Следуйте модели внедрения безопасности

Внедрение модели безопасности "Никому не доверяй" во всей организации — это сложная многолетняя работа, охватывающая бизнес-стратегию и планирование, техническое проектирование и архитектуру, развертывание и эксплуатацию.

Без структурированного подхода к внедрению программы модернизации безопасности могут стать фрагментированы, реактивны и трудно поддерживать.

Наша структурированная модель внедрения безопасности предлагает стандартизированные, воспроизводимые процессы с учетом ролей, которые помогают планировать, определять приоритеты и реализовывать комплексную модернизацию системы безопасности в гибридных, многооблачных и многоплатформенных средах.

Модель внедрения выравнивает критически важные бизнес-результаты, дисциплины безопасности и реализации решений, чтобы бизнес-лидеры, руководители по безопасности, архитекторы и практики могли двигаться вперед в управляемом и устойчивом темпе всей организации.

Tip

Microsoft предлагает широкий набор семинаров по внедрению безопасности - семинары Security Adoption Framework (SAF. Наши рекомендации по структурированной модели внедрения согласуются с экспертными рекомендациями Microsoft Unified, представленными на этих семинарах. Дополнительные сведения о семинарах SAF.

Структура модели внедрения

Модель внедрения основана на трех основных компонентах, которые помогают организациям перейти от бизнес-намерения к подробной реализации:

  • Бизнес-сценарии определяют типичные бизнес-результаты и как необходимо адаптировать безопасность для их достижения.
  • Дисциплины безопасности определяют, как команды упорядочивают, планируют и работают для модернизации безопасности и достижения бизнес-результатов.
  • Основные принципы технологии описывают ресурсы и ресурсы организации, которые требуется защитить. Например, идентификационные данные, устройства и данные.

Схема, показывающая общую структуру Microsoft Security Adoption Framework (SAF).

Зачем использовать модель внедрения?

Структурированная модель внедрения помогает:

  • Соблюдайте рекомендации по обеспечению безопасности — согласовывайте свои действия с принципами "Никому не доверяй", шаблонами Microsoft Secure Future Initiative (SFI), открытыми стандартами и руководствами и другими рекомендациями по обеспечению безопасности.
  • Максимальное увеличение существующих инвестиций— получение стоимости из существующих средств перед внедрением новых возможностей.
  • Разработайте комплексную стратегию безопасности — свяжите бизнес-приоритеты с архитектурой безопасности, мерами контроля, процессами и операциями.
  • Постоянно адаптируйтесь — развивайте состояние безопасности и стратегию по мере изменения угроз, потребностей бизнеса и технологий.
  • Ставьте действия в приоритет — Предоставляйте практические рекомендации с учётом конкретных ролей для команд и заинтересованных сторон, с опорой на передовые практики, извлечённые уроки и реальные примеры.

На этой схеме показано, как эти элементы объединяются в модели внедрения.

Diagram, показывающий, как модель внедрения включает в себя обучение и руководство из Microsoft и внешних источников.

Настройка ролей с использованием модели внедрения

Организуя это руководство по общим бизнес-сценариям, дисциплинам и шагам реализации, модель помогает перейти от изолированных рекомендаций к согласованному подходу к планированию, реализации и измерению улучшений безопасности. Microsoft будет продолжать обогащение содержимого модели внедрения с течением времени.

Каждый компонент модели внедрения предназначен для конкретной аудитории и роли.

Секция Основная аудитория Цель
Бизнес-сценарии Бизнес-лидеры Определите, определите и сообщите критически важные бизнес-результаты, которые должны поддерживать безопасность.

Преобразуйте бизнес-приоритеты в практические цели безопасности, которые направляют планирование и принятие решений.

Предоставление практических, повторяемых рекомендаций для бизнес-результатов с четкими путями к ролям и дисциплинам, участвующим в выполнении результатов.
Дисциплины безопасности Руководители безопасности и команды, ИТ-руководители, дизайнеры, архитекторы. Связать бизнес-сценарии с развертыванием и внедрением средств безопасности.

Убедитесь, что инвестиции в безопасность и приоритеты преобразуются в измеримые результаты с помощью четкого планирования, архитектуры и операционных практик.

Бизнес-сценарии обычно сопоставляют с несколькими дисциплинами безопасности.
Технологические основы Специалисты по техническому внедрению и партнеры по безопасности. Определите, какие типы активов необходимо защитить, и где должны применяться принципы и средства управления безопасностью "Никому не доверяй".

Подключите стратегию безопасности к реализации путем группировки связанных технологий, элементов управления и возможностей.

Бизнес-сценарии, скорее всего, пересекают несколько технологических принципов. Например, если наша бизнес-цель — повысить общий уровень защищённости во всей организации, то мы должны повысить уровень защищённости устройств, данных, инфраструктуры, сетей и других компонентов.

Схема, показывающая, как модель внедрения служит различным ролям в организации.

Руководство по внедрению

Структурированное руководство по внедрению сосредоточено на:

  • Комплексное руководство на всех этапах обеспечения безопасности для типичных критически важных бизнес-задач.
  • Четкое руководство по ролям и дисциплинам безопасности.
  • Рекомендации, не привязанные к конкретным продуктам, основанные на принципах "Никому не доверяй", рекомендациях Майкрософт и внешних методологиях.
  • Подробное руководство по реализации с помощью Microsoft продуктов и служб безопасности.
  • Согласование с принципами "Никому не доверяй" и рекомендациями по обеспечению безопасности.

Схема, показывающая, как платформа внедрения безопасности (SAF) соединяет бизнес с безопасностью и технологией.

Существующая интеграция рекомендаций

Эта модель внедрения объединяет рекомендации Microsoft по безопасности, которые исторически публиковались в рамках нескольких методик и ресурсов, сводя их в единую практическую структуру, пригодную к применению.

Он интегрируется и строится на основе установленных рекомендаций, включая следующие источники контента:

Схема, показывающая, как модель внедрения интегрирует существующее содержимое системы безопасности.

Дальнейшие действия

Просмотрите варианты начала процесса внедрения безопасности.