Обзор Руководства Microsoft по управлению рисками безопасности

Опубликовано: 13 Апреля, 2023

С тех пор, как моя жена купила мне экземпляр книги Питера Друкера «Управление: задачи, обязанности, практика», я увлекся идеей, что управление крупными организациями — это скорее наука, чем искусство. И когда дело доходит до сетевой безопасности для крупных предприятий, я придерживаюсь аналогичного убеждения, а именно, безопасностью можно управлять, применяя хорошо известные принципы и практики дисциплинированным и последовательным образом.


Вот почему меня редко волнуют новые книги, в которых говорится, что они раскрывают секреты того, как хакеры взламывают сети и заметают следы. Это только техническая сторона безопасности, и, сосредоточившись на восходящем подходе, подобном этому, вы можете упустить более широкую картину того, что такое безопасность на самом деле. Вместо этого я предпочитаю рекомендовать крупным организациям применять нисходящий подход к безопасности, который принимает тот факт, что компьютерные сети никогда не будут защищены на 100%, и в результате следует больше заботиться об управлении рисками, чем о мелких деталях любого отдельного метода. используется хакерами для получения доступа. Если это звучит пораженчески, это не так — это реалистично. Я не принижаю необходимость глубоких технических знаний об уязвимостях и эксплойтах, я просто считаю, что это лишь малая часть того, что представляет собой сетевая безопасность.


Управление рисками представляет собой набор принципов и методов, как и любая другая дисциплина управления, и включает в себя оценку стоимости ваших активов, возможных угроз для них и определение соответствующих мер, которые необходимо предпринять для их защиты. Научившись проактивно управлять рисками, а не реагировать на них, когда происходит эксплойт, компании могут лучше использовать свои ресурсы для защиты своего бизнеса.


К сожалению, большинство компаний не управляют рисками. Вместо этого они реагируют на угрозы и эксплойты ситуативным образом, что часто может привести к одной из двух крайностей: либо полное игнорирование определенного типа угроз с сопутствующими последствиями, либо параноидальная блокировка активов до такой степени, что удобство использования ухудшается и снижается эффективность бизнеса. Я не принижаю важность наличия обученной группы реагирования на безопасность для вашей сети, но что более эффективно, особенно с денежной точки зрения: профилактика или лечение? Хорошая аналогия (которую использует Microsoft) — грипп: с точки зрения бизнеса, лучше ли тратить деньги на больничные койки на случай, если люди заразятся гриппом, или потратить их на вакцинацию, чтобы гарантировать, что они не заразятся. ?


Очевидно, что упреждающее управление рисками является лучшим подходом к обеспечению информационной безопасности, чем простое реагирование на инциденты по мере их возникновения. Но даже управление рисками может принимать различные формы: от принятия риска до его снижения и передачи риска третьей стороне в соответствии с соглашением об уровне обслуживания (хороший подход для небольших компаний, у которых нет инфраструктуры для проведения полной оценки риска или эффективной управлять рисками в своей деловой среде).


К сожалению, многие организации все еще являются новичками в управлении рисками, и именно поэтому Microsoft выпустила свое новое Руководство по управлению рисками безопасности на Microsoft TechNet. Это руководство является первой попыткой корпорации Майкрософт предоставить предписывающее руководство для компаний, которое поможет им научиться внедрять надежные принципы и методы управления рисками для повышения безопасности своих сетей и информационных активов.


О руководстве


Я проработал большую часть этого руководства и должен сказать, что я впечатлен. В руководстве не только используется сбалансированный подход к управлению рисками, который реализует как количественный, так и качественный анализ рисков, но также приводится пример внедрения методов управления рисками для вымышленной компании под названием Woodgrove Bank. Использование подобного конкретного примера позволяет вам увидеть методы управления рисками в действии, а не просто читать о них, и я, например, скорее конкретный ученик, чем абстрактный. Другими словами, мне нравится, когда кто-то показывает мне, как что-то делать, а не просто говорит, как это сделать. Если я увижу, как это делается один раз, я могу подражать этому и учиться на практике. Microsoft даже предоставляет пустые таблицы шаблонов Excel, которые вы можете легко использовать для оценки рисков для активов информационной системы вашей собственной компании, которые находятся в заархивированном пакете при загрузке Руководства.


Руководство предназначено для широкого круга аудиторий, включая высшее руководство, сетевых архитекторов, специалистов по информационной безопасности и аудиторов. Руководство разделено на несколько глав, которые проведут вас через процесс внедрения эффективной программы управления рисками в вашей компании. Вот разбивка того, что охватывает руководство:


Глава 1 содержит краткий обзор управления рисками и того, что содержится в Руководстве.


В главе 2 рассматриваются различные подходы к управлению рисками, распространенные сегодня в отрасли, исследуются сильные и слабые стороны каждого подхода. Четко обозначена разница между качественной и количественной оценкой риска.


