Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После того как команда управления будет включена, необходимо определить и оценить все значительные риски, связанные с использованием облака вашей организации. "Риск" в этом контексте представляет собой любой потенциальный нежелательный результат, например нарушение безопасности, нарушение соответствия требованиям, сбой службы или превышение затрат, что может привести к использованию облака. Оценивая риски, команда управления получает информацию, необходимую для создания соответствующих политик на следующем шаге. Эта оценка рисков должна быть проведена изначально во время настройки системы управления, а затем регулярно и всякий раз, когда происходят крупные изменения, такие как новые проекты, новые угрозы, аудиты и инциденты.
1. Определение облачных рисков
Начните с компиляции комплексного списка рисков, с которыми сталкивается организация в облаке. Сосредоточьтесь на рисках общей применимости, а не на чрезвычайно нишевых сценариях. Вы можете начать с очевидных высокоприоритетных рисков и расширить список с течением времени.
Список всех облачных ресурсов. Перечислите все облачные ресурсы, чтобы можно было комплексно определить риски, связанные с ними. Например, вы можете использовать портал Azure, Azure Resource Graph, PowerShell и Azure CLI для просмотра всех ресурсов в подписке.
Обнаружение облачных рисков. Разработка стабильного каталога рисков для руководства по политикам управления облаком. Чтобы предотвратить частые корректировки, сосредоточьтесь на общих облачных рисках, а не на рисках, уникальных для конкретной рабочей нагрузки. Начните с высокоприоритетных рисков и разработайте более полный список с течением времени. Общие категории рисков — это соответствие нормативным требованиям, безопасность, операции, затраты, данные, ресурсы и ИИ. Включите риски, уникальные для вашей организации, такие как программное обеспечение сторонних разработчиков, поддержка партнеров или поставщиков, а также внутренние компетенции в области облачных технологий.
Задействование ключевых заинтересованных лиц. Сбор данных из различных ролей организации (ИТ, безопасности, юридических, финансовых и бизнес-подразделений) для рассмотрения всех потенциальных рисков. Этот подход обеспечивает целостное представление о рисках, связанных с облаком.
Проверьте риски. Привлеките внешних экспертов, обладающих глубоким пониманием идентификации облачных рисков, для проверки и подтверждения вашего списка рисков. Эти эксперты могут быть группами учетных записей Майкрософт или специализированными партнерами Майкрософт. Их опыт помогает подтвердить идентификацию всех потенциальных рисков и повысить точность оценки рисков.
Упрощение функций Azure. Определение облачных рисков
Ниже приведены рекомендации, которые помогут вам определить облачные риски в Azure. Он предоставляет пример отправной точки для основных категорий управления облаком. Azure может помочь автоматизировать процесс поиска рисков. Используйте такие средства Azure, как Помощник по Azure, Microsoft Defender для облака, Политика Azure, Работоспособность служб Azure и Microsoft Purview.
Определите риски соответствия нормативным требованиям. Определите риски несоответствия юридическим и нормативным основам, влияющим на облачные данные и операции. Знают нормативные требования вашей отрасли. Используйте документацию по соответствию Azure , чтобы начать работу.
Определите риски безопасности. Выявление угроз и уязвимостей, которые ставят под угрозу конфиденциальность, целостность и доступность облачной среды. Используйте Azure для оценки состояния облачной безопасности и обнаружения рисков идентификации.
Определите риски затрат. Определите риски, связанные с затратами на облачные ресурсы. К рискам, связанным с затратами, относятся избыточное предоставление ресурсов, недостаточное предоставление ресурсов, недостаточное использование и непредвиденные затраты от сборов за передачу данных или масштабирование услуг. Используйте оценку затрат для выявления риска затрат. Используйте Azure для оценки затрат с помощью калькулятора цен Azure. Анализ и прогнозирование затрат на текущие ресурсы. Определите непредвиденные изменения в затратах в облаке.
Определение рисков операций. Определите риски, которые угрожают непрерывности облачных операций, таких как простой и потеря данных. Используйте средства Azure для выявления рисков для надежности и производительности.
Определение рисков данных. Определите риски, связанные с управлением данными в облаке. Рассмотрите возможность неправильной обработки данных и недостатков в управлении жизненным циклом данных. Используйте средства Azure для выявления рисков данных и изучения рисков для конфиденциальных данных.
Определение рисков управления ресурсами. Определение рисков, связанных с подготовкой, развертыванием, настройкой и управлением облачными ресурсами. Определите риски для повышения эффективности работы.
