Знакомство с выявлением и оценкой рисков

  • 3 мин

Выявление рисков

Управление рисками Microsoft 365 начинается с их выявления. Выявление рисков акцентируется на действиях по обнаружению источников известных рисков для всех ключевых областей управления, внутренних и внешних угроз, а также уязвимостей в среде Microsoft 365. Команда Microsoft 365 Trust проводит собеседования с командами обслуживания Microsoft 365, чтобы выявлять новые риски, связанные со службами и зависимостями Microsoft 365. Благодаря опыту экспертов (SME) команды обслуживания предоставляется аналитика рисков, которые могут возникать постепенно по мере развития служб, добавления новых функций или использования новых зависимостей.

В дополнение к собеседованиям SME процесс выявления рисков включает данные непрерывного мониторинга, в том числе сканирование уязвимостей, имитацию атак Красной и Синей командами, результаты независимого аудита и действия по управлению инцидентами. Например, если имитация атак Красной командой свидетельствует об уязвимости в существующей реализации средства контроля, эта информация будет включена в процесс выявления риска. Проверки результатов аудита за предыдущий год и тенденции результатов, которые содержат пробелы в средствах контроля, являются другими примерами источников, включаемых в выявление рисков. Процесс выявления также включает проверку журналов решений, активных исключений безопасности и соответствия требованиям, работ по снижению угроз, а также рисков, выявленных в ходе предыдущих оценок рисков.

Команда Microsoft 365 Trust использует собеседования SME и данные непрерывного мониторинга для выявления рисков в среде Microsoft 365. В ходе этого процесса команда Microsoft 365 Trust взаимодействует с командами обслуживания и владельцами рисков для проверки точности и полноты выявления рисков. После выявления всех соответствующих рисков команда Microsoft 365 Trust приступает к оценке рисков.

Оценка рисков

Команда Microsoft 365 Trust оценивает каждый выявленный риск с помощью методологии оценки рисков ERM, учитывающей влияние, вероятность и недостаток управления.  Влияние связано с отрицательными последствиями реализации риска, такими как потеря конфиденциальности данных, доверия клиентов или сертификации соответствия требованиям. Вероятность определяет вероятность того, что потенциальный риск будет реализован. Вероятность вычисляется путем изучения частоты прошлых возникновений и возможности будущих возникновений. Наконец, дефицит средств управления вычисляется путем анализа эффективности реализованных средств управления безопасностью при устранении выявленных рисков. Эти метрики используются для вычисления оценки остаточного риска, которая представляет серьезность каждого риска после учета мер его снижения.

После вычисления оценок риска команда Microsoft 365 Trust классифицируют риски по степени серьезности. Эти категории соответствуют методологии оценки рисков ERM и являются обобщенным представлением общих рисков, возникающих в Microsoft 365. Риски относятся к одной из четырех категорий серьезности:

  • Серьезный. Области с очень высокими рисками, в которых нет надлежащих средств контроля или средства контроля не работают должным образом и которые требуют мер устранения существующих рисков.
  • Высокий. Области с высокими рисками, в которых нет надлежащих средств контроля или средства контроля не работают должным образом и которые требуют мер устранения существующих рисков.
  • Средний. Области со средним воздействием риска, в которых наблюдаются умеренные недостатки средств контроля, несоответствующие средства контроля или средства контроля, которые работают неправильно.
  • Низкий. Области с низким воздействием риска, в которых наблюдаются незначительные недостатки в реализованных средствах контроля или политиках.

После оценки и классификации командой Microsoft 365 Trust всех выявленных рисков она проводит собрание с заинтересованными лицами из каждой команды обслуживания, чтобы убедиться в том, что ее оценка точно отражает состояние риска в Microsoft 365. Результаты оценки проверяются руководством Microsoft 365.