Управление рисками
Мы непрерывно осуществляем управления рисками, которое подразумевает проверки на соблюдение формальных требований в течение жизненного цикла объекта. Для выявления и нейтрализации физических угроз и негативных факторов окружающей среды для центров обработки данных Майкрософт ежегодно выполняется оценка угроз, уязвимостей и рисков (TVRA) для всех центров обработки данных, содержащих данные клиента. В дополнение к соблюдению требований платформы управления корпоративными рисками (Майкрософт) корпорация Майкрософт использует требования, определенные в руководстве по управлению технологическими рисками, впервые опубликованному в июне 2013 года Валютным управлением Сингапура. TVRA отражают лучшие профессиональные оценки Майкрософт, основанные на принятых методах оценки рисков и информации, которая на текущий момент доступна для компании.
Майкрософт упрощает процесс TVRA путем выполнения следующих действий.
Идентификация риска. При оценке угроз, уязвимостей и риска (TVRA) рассматривается широкий диапазон угроз, возникающих вследствие естественных и человеческих (включая случайные) опасностей. Результаты зависят от расположения, дизайна, предназначения и других факторов центра обработки данных. TVRA выбирает сценарии угроз для выделения в документе TVRA на основе требований клиентов, независимой страны или региона, города и сайта оценки среды риска, предоставляемой сторонними и 1-сторонними сведениями о рисках. Для регионов с несколькими центрами обработки данных оценки рейтинга TVRA суммируются, чтобы предоставить целостную картину физических угроз, угроз окружающей среды, уязвимостей и рисков для оцениваемых расположений.
Типы сценариев угроз, рассматриваемые при оценке угроз, уязвимостей и риска (TVRA) для центра обработки данных:
- Внешние угрозы — происшествия, возникающие в результате внешних преднамеренных или случайных действий людей. Например, общественные беспорядки, терроризм, преступные действия, внешняя кража, самодельные взрывные устройства, вооруженное нападение, поджог, несанкционированное проникновение и авиакатастрофа.
- Внутренние угрозы — происшествия, возникающие в результате внутренних преднамеренных или случайных действий людей. Например, внутренняя кража и саботаж.
- Природные угрозы — природные процессы или явления, которые могут негативно повлиять на центры обработки данных. Например, тропические штормы, циклоны, наводнения, оползни, засуха, лесные пожары, землетрясения, вулканическая активность, сильные грозы с молниями, град, сильный ветер или ливни.
- Экологические угрозы — экологические условия, которые могут негативно повлиять на центры обработки данных. Например, дефицит воды, перегрев и пандемии.
Оценка рисков. Угрозы рассматриваются на основе оценки присущего им риска. Присущий риск рассчитывается как функция от неотъемлемого воздействия угрозы и неотъемлемой вероятности возникновения угрозы при отсутствии действий и средств контроля. Эти оценки основаны как на отзывах внутренних экспертов в данной теме (SME), так и на использовании внешних показателей риска.
Остаточный риск. Остаточный риск определяется как мера оставшихся рисков после учета эффективности управления. Эффективность управления оценивается как мера текущих действий и средств управления, предназначенных для предотвращения или выявления угроз, и оценка вероятности того, что средства управления окажут необходимое воздействие согласно своему предназначению и применению. Эти оценки основаны на совокупности отзывов внутренних экспертов по данной теме (SME) по вопросам эффективности управления для местоположений центров обработки данных, о которых говорится в TVRA.
Отчет. После завершения оценки создается отчет TVRA для утверждения руководителями и для поддержки наших общих усилий по управлению рисками.
Корпорация Майкрософт стремится постоянно обновлять свои оценки рисков и методологии для внедрения улучшений и учета изменяющихся условий. В результате наш анализ и выводы могут быть изменены.