Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как установить или модернизировать дисциплину стратегии безопасности, интеграции и управления. Эта дисциплина обеспечивает направление, координацию и устойчивый надзор в рамках программы модернизации безопасности, что позволяет организациям переходить за рамки фрагментированных элементов управления в направлении согласованного, ориентированного на результаты обеспечения безопасности.
Дисциплины безопасности — это группировки связанных работ по обеспечению безопасности, которые помогают организациям последовательно предоставлять результаты безопасности во всем технологическом активе. В модели внедрения безопасности дисциплины помогают обеспечить мост между бизнес-сценариями и технической реализацией, гарантируя, что инвестиции в безопасность преобразуются в реальные измеримые результаты в рамках модели внедрения безопасности.
Почему эта дисциплина?
Многие организации подходит к управлению безопасностью с помощью традиционных моделей управления, риска и соответствия (GRC), которые определяют приоритеты аудита и внешнего соответствия. Хотя это необходимо, эти классические подходы GRC часто не могут управлять рисками реальных инцидентов, которые приводят к нарушению работы, потере данных, затратам на восстановление и репутационным ущербу.
Дисциплина "Стратегия безопасности", "Интеграция" и "Управление" модернизирует эту модель путем обеспечения безопасности неотъемлемой частью принятия решений и операций организации, а не автономной или реактивной функции.
Дисциплина объединяет три основных элемента:
- Стратегия. Определяет результаты безопасности, приоритеты, компромиссы и меры успеха, согласованные с бизнес-целями, терпимостью к рискам и нормативными обязательствами.
- Интеграция: внедряет безопасность в бизнес-стратегию, операционные модели, технологические среды, процессы управления и более широкую бизнес-экосистему.
- Управление: поддерживает и постоянно улучшает программу безопасности с помощью четких прав принятия решений, подотчетности, измерения и надзора.
Без эффективной стратегии, интеграции и управления программами безопасности часто не хватает четкого направления и координации. Этот разрыв приводит к плохой приоритетности, несогласованному выполнению, потере и дубликату работы, увеличению частоты инцидентов и влиянию, а также повышенному риску организации.
Чтобы быть эффективным, эта дисциплина гарантирует, что "Никому не доверяй" принципы применяются последовательно во всех дисциплинах безопасности и в течение всего жизненного цикла безопасности. Вместо включения изолированных технических решений SIG сопоставляет решения, элементы управления и операции с общей моделью безопасности.
На следующей схеме показано, как дисциплина "Стратегия безопасности", "Интеграция" и "Управление" обеспечивает устойчивость системы безопасности, последовательно применяя принципы "Никому не доверяй" в дисциплинах безопасности и в течение всего жизненного цикла безопасности.
Миссия и результаты
Дисциплина "Стратегия безопасности", "Интеграция" и "Управление" обеспечивает направление, интеграцию и надзор в течение всего жизненного цикла программы безопасности. Это позволяет организациям:
- Задайте четкое видение безопасности и направление: определите результаты безопасности, приоритеты и компромиссы, согласованные с бизнес-целями, терпимостью к рискам и нормативными обязательствами. Определите общее представление о том, как выглядит хорошая безопасность для организации и как измеряется успех. Обновите это понимание по мере необходимости.
- Интеграция безопасности в организацию: внедрение безопасности в бизнес-планирование, стратегию технологий, архитектуру, разработку, операции и партнерские экосистемы, чтобы она не рассматривалась как внеплановая или автономная функция.
- Управление решениями по безопасности и инвестициями: создание прав принятия решений, подотчетности, политик, стандартов и мер успеха, которые управляют согласованной приоритетизацией и выполнением в группах безопасности и технологий.
- Принимайте более взвешенные и быстрые бизнес-решения: выступайте в качестве единого центра контекста рисков безопасности, помогая руководителям находить баланс между возможностями, рисками и затратами и уверенно и безопасно говорить «да» новым инициативам.
- Улучшение приоритета и фокус: перевод бизнес-приоритетов в действимую стратегию безопасности, политики и стандарты, чтобы команды сосредоточились на наиболее важных рисках, а не на наиболее заметных или срочных проблемах.
- Адаптируйтесь к изменениям: непрерывно обновляйте стратегию, дорожные карты, архитектуры и управление, чтобы учитывать меняющиеся угрозы, новые технологии (включая ИИ), изменения в нормативных требованиях и меняющиеся бизнес-приоритеты.
- Снижение влияния на инциденты: повышение согласованности, координации и подотчетности в рамках программы безопасности, снижение частоты и серьезности инцидентов и улучшение результатов восстановления.