Определение рисков ИИ. Регулярно красные языковые модели команды. Вручную протестируйте системы ИИ и дополняйте ручные тесты с помощью автоматизированных средств идентификации рисков для ИИ. Ищите распространенные сбои в взаимодействии человека и ИИ. Рассмотрите риски, связанные с использованием, доступом и выходными данными систем ИИ. Просмотрите принципы ответственного ИИ и модель зрелости ответственного ИИ.
2. Анализ облачных рисков
Назначьте качественный или количественный рейтинг каждому риску, чтобы можно было определить приоритеты по серьезности. Приоритет риска объединяет вероятность риска и влияние риска. Предпочитайте количественный анализ рисков качественным для более точной приоритетности рисков. Чтобы проанализировать облачные риски, выполните следующие стратегии.
Оценка вероятности риска
Оценка количественной или качественной вероятности каждого риска, возникающего в год. Используйте процентный диапазон (0%–100%) для представления ежегодной, количественной вероятности риска. Низкие, средние и высокие — это распространенные метки для качественной вероятности риска. Чтобы оценить вероятность риска, следуйте приведенным ниже рекомендациям.
Используйте публичные бенчмарки. Используйте данные из отчетов, исследований или соглашений об уровне обслуживания , которые документирует распространенные риски и их частоту возникновения.
Анализ исторических данных. Ознакомьтесь с отчетами о внутренних инцидентах, журналами аудита и другими записями, чтобы определить частоту подобных рисков в прошлом.
Эффективность контроля тестирования. Чтобы свести к минимуму риски, оцените эффективность текущих средств управления устранением рисков. Рассмотрите возможность проверки результатов тестирования элементов управления, результатов аудита и метрик производительности.
Определение влияния на риск
Оцените количественное или качественное влияние риска, возникающего в организации. Денежный объем является общим способом представления количественного влияния на риск. Низкие, средние и высокие — это распространенные категории для качественной оценки влияния на риск. Чтобы определить влияние риска, следуйте приведенным ниже рекомендациям.
Проведение финансового анализа. Оцените потенциальную финансовую потерю риска, глядя на такие факторы, как стоимость простоя, юридические сборы, штрафы и стоимость усилий по исправлению.
Проводите оценку влияния репутации. Используйте опросы, исследования рынка или исторические данные о подобных инцидентах, чтобы оценить потенциальное влияние на репутацию организации.
Проведение анализа рабочих нарушений. Оцените степень нарушения работы, оценивая время простоя, потерю производительности и стоимость альтернативных договоренностей.
Оценка юридических последствий. Оцените потенциальные юридические расходы, штрафы и санкции, связанные с несоответствием или нарушением.
Вычисление приоритета риска
Назначьте приоритет риска каждому риску. Приоритет риска — это важность, назначаемая риску, поэтому вы знаете, следует ли обрабатывать риск с высокой, средней или низкой срочностью. Влияние риска является более важным, чем вероятность риска, так как высокий риск может иметь долгосрочные последствия. Команда управления должна использовать согласованную методологию в организации, чтобы определить приоритеты рисков. Чтобы вычислить приоритет риска, следуйте приведенным ниже рекомендациям.
Используйте матрицу рисков для качественных оценок. Создайте матрицу для назначения качественного приоритета риска каждому риску. Одна ось матрицы представляет вероятность риска (высокий, средний, низкий), а другая — влияние риска (высокий, средний, низкий). В следующей таблице представлен пример матрицы рисков:
Низкое влияние Среднее влияние Высокий уровень влияния Низкая вероятность Очень низкий Умеренно низкий Умеренно высокий Средняя вероятность Low Средний High Высокая вероятность Средний High Очень высокий Используйте формулы для количественных оценок. Используйте следующее вычисление в качестве базового плана: приоритет риска = влияние на вероятность риска x. Настройте вес переменных по мере необходимости, чтобы настроить результаты приоритета риска. Например, вы можете уделять больше внимания влиянию на риск с помощью этой формулы: приоритет риска = вероятность риска x (влияние риска x 1.5).
Назначение уровня риска
Классифицируйте каждый риск на один из трех уровней: основные риски (уровень 1), подриски (уровень 2) и драйверы риска (уровень 3). Уровни риска позволяют спланировать соответствующую стратегию управления рисками и предвидеть будущие проблемы. Риски уровня 1 угрожают организации или технологии. Риск уровня 2 подпадает под уровень 1. Риски уровня 3 — это тенденции, которые потенциально могут завершиться одним или несколькими рисками уровня 1 или уровня 2. Например, рассмотрите возможность несоответствия законам о защите данных (уровень 1), неправильной конфигурации облачного хранилища (уровень 2) и повышению сложности нормативных требований (уровень 3).
