Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлен обзор дисциплин безопасности в модели внедрения безопасности Microsoft.
Дисциплины безопасности — это структурированные области подотчетности , которые помогают организациям переводить бизнес-цели безопасности в согласованные действия по всей организации. Они обеспечивают согласованный способ упорядочить стратегию, архитектуру и операции для управления рисками и защиты критически важных бизнес-результатов.
Вместо того, чтобы рассматривать безопасность как изолированные элементы управления или отдельные средства, дисциплины безопасности упорядочивают процессы, навыки и технологии в повторяемые области возможностей. Это помогает гарантировать, что инвестиции в безопасность обеспечивают измеримые, комплексные результаты, а не фрагментированные улучшения.
В совокупности дисциплины безопасности формируют полную операционную модель безопасности, которая позволяет:
- Четкая стратегия безопасности и управление ею,
- Согласованные сквозные архитектуры.
- Согласованная техническая реализация и операции.
Дисциплины безопасности применяются с помощью бизнес-сценариев, таких как защита удаленной работы или защита критически важных ресурсов. Эти сценарии определяют, где следует сосредоточить усилия по обеспечению безопасности для снижения риска и поддержки бизнеса.
Tip
Microsoft предлагает широкий набор семинаров по внедрению безопасности - семинары Security Adoption Framework (SAF. Наша структурированная модель внедрения, в том числе руководство по дисциплине безопасности, которое мы описываем здесь, соответствует руководству экспертов, доступным в семинарах. Узнайте больше о наших семинарах SAF.
Дисциплины безопасности при внедрении
В нашей модели внедрения безопасности дисциплины безопасности обеспечивают организационную структуру между бизнес-сценариями и технической реализацией.
- Бизнес-сценарии определяют , почему необходимы инвестиции в безопасность и какие результаты имеют значение.
- Дисциплины безопасности определяют ответственность и подотчетность между командами, уточняя, кто отвечает за доставку каждой области возможностей безопасности в организации.
- Технические решения определяют, как безопасность реализуется в конкретных технологических принципах.
Использование дисциплин безопасности
Дисциплины безопасности используются в нашей структурированной модели внедрения. Они соответствуют "Никому не доверяй" рекомендациям по поддержке разных аудиторий:
- Бизнес-лидеры и владельцы программ используют дисциплины, чтобы понять, как бизнес-сценарии безопасности приходят в жизнь для защиты активов и управления бизнес-рисками.
- Руководители и архитекторы безопасности используют дисциплины для формирования комплексных конструкций и обеспечения согласованности между технологическими столпами.
- Команды по реализации и операциям используют дисциплины, чтобы управлять выбором инструментов, управлять развертыванием, обнаружением и текущим улучшением.
Категории дисциплин
Каждая дисциплина безопасности соответствует одной из трех категорий на основе типа решений, которые она поддерживает, и когда она применяется в жизненном цикле безопасности.
- Планирование и надзорные дисциплины: эти дисциплины устанавливают направление, выравнивание и подотчетность во всей программе безопасности. Они определяют, как выглядит успех и как измеряется и управляется прогресс.
- Дисциплины технической стратегии: эти дисциплины определяют, как безопасность разработана и реализована технически. Они обеспечивают направление архитектуры, которое позволяет управлять выбором, инструментированием и выполнением в нескольких областях технологий.
- Операционные дисциплины: эти дисциплины определяют, как безопасность работает ежедневно, включая непрерывную видимость, обнаружение, реагирование и улучшение при изменении угроз и сред.
На приведенной ниже схеме показано, как категории безопасности и дисциплины, а также как они соответствуют технологическим основам.
Дисциплины безопасности
В следующей таблице показаны дисциплины, категории, к которым они относятся, и технологические основы, на защите которых они сосредоточены.
| Дисциплина или категория | Discipline | Столб |
|---|---|---|
|
Стратегия безопасности, интеграция и управление Планирование и надзор. |
Устанавливает общее видение безопасности, приоритеты, политики и меры успеха. Это гарантирует, что усилия по обеспечению безопасности согласованы с бизнес-целями и терпимостью к рискам, и что прогресс измерим и регулируется. | Все столпы. |
|
Архитектура безопасности Планирование и надзор. |
Обеспечивает совместную работу элементов управления безопасностью, технологий и процессов в качестве единой системы. Он сопоставляет решения архитектуры между удостоверениями, данными, приложениями, инфраструктурой и операциями для обеспечения согласованных результатов. | Все столпы. |
|
Доступ и удостоверение Техническая стратегия |
Обеспечивает безопасность доступа пользователей, устройств, приложений и рабочих нагрузок к ресурсам организации. Эта дисциплина обеспечивает согласованный подход, ориентированный на идентификацию, используя принципы "Никому не доверяй" для всех путей доступа, включая сети и привилегированный доступ. | Идентификационные данные, сети, конечные устройства. |
|
Безопасность инфраструктуры Техническая стратегия |
Гарантирует, что рабочие нагрузки и платформы, которые выполняют бизнес, защищены в гибридных и многооблачных средах для новых приложений разработки и устаревших приложений. | Инфраструктура. |
|
Безопасность разработки Техническая стратегия |
Гарантирует, что приложения и службы разрабатываются, создаются и поддерживаются безопасно в рамках подхода DevSecOps и жизненного цикла разработки безопасности (SDL). Это включает в себя безопасные методики написания кода и тестирование безопасности приложений. | Приложения. |
|
Безопасность данных Техническая стратегия |
Защищает такие ресурсы данных, как интеллектуальная собственность, торговые секреты и регулируемые сведения. Эта дисциплина применяет элементы управления безопасностью в течение всего жизненного цикла данных независимо от того, где хранятся данные или как он перемещается. Это ключевой фактор безопасного использования генеративного ИИ. | Данные. |
|
Безопасность OT/IoT Техническая стратегия |
Защищает системы OT/IoT, взаимодействующие с физическими процессами и физическим миром, включая промышленные системы управления и среды SCADA. | Конечные точки. |
|
Управление безопасностью Операционный |
Непрерывно обнаруживает, измеряет и определяет приоритеты рисков безопасности. Это помогает организациям сосредоточить усилия по исправлению наиболее затронутых уязвимостей и путей атак. | Все столпы. |
|
SecOps Операционный |
Обнаруживает, реагирует и восстанавливается после активных угроз. Эта дисциплина фокусируется на быстром реагировании, чтобы свести к минимуму время, когда злоумышленники имеют доступ после компрометации, и таким образом ограничивает их влияние на бизнес. | Все столпы. |
Дальнейшие действия
- Начните внедрение мер безопасности.
- Выберите бизнес-сценарий.
- Узнайте о семинарах Microsoft по безопасности