Как применить эту дисциплину
Чтобы эффективно применять стратегию, интеграцию и управление, сосредоточьтесь на создании четкого направления, подотчетности и выравнивания между организацией:
-
Определение стратегии безопасности, согласованной с бизнес-приоритетами и рисками
Установить четкие цели, которые отражают цели организации, критически важные активы и наиболее значительные риски для бизнеса -
Создание системы управления и подотчетности между командами
Определение ролей, обязанностей и структур принятия решений для обеспечения координации и согласованного выполнения усилий по обеспечению безопасности -
Настройка политик и стандартов, которые соответствуют согласованному выполнению
Предоставьте четкие ожидания, обеспечивающие согласованное применение средств управления безопасностью и практики в организации. -
Выравнивание усилий по обеспечению безопасности между дисциплинами и инициативами
Убедитесь, что архитектура, операции и инженерные усилия работают над общими результатами, а не в изоляции. -
Измерение хода выполнения и непрерывное улучшение
Используйте метрики, аналитику по рискам и операционную обратную связь, чтобы отслеживать эффективность, определять приоритеты и со временем совершенствовать стратегию.
Управление организационными изменениями
Эта дисциплина помогает организациям переходить от соблюдения флажков к управлению рисками, согласованным с бизнесом, а также соблюдать нормативные обязательства.
Такая модернизация сокращает напрасные усилия, затрачиваемые на малоценные меры контроля, проясняет зоны ответственности и гарантирует, что решения по безопасности принимаются теми заинтересованными сторонами, которые обладают необходимым контекстом. Со временем это делает управление безопасностью проще, эффективнее и устойчивее.
Организации также могут избавиться от унаследованных обременений — таких как поддержание неэффективных механизмов контроля или неформальное принятие на себя ответственности за решения, принятые в других подразделениях, — и перейти к более четкой и устойчивой операционной модели.
Роли по дисциплинам и соавторы
Эта дисциплина в основном принадлежит руководству безопасности, ответственному за настройку направления, интеграцию безопасности в организацию и управление выполнением. В крупных организациях эти обязанности распределяются по формальным ролям и процессам. В небольших организациях роли могут объединяться и разрабатывать стратегию более неформальным образом. Независимо от масштаба настоятельно рекомендуется документировать стратегию по мере её развития.
Основные роли обычно включают:
- Главный директор по информационной безопасности (CISO)
- Сотрудники по безопасности бизнес-информации (BISO)
- Директора по безопасности
- Архитекторы безопасности
Эти роли поддерживаются такими функциями, как стратегия безопасности, интеграция и управление, образование и участие, управление внутренними рисками, управление безопасностью и управление соответствием безопасности.
Эффективная доставка зависит от тесной совместной работы в организации:
- Бизнес-лидеры предоставляют контекст по приоритетам и терпимости к рискам.
- Технические лидеры интегрируют безопасность в технологические стратегии и операционные модели.
- Архитектурные роли преобразуют стратегию в стандарты и ограничения и дают обратную связь по реализуемости.
- Инженерные и ИТ-команды реализуют требования посредством внедрения и сопровождения.
- Операции безопасности (SecOps) обеспечивают непрерывную обратную связь от инцидентов, угроз и поведения злоумышленников для информирования стратегии и управления.
Компоненты дисциплины
Дисциплина "Стратегия безопасности", "Интеграция" и "Управление" включает широкий набор возможностей, которые вместе обеспечивают согласованные и измеримые результаты безопасности.