Определение стратегии управления рисками
Для каждого риска определите соответствующие варианты лечения рисков, такие как предотвращение, устранение, передача или принятие риска. Укажите объяснение выбора. Например, если вы решите принять риск, так как стоимость устранения слишком дорогой, следует задокументировать причину для будущих ссылок.
Назначение владельцев рисков
Назначьте основного владельца риска для каждого риска. Владелец риска несет ответственность за управление каждым риском. Этот человек координирует стратегию управления рисками во всех участвующих командах и является начальной точкой контакта для эскалации риска.
3. Документируйте облачные риски
Задокументируйте каждый риск и подробные сведения о анализе рисков. Создайте список рисков (регистр риска), содержащий все сведения, необходимые для выявления, классификации, приоритета и управления рисками. Разработка стандартизованного языка для документации по рискам, чтобы все могли легко понять облачные риски. Рассмотрите возможность включения этих элементов:
| Поле | Description |
|---|---|
| Идентификатор | Уникальный идентификатор для каждого риска. Она обеспечивает трассировку и простую ссылку. ** Используйте последовательные метки (например, R01, R02); увеличивайте последовательность при добавлении риска, оставляйте пробелы при удалении рисков или перенумеровывайте только при необходимости. |
| Состояние управления | Текущее состояние риска. Уточняется, требуется ли предпринять меры в отношении риска. Используйте команду "Открыть" или "Закрыто" и немедленно обновите состояние при изменении. |
| Категория | Метка, которая классифицирует риск. Он группирует риски для целевого управления и отчетности. Используйте такие категории, как соответствие нормативным требованиям, безопасность, затраты, операции, ИИ или управление ресурсами. |
| Description | Краткое описание риска. В ней объясняется угроза, затронутые ресурсы и область. Укажите риск в одном предложении и включите причину или точку входа. |
| Вероятность | Годовая вероятность возникновения риска. Она поддерживает количественное определение приоритета и сравнение. Используйте процент (0%–100%) или качественную метку (низкий, средний, высокий). |
| Воздействие | Последствия для организации, если возникает риск. Он сообщает об усилиях по исправлению и оценке затрат. Используйте денежную оценку или качественную метку (низкий, средний, высокий) и задокументируйте основу для оценки. |
| Priority | Вычисляемая степень серьезности, которая объединяет вероятность и влияние. Он направляет порядок лечения и выделения ресурсов. Используйте сумму доллара или качественную метку и запишите метод вычисления (например, вероятность × влияние). |
| Level | Уровень риска в иерархии рисков. Он определяет пути эскалации и область управления. Используйте основную угрозу (уровень 1), подриску (уровень 2) или драйвер риска (уровень 3). |
| Стратегия управления | Выбранный подход для обработки риска. Он определяет основное действие и ожидаемый результат. Используйте такие действия, как "Снижение", "Принятие", "Избежание" или "Передача" и объясните обоснование выбора. |
| Обеспечение исполнения управления | Элементы управления и процессы, реализующие стратегию. Она гарантирует, что стратегия выполняется и остается эффективной. Список конкретных технических элементов управления, политик, мониторинга и периодичности проверки. |
| Владелец | Лицо или должность, ответственные за управление риском. Он назначает ответственность и единую точку контакта. Запишите роль или имя владельца, контактные данные и инструкции по эскалации. |
| Дата закрытия | Целевая дата применения стратегии управления или закрытия риска. Он создает крайний срок для отчетности и отслеживания. Задайте дату и обновите ее при закрытии риска или изменении плана. |
Дополнительные сведения см. в примере списка рисков.
4. Сообщение о рисках облачных технологий
Четко передать выявленные облачные риски исполнительному спонсору и управлению на уровне исполнительного уровня. Цель заключается в том, чтобы организация определила приоритеты облачных рисков. Предоставьте регулярные обновления по управлению облачными рисками и сообщите, когда требуются дополнительные ресурсы для управления рисками. Повышение культуры, в которой управление облачными рисками и управлением является частью ежедневных операций.
5. Просмотр облачных рисков
Просмотрите текущий список рисков облака, чтобы убедиться, что он является допустимым и точным. Проверки должны быть регулярными, а также в ответ на конкретные события. При необходимости поддерживайте, обновляйте или удаляйте риски. Чтобы проверить риски облака, выполните следующие рекомендации.
Планирование регулярных оценок. Задайте повторяющееся расписание для проверки и оценки облачных рисков, таких как ежеквартальный, раз в полгода или ежегодный. Найдите частоту проверки, которая лучше всего подходит для доступности персонала, скорости изменений в облачной среде и отказоустойчивости к рискам организации.
