential of a data breach or compromised account by following this roadmap.
• Windows security baselines: Follow these guidelines for effective use of security baselines in your organization.
• CIS Controls Cloud Companion Guide: Get guidance on applying security best practices in CIS Controls Version 7 to cloud environments.

Frequently asked questions

Will following CIS Benchmark settings ensure the security of my applications?

CIS benchmarks establish the basic level of security for anyone adopting in-scope Microsoft products and services. However, they should not be considered as an exhaustive list of all possible security configurations and architecture but as a starting point. Each organization must still evaluate its specific situation, workloads, and compliance requirements and tailor its environment accordingly.

How often are CIS Benchmarks updated?

The release of revised CIS Benchmarks changes depending on the community of IT professionals who developed it and on the release schedule of the technology the benchmark supports. CIS distributes monthly reports that announce new benchmarks and updates to existing benchmarks. To receive these, register for the CIS Workbench (it’s free) and check Receive newsletter in your profile.

Who contributed to the development of Microsoft CIS Benchmarks?

CIS notes that its ‘Benchmarks are developed through the generous volunteer efforts of subject matter experts, technology vendors, public and private CIS Benchmark community members, and the CIS Benchmark Development team.’ For example, you’ll find a list of Azure contributors on CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available.

Use Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization’s compliance posture and take actions to help reduce risks. Compliance Manager offers a premium template for building an assessment for this regulation. Find the template in the assessment templates page in Compliance Manager. Learn how to build assessments in Compliance Manager.

Контрольные показатели Center for Internet Security (CIS) Center for Internet Security (CIS) Benchmarks

О контрольных показателях CIS About CIS Benchmarks

Center for Internet Security представляет собой некоммерческую организацию, чья миссия заключается в том, чтобы «выявлять, разрабатывать, утверждать, продвигать и поддерживать лучшие практические решения для киберзащиты». The Center for Internet Security is a nonprofit entity whose mission is to ‘identify, develop, validate, promote, and sustain best practice solutions for cyberdefense.’ Он опирается на знания и опыт экспертов в области кибербезопасности и ИТ-специалистов из государственных организаций, деловых и научных кругов со всего мира. It draws on the expertise of cybersecurity and IT professionals from government, business, and academia from around the world. Для разработки стандартов и передовых методов, в том числе контрольных показателей CIS, средств управления и защищенных образов, они следуют консенсусной модели принятия решений. To develop standards and best practices, including CIS benchmarks, controls, and hardened images, they follow a consensus decision-making model.

Контрольные показатели CIS представляют собой базовые показатели конфигурации и рекомендации для безопасной настройки системы. CIS benchmarks are configuration baselines and best practices for securely configuring a system. В каждой из рекомендаций содержатся ссылки на одну или несколько точек управления CIS, которые были разработаны, чтобы помочь организациям улучшить свои возможности киберзащиты. Each of the guidance recommendations references one or more CIS controls that were developed to help organizations improve their cyberdefense capabilities. Контрольные точки CIS соответствуют многим установленным стандартам и нормативным положениям, включая NIST Cybersecurity Framework (CSF) и NIST SP 800-53, серию стандартов ISO 27000, PCI DSS, HIPAA и другие. CIS controls map to many established standards and regulatory frameworks, including the NIST Cybersecurity Framework (CSF) and NIST SP 800-53, the ISO 27000 series of standards, PCI DSS, HIPAA, and others.

Каждый контрольный показатель проходит два этапа консенсусного анализа. Each benchmark undergoes two phases of consensus review. Первый имеет место во время первоначальной разработки, когда эксперты собираются для обсуждения, создания и тестирования рабочих проектов, и продолжается до тех пор, пока они не достигнут консенсуса по контрольному показателю. The first occurs during initial development when experts convene to discuss, create, and test working drafts until they reach consensus on the benchmark. На втором этапе, после публикации контрольного показателя, консенсусная группа рассматривает отзывы интернет-сообщества для включения в контрольную точку. During the second phase, after the benchmark has been published, the consensus team reviews the feedback from the internet community for incorporation into the benchmark.

В контрольных показателях CIS предусмотрены два уровня настроек безопасности: CIS benchmarks provide two levels of security settings:

• Уровень 1 рекомендует основные базовые требования безопасности, которые могут быть настроены в любой системе и должны вызывать незначительное или нулевое прерывание обслуживания либо снижение функциональности. Level 1 recommends essential basic security requirements that can be configured on any system and should cause little or no interruption of service or reduced functionality.
• Уровень 2 рекомендует параметры безопасности для сред, требующих повышенной безопасности, что может привести к некоторому снижению функциональности. Level 2 recommends security settings for environments requiring greater security that could result in some reduced functionality.

