Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внедрение модели безопасности "Никому не доверяй" в масштабах всей организации — это сложный многолетний процесс, охватывающий бизнес-стратегию и планирование, техническое проектирование и архитектуру, развертывание и эксплуатацию.
Без структурированного подхода к внедрению программы модернизации безопасности могут стать фрагментированы, реактивны и трудно поддерживать.
Наша структурированная модель внедрения безопасности обеспечивает стандартизированные, воспроизводимые процессы, учитывающие роли, которые помогают планировать, расставлять приоритеты и внедрять комплексную модернизацию безопасности в гибридных, многооблачных и многоплатформенных средах.
Модель внедрения выравнивает критически важные бизнес-результаты, дисциплины безопасности и реализации решений, чтобы бизнес-лидеры, руководители по безопасности, архитекторы и практики могли двигаться вперед в управляемом и устойчивом темпе всей организации.
Tip
Microsoft предлагает широкий набор семинаров по внедрению безопасности - семинары Security Adoption Framework (SAF. Наши рекомендации по структурированной модели внедрения согласуются с экспертными рекомендациями Microsoft Unified, представленными на этих семинарах. Дополнительные сведения о семинарах SAF.
Зачем использовать модель внедрения?
Структурированная модель внедрения помогает:
- Соблюдайте рекомендации по обеспечению безопасности — согласовывайте свои действия с принципами "Никому не доверяй", шаблонами Microsoft Secure Future Initiative (SFI), открытыми стандартами и руководствами и другими рекомендациями по обеспечению безопасности.
- Максимальное увеличение существующих инвестиций— получение стоимости из существующих средств перед внедрением новых возможностей.
- Разработайте комплексную стратегию безопасности — свяжите бизнес-приоритеты с архитектурой безопасности, мерами контроля, процессами и операциями.
- Постоянно адаптируйтесь — развивайте состояние безопасности и стратегию по мере изменения угроз, потребностей бизнеса и технологий.
- Ставьте действия в приоритет — Предоставляйте практические рекомендации с учётом конкретных ролей для команд и заинтересованных сторон, с опорой на передовые практики, извлечённые уроки и реальные примеры.
На этой схеме показано, как эти элементы объединяются в модели внедрения.
Как модель внедрения интегрирует существующие рекомендации
Эта модель внедрения объединяет рекомендации Microsoft по безопасности, которые исторически публиковались в рамках нескольких методологий и ресурсов, в единую практическую структуру.
Он интегрируется и строится на основе установленных рекомендаций и включая следующие источники содержимого:
- Эталонная архитектура Microsoft Cybersecurity (MCRA)
- Жизненный цикл разработки безопасности (SDL).
- "Никому не доверяй" и CISO семинары
- Неизменяемые законы безопасности
- Руководство по привилегированному доступу/рабочим станциям.
- Сборники схем реагирования на инциденты
Организуя это руководство по общим бизнес-сценариям, дисциплинам и шагам реализации, модель помогает перейти от изолированных рекомендаций к согласованному подходу к планированию, реализации и измерению улучшений безопасности. Мы дополнительно обогатим содержимое модели внедрения с течением времени.
Структура модели внедрения
Модель внедрения основана на трех основных компонентах, которые помогают организациям перейти от бизнес-намерения к подробной реализации:
- Бизнес-сценарии определяют типичные бизнес-результаты и как необходимо адаптировать безопасность для их достижения.
- Дисциплины безопасности определяют, как команды упорядочивают, планируют и работают для модернизации безопасности и достижения бизнес-результатов.
- Основные принципы технологии описывают ресурсы и ресурсы организации, которые мы хотим защитить. Например, идентификационные данные, устройства и данные.
Каждый компонент модели внедрения предназначен для конкретной аудитории и роли.
| Секция | Основная аудитория | Цель |
|---|---|---|
| Бизнес-сценарии | Бизнес-лидеры | Определите, определите и сообщите критически важные бизнес-результаты, которые должны поддерживать безопасность. Преобразуйте бизнес-приоритеты в практические цели безопасности, которые направляют планирование и принятие решений. Предоставление практических, повторяемых рекомендаций для бизнес-результатов с четкими путями к ролям и дисциплинам, участвующим в выполнении результатов. |
| Дисциплины безопасности | Руководители безопасности и команды, ИТ-руководители, дизайнеры, архитекторы. | Связать бизнес-сценарии с развертыванием и внедрением средств безопасности. Убедитесь, что инвестиции в безопасность и приоритеты преобразуются в измеримые результаты с помощью четкого планирования, архитектуры и операционных практик. Бизнес-сценарии обычно сопоставляют с несколькими дисциплинами безопасности. |
| Технологические основы | Специалисты по техническому внедрению и партнеры по безопасности. | Определите, какие типы активов необходимо защитить, и где должны применяться принципы и средства управления безопасностью "Никому не доверяй". Подключите стратегию безопасности к реализации путем группировки связанных технологий, элементов управления и возможностей. Бизнес-сценарии, скорее всего, пересекают несколько технологических принципов. Например, если наша бизнес-цель — повысить общий уровень защищённости во всей организации, то мы должны повысить уровень защищённости устройств, данных, инфраструктуры, сетей и других компонентов. |
Руководство по внедрению
Структурированное руководство по внедрению сосредоточено на:
- Комплексное руководство по общим бизнес-критическим сценариям.
- Рекомендации, не привязанные к конкретным продуктам, основанные на принципах "Никому не доверяй", рекомендациях Майкрософт и внешних методологиях.
- Подробное руководство по реализации с помощью Microsoft продуктов и служб безопасности.
Дальнейшие действия
Просмотрите варианты начала процесса внедрения безопасности.