Выполнять обзоры, основанные на событиях. Просмотрите риски в ответ на определенные события, такие как сбой предотвращения риска. Рассмотрите возможность проверки рисков при внедрении новых технологий, изменении бизнес-процессов и обнаружении новых событий угроз безопасности. Кроме того, рассмотрите возможность проверки при изменении технологии, соответствия нормативным требованиям и устойчивости к рискам организации.
Просмотрите политики управления облаком. Сохраняйте, обновляйте или удаляйте политики управления облаком для решения новых рисков, существующих рисков или устаревших рисков. Просмотрите заявление о политике управления облаком и стратегию применения управления облаком по мере необходимости. При удалении риска оцените, являются ли политики управления облаком, связанные с ним, по-прежнему актуальными. Обратитесь к заинтересованным лицам, чтобы удалить политики управления облаком или обновить политики, чтобы связать их с новым риском.
Пример списка рисков
В следующей таблице приведен пример списка рисков, который также называется регистром рисков. Настройте пример в соответствии с конкретными потребностями и контекстом облачной среды Azure вашей организации.
| Идентификатор риска | Состояние управления рисками | Категория риска | Описание риска | Вероятность риска | Влияние на риск | Приоритет риска | Уровень риска | Стратегия управления рисками | Принудительное применение управления рисками | Владелец риска | Дата закрытия риска |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Откройте | Соответствие нормативным требованиям | Несоответствие требованиям к конфиденциальным данным | 20% ИЛИ средний | $100,000 ИЛИ Высокий | $20,000 ИЛИ Высокий | Уровень 2 | Mitigate | Используйте Microsoft Purview для мониторинга конфиденциальных данных. Отчеты о соответствии в Microsoft Purview. |
Ведущий по соответствию требованиям | 2024-04-01 |
| R02 | Откройте | Безопасность | Несанкционированный доступ к облачным службам | 30% - высокий уровень | $200,000 ИЛИ Высокий | $ 60000 OR Очень высокий | Уровень 1 | Mitigate | Многофакторная проверка подлинности Microsoft Entra ID (MFA). Ежемесячные проверки доступа Microsoft Entra ID Governance. |
Руководитель по безопасности | 2024-03-15 |
| R03 | Откройте | Безопасность | Небезопасное управление кодом | 20% ИЛИ средний | $150 000 или High | $30,000 ИЛИ Высокий | Уровень 2 | Mitigate | Используйте определенный репозиторий кода. Используйте шаблон карантина для общедоступных библиотек. |
Ведущий разработчик | 2024-03-30 |
| R04 | Откройте | Себестоимость | Чрезмерные расходы на облачные сервисы из-за избыточного предоставления ресурсов и отсутствия мониторинга. | 40% ИЛИ высокий уровень | $50,000 ИЛИ Средний | $20,000 ИЛИ Высокий | Уровень 2 | Mitigate | Задайте бюджеты и оповещения для рабочих нагрузок. Просмотрите и примените рекомендации по затратам советника. |
Лидер в управлении затратами | 2024-03-01 |
| R05 | Откройте | Operations | Нарушение работы службы из-за сбоя региона Azure | 25% ИЛИ средний | $150 000 или High | $37,500 ИЛИ Высокий | Уровень 1 | Mitigate | Критически важные рабочие нагрузки имеют активную архитектуру. Другие рабочие нагрузки имеют архитектуру "активный-пассивный". |
Руководитель операций | 2024-03-20 |
| R06 | Откройте | Данные | Потеря конфиденциальных данных из-за неправильного шифрования и управления жизненным циклом данных | 35% ИЛИ более высокая | $250,000 ИЛИ Высоко | 87 500 $ ИЛИ Очень высокий | Уровень 1 | Mitigate | Применяйте шифрование при передаче и хранении. Установите политики жизненного цикла данных с помощью средств Azure. |
Руководитель по данным | 2024-04-10 |
| R07 | Откройте | Управление ресурсами | Неправильная настройка облачных ресурсов, что приводит к несанкционированному доступу и утечке данных | 30% - высокий уровень | $100,000 ИЛИ Высокий | $30000 ИЛИ Очень высокий | Уровень 2 | Mitigate | Используйте инфраструктуру в качестве кода (IaC). Применение требований к тегам с помощью политики Azure. |
Руководитель по ресурсам | 2024-03-25 |
| R08 | Откройте | AI | Модель искусственного интеллекта, создавающая предвзятые решения из-за непредставленных обучающих данных | 15% ИЛИ низкий уровень | $200,000 ИЛИ Высокий | $30,000 ИЛИ умеренно высокий | Уровень 3 | Mitigate | Используйте методы смягчения фильтрации контента. Отдел красных команд анализирует модели ИИ ежемесячно. |
Руководитель по искусственному интеллекту | 2024-05-01 |