В главе 3 объясняется уникальный четырехэтапный подход Microsoft к управлению рисками, который сочетает в себе как качественный, так и количественный подход к оценке риска. Также предоставляются подробные инструкции о том, как создать команду управления рисками и о различных обязанностях каждой роли в команде. Этот четырехэтапный процесс управления рисками, который рекомендует Microsoft, включает следующее:



  1. Оценка рисков путем выявления и приоритизации рисков для ваших информационных активов.
  2. Осуществление поддержки принятия решений путем определения контрольных решений для снижения рисков, выявленных на предыдущем этапе.
  3. Внедрение решений по управлению, определенных на предыдущем шаге, для проактивной защиты вашей сети путем снижения каждого выявленного риска.
  4. Измерение эффективности вашей программы управления рисками на постоянной основе, чтобы убедиться, что ваши средства контроля выполняют свою работу по назначению.

В остальных главах Microsoft подробно исследует каждый из этих четырех шагов, разбивая их на методы, которые можно строго реализовать и контролировать. Конкретно:


В главе 4 рассматривается, какие данные необходимо собрать для оценки рисков, что является первым шагом четырехступенчатого процесса управления рисками Microsoft. В главе также объясняется, как определить приоритеты рисков, чтобы вы могли оптимизировать свои ресурсы для своей программы управления рисками. На мой взгляд, приоритизация рисков является одним из ключевых компонентов успешной программы управления рисками. Если вы возьмете любую из популярных книг о взломах, представленных на рынке, у вас создастся впечатление, что существует множество непонятных эксплойтов, от которых вам нужно защищаться, чтобы защитить свои информационные активы. Реальность, однако, такова, что некоторые эксплойты имеют лишь небольшую вероятность, в то время как другие более распространены, и, определяя приоритеты угроз для вашей сети на основе точного профиля ваших активов и подверженности, вы можете эффективно защитить свою сеть с гораздо меньшими затратами времени и энергии. и деньги, чем если бы вы пытались блокировать все угрозы одинаково.


Глава 5 охватывает второй этап процесса, предоставляя вам рекомендации о том, как определить, какие действия подходят для снижения каждого типа или экземпляра риска для вашей сети.


В Главе 6 представлены фактические запретительные рекомендации по установлению средств контроля для снижения различных видов риска. Однако имейте в виду, что именно здесь начинается настоящая работа с технической точки зрения, так как существуют десятки ссылок на официальные документы Microsoft, руководства по усилению защиты и другие документы TechNet (некоторые из них имеют сотни страниц), описывающие конкретные шаги для снижение рисков для различных платформ, продуктов и приложений Microsoft. Однако при чтении всей этой технической информации вы должны помнить о схеме приоритетов, которую вы установили на первом этапе процесса, чтобы не увязнуть в попытках защитить сетевые компоненты от угроз, у которых мало шансов превратиться в реальные эксплойты.. Глава 6 также завершается рекомендациями по постоянному мониторингу и оценке вашей программы управления рисками для обеспечения ее постоянной эффективности.


Руководство завершается несколькими приложениями, охватывающими такие темы, как специальная оценка рисков, сводка типов общих активов информационных систем и описания распространенных угроз и уязвимостей. И, как я упоминал ранее, загружаемая заархивированная версия Руководства также включает в себя различные инструменты и шаблоны (в виде шаблонов Word и листов Excel), которые вы можете использовать для реализации четырехэтапной программы Microsoft в вашей собственной корпоративной среде. Что может быть проще?


Вывод


Подход Microsoft к управлению рисками и их оценке — не единственный, доступный организациям. Некоторые другие популярные подходы включают в себя:



  • Руководство по управлению рисками для систем информационных технологий и Руководство по самооценке безопасности для систем информационных технологий, разработанные Национальным институтом стандартов и технологий (NIST).
  • Информационные технологии. Свод правил по управлению информационной безопасностью (ISO 17799), доступный в Международной организации по стандартизации (ISO).
  • Эксплуатационно-критическая оценка угроз, активов и уязвимостей (OCTAVE) от Группы реагирования на компьютерные чрезвычайные ситуации (CERT) Института разработки программного обеспечения Университета Карнеги-Меллона.

Эти ресурсы также помогут вам спланировать и внедрить эффективное решение по управлению рисками для вашей компании. Но, на мой взгляд, подход Microsoft прост и легок в реализации и является хорошей отправной точкой, особенно для ИТ-отделов, которые хорошо разбираются в платформах Microsoft. Несмотря на то, что Microsoft описывает руководство как кроссплатформенное и нейтральное по отношению к поставщику, его предписывающие решения по управлению ориентированы, в частности, на продукты Microsoft. Однако это меня не удивляет и никоим образом не снижает полезности этого превосходного Руководства.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023