| Функциональность | Сведения |
|---|---|
| Непрерывная приоритетность | Постоянно расставляйте приоритеты для следующих требований: - Согласование с бизнес-целями: убедитесь, что безопасность способствует бизнесу. Запустите бизнес-изменения, необходимые для обеспечения безопасности. - Выравнивание технологий: выравнивайте оценку рисков безопасности и управление ими с помощью организационных технологий. - Безопасность, заложенная в проектирование и используемая по умолчанию: Обеспечьте, чтобы безопасность была неотъемлемым аспектом проектирования всех систем и процессов. - Обеспечение конфиденциальности по умолчанию: убедитесь, что конфиденциальность является неотъемлемой частью всей системы и проектирования процессов. - Соответствие требованиям по проектированию и умолчанию. Убедитесь, что соответствие является неотъемлемой частью всей системы и проектирования процессов. |
| Непрерывное планирование | Поддерживайте четко определенные, регулярно обновляемые планы развития безопасности и метрики успеха. |
| Интеграция с операционной моделью бизнес-технологий | Встраивайте безопасность на этапах выработки идей, определения бизнес-требований, проектирования, разработки и эксплуатации, а не применяйте меры контроля только после развертывания. |
| Интеграция корпоративных рисков | Интегрируйте безопасность в то, как риск определяется, управляется и сообщается руководству, регуляторам и заинтересованным лицам. |
| Управление жизненным циклом и техническим долгом | Управляйте рисками безопасности, связанными с устаревшими, неподдерживаемыми и унаследованными технологиями. |
| Стратегические имитации безопасности | Укрепляйте процессы настольных учений и кризисного управления с помощью регулярных симуляций. |
| Основные компоненты управления | Определите организационную структуру, полномочия по принятию решений, распределение ответственности, политики, стандарты, архитектуры, ограничения и управление соответствием. |
| Общий доступ к аналитике безопасности | Добавьте бизнес-контекст в аналитику угроз и поделитесь аналитическими сведениями в группах безопасности, бизнеса и технологий. |
| Управление внешними рисками | Управление цепочкой поставок, партнером, открытым исходным кодом и рисками слияния и приобретения. |
| Образование и участие | Убедитесь, что роли в организации понимают, почему важно обеспечить безопасность, что необходимо, и как действовать. |
| Управление внутренними рисками | Управление рисками от авторизованных пользователей, которые могут намеренно или непреднамеренно причинить вред. |
| Надзор за операциями безопасности | Осуществлять контроль за управлением уровнем защищённости, операциями и архитектурой, а также оценивать, насколько эффективно внедрены и поддерживаются меры контроля. |
Выравнивание с другими дисциплинами
Дисциплина "Стратегия безопасности", "Интеграция" и "Управление" работает во всех других дисциплинах безопасности. Ее роль заключается не в том, чтобы заменить или дублировать свои обязанности, а обеспечить надзор, который позволяет, интегрирует, определяет приоритеты и отслеживает согласованные результаты в рамках программы безопасности.
| Discipline | Роль |
|---|---|
| Сквозная архитектура безопасности | Преобразует стратегию и политику в согласованный технический подход. Это помогает обеспечить, чтобы стратегия была эффективной, приоритетной и четко переданной группам технологий. |
| Дисциплины технической стратегии | Гарантирует, что технические решения соответствуют бизнес-приоритетам, допустимому уровню риска и политикам компании, при этом компромиссы принимаются осознанно, а не в отрыве от общего контекста. |
| Операционные дисциплины | Подключает операционные сигналы — инциденты, обнаружения, поведение злоумышленников — обратно к решениям руководства, что позволяет непрерывно улучшать стратегию и элементы управления. |
Соответствие технологическим направлениям
На уровне технологии дисциплина "Стратегия безопасности", "Интеграция и управление" гарантирует следующее:
- Элементы управления соответствуют стратегии организации, политике и стандартам.
- Реализация остается неизменной с течением времени и не отклоняется.
- Непрерывное улучшение зависит от стратегии, интеграции и управления.
Он соответствует следующим технологическим основам:
- Identities: определяет приоритеты риска идентификации, политики доступа (включая привилегированный доступ), стандарты жизненного цикла и меры успешности, согласованные с "Никому не доверяй".
- Конечные точки и инфраструктура: задает требования жизненного цикла, обслуживания и выхода на пенсию для управления рисками безопасности на конечных точках и платформах инфраструктуры.
- Приложения: устанавливает согласованные стандарты обеспечения, разработки, развертывания и жизненного цикла в SaaS и пользовательских приложениях.
- Данные: определяет приоритеты защиты данных, классификацию, модели доступа и управление, согласованные с бизнес-ценностью и рисками.
- Сеть: Обеспечивает, чтобы сетевые конфигурации и средства контроля поддерживали стратегии, ориентированные на идентификацию, при одновременном управлении рисками как устаревших, так и современных сетей.
- ИИ: обновляет стратегию безопасности, навыки, инструменты и управление для решения рисков, введенных с помощью ИИ и угроз СИ.
Дальнейшие действия
Мы рекомендуем принять семинар CISO.
Семинар CISO помогает ускорить модернизацию стратегии безопасности, интеграции и управления. Этот семинар доступен в рамках Microsoft Unified как услуга, проводимая экспертами.
Доступные семинары:
- Брифинг для CISO — обсуждение продолжительностью менее четырех часов, посвященное ключевым выводам и лучшим практикам.
- Полный семинар для CISO — двухдневный семинар, включающий дополнительные сведения, пример из практики Microsoft, обсуждения моделей зрелости и типовые планы модернизации.
Обратитесь к менеджеру по сопровождению клиентов для получения дополнительной информации.
Семинар CISO также доступен для самообслуживания в виде серии видео. Дополнительные сведения