Группа разработки решений Майкрософт по безопасности и соответствию регулятивным нормам
и
Центр Microsoft Security Center of Excellence
Руководство по управлению рисками безопасности
© Корпорация Майкрософт, 2006. На данную работу распространяются требования указания авторства и некоммерческого использования, предусмотренные лицензией Creative Commons. Чтобы ознакомиться с текстом этой лицензии, посетите веб-страницу организации http://creativecommons.org/licenses/by-nc/2.5/ либо направьте письмо по адресу: Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.
Оглавление
Глава 1. Обзор руководства по управлению рисками безопасности 1
Основные положения 1
Для кого предназначено это руководство 3
Вопросы, рассмотренные в этом руководстве 4
Условия успешной реализации 7
Термины и определения 9
Условные обозначения 11
Получение поддержки по данному руководству 11
Дополнительные сведения 11
Глава 2. Обзор рекомендаций по управлению рисками безопасности 13
Сравнение подходов к управлению рисками 13
Подходы к приоритизации рисков 17
Процесс управления рисками безопасности, предлагаемый корпорацией Майкрософт 23
Глава 3. Обзор управления рисками безопасности 25
Четыре этапа процесса управления рисками безопасности, предлагаемого корпорацией Майкрософт 25
Заключение 38
Глава 4. Оценка рисков 39
Обзор 39
Планирование 42
Координированный сбор данных 44
Приоритизация рисков 59
Заключение 80
Глава 5. Поддержка принятия решений 81
Обзор 81
Выявление и сравнение элементов контроля 87
Заключение 104
Глава 6. Реализация контроля и оценка эффективности программы 107
Обзор 107
Реализация контроля 107
Оценка эффективности программы 114
Заключение 121
Выводы из руководства 121
Приложение А. Оперативная оценка рисков 123
Приложение Б. Типичные активы информационных систем 125
Приложение В. Типичные угрозы 131
Приложение Г. Уязвимости 133
Участники проекта 136
Глава 1. Обзор руководства по управлению рисками безопасности
Основные положения
Проблемы, вызываемые средой
Большинство организаций осознает, насколько высока роль информационных технологий (ИТ) в достижении поставленных бизнес-целей. Однако современные ИТ-инфраструктуры тесно связаны между собой и работают в среде с постоянно возрастающим уровнем опасности, характеризующимся непрерывным увеличением частоты атак и постоянно ужесточающимися требованиями к времени реакции. Зачастую организации неспособны реагировать на новую угрозу безопасности раньше, чем она повлияет на их бизнес. Управление безопасностью инфраструктуры организации (и создаваемой благодаря этой инфраструктуре бизнес-ценностью) стало одной из основных задач ИТ-подразделений.
Кроме того, новые законы, относящиеся к корпоративному управлению, сохранению конфиденциальности и выполнению финансовых обязательств, заставляют организации уделять больше внимания управлению ИТ-инфраструктурами и повышать эффективность управления. Для многих правительственных учреждений и работающих с ними организаций в законодательном порядке определен минимальный уровень безопасности. Отсутствие системы проактивного управления безопасностью может подвергать риску как руководство организаций, так и сами организации вследствие нарушений правовых и фидуциарных требований.
Лучший способ
Подход к управлению рисками безопасности, предлагаемый корпорацией Майкрософт, является проактивным и способен помочь организациям любого размера в решении проблем, возникающих в процессе обеспечения соответствия регулятивным нормам при работе с существующими в организациях средами. Формальный процесс управления рисками безопасности позволяет организациям добиться сочетания максимальной экономической эффективности с известным и приемлемым уровнем бизнес-риска и предоставляет пользователям понятный и непротиворечивый метод организации и приоритизации ограниченных ресурсов для реализации управления рисками. Реализация управления рисками безопасности позволяет организациям внедрить экономически эффективный контроль, снижающий риск до приемлемого уровня.
Определение приемлемого риска и подход к управлению рисками зависят от конкретной организации, поскольку не существует универсального решения, а разные организации используют различные модели управления рисками. Каждая модель предлагает собственное сочетание точности, ресурсов, времени, сложности и субъективности. Инвестиции в процесс управления рисками, основанный на проверенной концепции и четком определении ролей и обязанностей, подготавливают организацию к определению приоритетов, планированию нейтрализации угроз и связи угроз и уязвимостей с бизнесом. Кроме того, эффективная программа управления рисками поможет компании обеспечить соблюдение ужесточающихся законодательных требований.
Роль корпорации Майкрософт в управлении рисками безопасности
Данный документ представляет собой первое подробное руководство корпорации Майкрософт, полностью посвященное управлению рисками безопасности. Это руководство основано на опыте специалистов корпорации Майкрософт и ее заказчиков, а содержащиеся в нем сведения и рекомендации проверены в процессе разработки заказчиками, партнерами и техническими рецензентами. Целью составления данного документа является предоставление заказчикам понятного и действенного руководства по реализации процесса управления рисками безопасности, обеспечивающего следующие возможности.
-
Переход к проактивному управлению безопасностью и отказ от трудоемкого реактивного процесса.
-
Возможность оценки уровня безопасности путем демонстрации ценности проектов по безопасности.
-
Помощь заказчикам в использовании ограниченных ресурсов для эффективного снижения основных рисков, позволяющая не растрачивать эти ресурсы на все возможные риски.
|