CIS Hardened Images представляют собой надежно настроенные образы виртуальных машин на основе контрольных показателей CIS, защищенных до профиля контрольных точек CIS уровня 1 или уровня 2. CIS Hardened Images are securely configured virtual machine images based on CIS Benchmarks hardened to either a Level 1 or Level 2 CIS benchmark profile. Усиление защиты – это процесс, который помогает обеспечить защиту от несанкционированного доступа, отказа в обслуживании и других киберугроз путем ограничения потенциальных слабых мест, вследствие которых системы становятся уязвимыми для кибератак. Hardening is a process that helps protect against unauthorized access, denial of service, and other cyberthreats by limiting potential weaknesses that make systems vulnerable to cyberattacks.

Майкрософт и контрольные показатели CIS Microsoft and the CIS Benchmarks

Center for Internet Security (CIS) опубликовал контрольные точки производительности продуктов и служб Майкрософт, в том числе контрольные показатели для Microsoft Azure и ключевых компонентов Microsoft 365, контрольный показатель для Windows 10 и контрольный показатель для Windows Server 2016. The Center for Internet Security (CIS) has published benchmarks for Microsoft products and services including the Microsoft Azure and Microsoft 365 Foundations Benchmarks, the Windows 10 Benchmark, and the Windows Server 2016 Benchmark.

Контрольные показатели CIS признаны во всем мире как стандарты безопасности для защиты ИТ-систем и данных от кибератак. CIS benchmarks are internationally recognized as security standards for defending IT systems and data against cyberattacks. Используемые тысячами предприятий, они предлагают конкретные рекомендации по созданию безопасной базовой конфигурации. Used by thousands of businesses, they offer prescriptive guidance for establishing a secure baseline configuration. Администраторы систем и приложений, специалисты по безопасности и другие специалисты, разрабатывающие решения с использованием продуктов и служб Майкрософт, могут использовать эти передовые методы для оценки и повышения безопасности своих приложений. System and application administrators, security specialists, and others who develop solutions using Microsoft products and services can use these best practices to assess and improve the security of their applications.

Как и все контрольные показатели CIS, контрольные показатели для Майкрософт были созданы с использованием процесса консенсусного анализа, основанного на мнениях экспертов в данной области, имеющих разносторонний опыт в области разработки программного обеспечения, аудита и соответствия требованиям, исследований в области безопасности, операций, взаимодействия с государственными организациями и законодательства. Like all CIS benchmarks, the Microsoft benchmarks were created using a consensus review process based on input from subject matter experts with diverse backgrounds spanning software development, audit and compliance, security research, operations, government, and law. Корпорация Майкрософт стала полноправным партнером в рамках таких усилий CIS. Microsoft was an integral partner in these CIS efforts. В частности, Office 365 был протестирован на соответствие перечисленным службам, и полученный в результате контрольный показатель для ключевых компонентов Microsoft 365 охватывает широкий спектр рекомендаций по настройке соответствующих политик безопасности в отношении учетных записей и проверки подлинности, управления данными, разрешений приложений, хранения и других областей политики безопасности. For example, Office 365 was tested against the listed services, and the resulting Microsoft 365 Foundations Benchmark covers a broad range of recommendations for setting appropriate security policies that cover account and authentication, data management, application permissions, storage, and other security policy areas.

В дополнение к контрольным показателям для продуктов и служб Майкрософт, CIS также опубликовал CIS Hardened Images, предназначенные для использования на виртуальных машинах Azure, настроенных для соответствия контрольным показателям CIS. In addition to the benchmarks for Microsoft products and services, CIS has also published CIS Hardened Images for use on Azure virtual machines configured to meet CIS benchmarks. В их число входят CIS Hardened Image для Microsoft Windows Server 2016, сертифицированный для запуска на Azure. These include the CIS Hardened Image for Microsoft Windows Server 2016 certified to run on Azure. Согласно информации CIS, «все защищенные образы CIS, доступные на Azure Marketplace, сертифицированы для запуска на Azure. CIS states that, ‘All CIS hardened images that are available on the Azure Marketplace are certified to run on Azure. Они были предварительно протестированы на готовность и совместимость с общедоступным облаком Azure, облачной платформой Microsoft, размещенной поставщиками услуг через сеть Cloud OS Network, и развертываниями в локальном частном облаке Windows Server Hyper-V, управляемыми клиентами». They have been pre-tested for readiness and compatibility with the Azure public cloud, the Microsoft Cloud Platform hosted by service providers through the Cloud OS Network, and on-premise private cloud Windows Server Hyper-V deployments managed by customers.’

