Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ни один из двух организаций не отличается, и компании модернизируют безопасность различными способами в зависимости от их целей и приоритетов, зрелости, культуры и поддержки руководства.
В этой статье описаны три распространённых подхода к началу внедрения модели безопасности "Никому не доверяй".
- Сверху вниз - Начните с высокоуровневой стратегии. Преобразуйте стратегию в детальные планы и реализуйте их.
- Наращивание — начните с одного или нескольких приоритетных направлений, чтобы добиться быстрых результатов. Расширьте все больше областей и создайте общую стратегию.
- На основе сценария — начните с конкретного бизнес-сценария и двигайте последовательный подход к данному сценарию в нескольких дисциплинах.
Используйте это руководство, чтобы выбрать отправную точку, а не шаблон. Важно, чтобы начальная точка обеспечивает прогресс без нарушения критически важных бизнес-операций.
Tip
Microsoft предлагает широкий набор семинаров по внедрению безопасности - семинары Security Adoption Framework (SAF. Наши рекомендации по структурированной модели внедрения согласуются с экспертными рекомендациями Microsoft Unified, представленными на этих семинарах. Дополнительные сведения о семинарах SAF.
Выбор шаблона
Перед началом работы обратите внимание на следующее:
- Модели внедрения не исключают друг друга. Вы можете использовать один шаблон, развиваться в другую или смешивать их с течением времени.
- Большинство организаций перемещаются по нескольким шаблонам с течением времени, и многие используют смешанный подход, в котором они используют несколько шаблонов одновременно.
- Например, поэтапный или сценарный подход часто обеспечивает необходимый импульс и понимание для перехода к более комплексному внедрению на основе четкой стратегии.
Какой бы шаблон вы ни выбрали, рекомендуется:
- Решите, как модернизироваться. Большинство организаций сосредоточены на обновлении существующих процессов и технологий. Несколько проектов создают новую программу безопасности с нуля.
- Выровняйте подход. Выравнивайте приоритеты организации, ограничения, терпимость к рискам и способность поглощать изменения.
- Непрерывно настраивается. Непрерывно собирает данные для измерения того, что работает, что не работает, и где требуется корректировка.
- Поддержка бизнеса как обычно. Убедитесь, что вы можете продолжать работу во время преобразования. Бизнес-операции и субъекты угроз не приостанавливают во время модернизации безопасности. Команды должны выполнять свою основную работу, параллельно меняя свой подход.
Сверху вниз
Сверху вниз — это подход, управляемый стратегией, который начинается с комплексного зрения и обеспечивает координацию доставки по всей организации. Чтобы использовать этот шаблон, выполните указанные ниже действия.
- Начните с начала пути внедрения и создайте четкую стратегию, согласованную с бизнес-приоритетами.
- Преобразуйте эту стратегию в архитектуру, дорожные карты и приоритетные технические инициативы.
- Обеспечивайте согласованность во всех направлениях безопасности и технологических направлениях.
Этот подход хорошо подходит для организаций, где руководители и руководители по вопросам безопасности имеют сильное спонсорство исполнительной власти и понимают важность вождения скоординированных изменений и активного сотрудничества в бизнесе, ИТ-отделах и группах безопасности.
Наращивание
Постепенное наращивание — это поэтапный подход, который начинается с точечных улучшений и постепенно расширяется. Чтобы использовать этот шаблон, выполните указанные ниже действия.
- Начните с быстро реализуемой меры с высоким эффектом, которая устраняет срочный риск или операционный пробел. Например, для начала можно сосредоточиться на конкретной дисциплине или направлении.
- Продемонстрировать измеримую ценность быстрой победы, чтобы построить доверие и поддержку.
- Расширяйтесь в смежных направлениях в рамках той же дисциплины, чтобы добиться ещё одного успеха, или перейдите к более широкому стратегическому подходу сверху вниз.
Этот шаблон хорошо подходит для организаций, которые в настоящее время не имеют полного исполнительного спонсорства для модернизации безопасности. Технические и руководители безопасности могут использовать видимые победы для снижения риска и повышения доверия к более широкому внедрению.
На основе сценария
Внедрение, основанное на сценариях, направлено на поддержку конкретной бизнес-инициативы и использует её для обеспечения межфункционального согласования. Чтобы использовать этот шаблон, выполните указанные ниже действия.
- Определение высокоприоритетного бизнес-сценария.
- Защитите сценарий в рамках нескольких направлений безопасности.
- Используйте сценарий, чтобы выявить зависимости, пробелы и будущие потребности в модернизации.
Этот шаблон подходит при наличии исполнительной поддержки и финансирования конкретной инициативы по обеспечению безопасности, но не для полного преобразования безопасности. Это помогает организациям объединять разрозненные программы и изолированные инициативы, улучшать взаимодействие и откладывать менее приоритетную модернизацию на более поздний срок.
Дальнейшие действия
Дальнейшие действия зависят от используемой модели.
- Сверху вниз: если вы приближаетесь к внедрению сверху вниз, сначала ознакомьтесь с нашим структурированным путем внедрения безопасности, а затем рассмотрим приоритетные бизнес-сценарии.
- Развитие: Если вы хотите быстро получить результат, выберите бизнес-сценарий, а затем углубитесь в основную дисциплину.
- На основе сценария: чтобы модернизировать определенные области, выбрать бизнес-сценарий, разработать сценарий в соответствии с необходимыми дисциплинами, а затем начать его реализацию.