Облачные службы Майкрософт, к которым применима оценка Microsoft in-scope cloud services

• Azure и Azure для государственных организаций Azure and Azure Government
• Office и Microsoft 365 Office and Microsoft 365
• SQL Server SQL Server
• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Аудит, отчеты и сертификаты Audits, reports, and certificates

Получить полный список контрольных показателей CIS для продуктов и служб Майкрософт. Get a complete list of CIS benchmarks for Microsoft products and services.

Методика реализации How to implement

• Контрольный показатель CIS для Azure: получите конкретные рекомендации по созданию безопасной базовой конфигурации для Azure. CIS Benchmark for Azure: Get prescriptive guidance for establishing a secure baseline configuration for Azure.
• Схема обеспечения безопасности Microsoft 365: сведите к минимуму риск утечки данных или компрометации учетных записей, соблюдая эту схему. Microsoft 365 security roadmap: Minimize the potential of a data breach or compromised account by following this roadmap.
• Базовые показатели безопасности Windows: следуйте этим рекомендациям, чтобы эффективно использовать базовые показатели безопасности в вашей организации. Windows security baselines: Follow these guidelines for effective use of security baselines in your organization.
• Сопроводительное руководство по контрольным точкам CIS Controls для облака: получите рекомендации по применению передовых методов безопасности в CIS Controls, версия 7 для облачных сред. CIS Controls Cloud Companion Guide: Get guidance on applying security best practices in CIS Controls Version 7 to cloud environments.

Вопросы и ответы Frequently asked questions

Будут ли параметры контрольных показателей CIS обеспечивать безопасность моих приложений? Will following CIS Benchmark settings ensure the security of my applications?

Контрольные показатели CIS определяют базовый уровень безопасности для всех пользователей, в сферу охвата которых входят продукты и службы Майкрософт. CIS benchmarks establish the basic level of security for anyone adopting in-scope Microsoft products and services. Тем не менее, они должны рассматриваться не в качестве исчерпывающего списка всех возможных конфигураций и архитектур безопасности, а в качестве отправной точки. However, they should not be considered as an exhaustive list of all possible security configurations and architecture but as a starting point. Каждая организация должна при этом оценивать свою конкретную ситуацию, рабочие нагрузки и соответствие требованиям и адаптировать свою среду соответствующим образом. Each organization must still evaluate its specific situation, workloads, and compliance requirements and tailor its environment accordingly.

Как часто обновляются контрольные показатели CIS? How often are CIS Benchmarks updated?

Выпуск пересмотренных контрольных показателей CIS изменяется в зависимости от разработавшего их сообщества ИТ-специалистов, а также от графика выпуска технологии, поддерживаемой контрольными точками. The release of revised CIS Benchmarks changes depending on the community of IT professionals who developed it and on the release schedule of the technology the benchmark supports. CIS распространяет ежемесячные отчеты, в которых объявляется о новых контрольных показателях и обновлениях для существующих контрольных показателей. CIS distributes monthly reports that announce new benchmarks and updates to existing benchmarks. Для их получения зарегистрируйтесь в CIS Workbench (это бесплатно) и поставьте флажок в поле Receive newsletter (Получать бюллетень) в своем профиле. To receive these, register for the CIS Workbench (it’s free) and check Receive newsletter in your profile.

Кто внес вклад в разработку контрольных показателей CIS для Майкрософт? Who contributed to the development of Microsoft CIS Benchmarks?

В CIS отмечает, что «контрольные показатели разрабатываются благодаря бескорыстным усилиям волонтеров-экспертов в данной области, поставщиков технологий, членов сообщества CIS Benchmark из государственных и частных организаций, а также команды разработчиков CIS Benchmark». CIS notes that its ‘Benchmarks are developed through the generous volunteer efforts of subject matter experts, technology vendors, public and private CIS Benchmark community members, and the CIS Benchmark Development team.’ В частности, вы найдете список участников Azure в разделе Доступен контрольный показатель CIS для ключевых компонентов Microsoft Azure v1.0.0. For example, you’ll find a list of Azure contributors on CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available.

Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт) Use Microsoft Compliance Manager to assess your risk

Диспетчер соответствия требованиям (Майкрософт) — это предварительная функция в Центре соответствия требованиям Microsoft 365, помогающая понять состояние вашей организации в отношении соответствия требованиям и принять меры по снижению рисков. Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization’s compliance posture and take actions to help reduce risks. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Compliance Manager offers a premium template for building an assessment for this regulation. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. Find the template in the assessment templates page in Compliance Manager. См. Создание оценки в диспетчере соответствия требованиям. Learn how to build assessments in Compliance Manager.