Ознакомление с программой политики безопасности и стандартов Майкрософт

  • 5 мин

Программа политики безопасности и стандартов Майкрософт является частью инфраструктуры политик Майкрософт и предоставляет комплексную программу управления безопасностью для всех сотрудников, технических групп и подразделений Майкрософт. Так как требования к безопасности постоянно меняются в соответствии с новыми технологиями, нормативными требованиями и требованиями соответствия, а также угрозами безопасности, корпорация Майкрософт регулярно обновляет свои политики безопасности и вспомогательные документы для защиты систем и клиентов Майкрософт, соблюдения своих обязательств и сохранения доверия клиентов.

Программа политики безопасности и стандартов Майкрософт

Программа политики безопасности и стандартов Майкрософт упорядочена в виде политик, стандартов, требований и базовые конфигураций. Политики, стандарты и требования предоставляют рекомендации для всего предприятия с целью поддержки согласованных методов обеспечения безопасности и конфиденциальности в Майкрософт. Отдельные подразделения, например Microsoft 365, используют стандартные рабочие процедуры (SOP), чтобы подробно описывать, как подразделения реализуют требования.

Программа политики безопасности и стандартов Майкрософт, а также связанные с ней требования к безопасности включают:

  • Политика безопасности Майкрософт (MSP). MSP — это нетехническая коллекция целей безопасности, которые применяются ко всем сотрудникам Майкрософт. Цели в MSP являются руководством для всех политик безопасности, стандартов и требований во всей корпорации Майкрософт.
  • Политика программы безопасности Майкрософт (MSPP). Политика программы безопасности Майкрософт (MSPP) определяет общий набор целей безопасности для обеспечения в структуре управления ожидаемых результатов безопасности. MSPP применяется к сотрудникам корпорации Майкрософт (но не ограничиваясь ими) с ролями в области разработки, операций, безопасности, соответствия требованиям и аудита во время создания, обслуживания и/или работы программного обеспечения и/или служб Майкрософт.
  • Стандарты. Стандарт безопасности веб-служб (OSSS) и стандарты безопасности корпоративной информации (EISS) описывают корпоративные требования к веб-службам и корпоративной безопасности. OSSS является руководством по обеспечению безопасности для всех веб-служб, а EISS реализуется корпоративными группами безопасности.
  • Требования. Требования более подробны, чем стандарты, и содержат конкретные технические реализации, которые должны быть выполнены соответствующими системами и подразделениями. Например, любое подразделение, которое разрабатывает продукты или службы Майкрософт, должно реализовать жизненный цикл разработки защищенных приложений (Майкрософт) (SDL) для применения безопасных методов разработки. К другим требованиям корпорации Майкрософт относятся гарантии операционной безопасности (OSA) для защищенных рабочих систем, инфраструктура открытых ключей (PKI) для безопасного шифрования с открытым ключом и требования целостности программного обеспечения (SI) для защиты и проверки целостности кода.
  • Стандартные рабочие процедуры (SOP). Отдельные группы продуктов и подразделения используют SOP для подробного описания способа реализации стандартов и требований в организации для соблюдения целей безопасности, определенных в MSP.

Роли и обязанности MSP и MSPP

Обновления политики безопасности Майкрософт (MSP) и политики программы безопасности Майкрософт (MSPP) осуществляются под управлением группы безопасности и доверия клиентов — подразделения в юридическом отделе Майкрософт (CELA) с вкладом от всех соответствующих технических групп и подразделений. Корпоративный вице-президент группы безопасности и доверия клиентов и руководитель по информационной безопасности (CISO) корпоративной стратегии выступают в качестве окончательных утверждающих всех изменений в MSP.

Процесс проверки MSP и MSPP

Политики безопасности, стандарты и требования Майкрософт проверяются и обновляются на ежегодной основе (как минимум). При ежегодной проверке политики безопасности рассматриваются различные факторы, в том числе:

  • Изменения внешних нормативных требований или требований соответствия. Примеры включают законы или обновления внешних стандартов, например ISO или NIST. Процесс проверки политики безопасности включает проверку всех предложенных изменений, чтобы обеспечить соответствие применимым нормам.
  • Изменения в области безопасности. Сюда относятся возникающие угрозы, проблемы безопасности и урокам, полученные из прошлых инцидентов.
  • Изменение потребностей бизнеса и клиентов. По мере изменения бизнеса может потребоваться обновить политики и стандарты с учетом новых технологий. Например, для новых продуктов и служб могут потребоваться новые подходы к безопасности.

Соответствующие заинтересованные лица, их представители и проверяющие оценивают, как изменение условий может требовать обновления политик и стандартов безопасности Майкрософт. Предложенные изменения отправляются соответствующим проверяющим для утверждения. После завершения проверки обновленные версии политик и стандартов безопасности Майкрософт распространяются и реализуются подразделениями Майкрософт, которые обновляют свои стандартные рабочие процедуры (SOP) с учетом любых изменений в реализации безопасности для конкретных организаций.

Обработка исключений

Исключения из политик безопасности и стандартов Майкрософт представляют отклонения от требований с бизнес-обоснованием отклонения. Все исключения проверяются и утверждается соответствующим управляющим органом. В зависимости от области действия исключения и потенциального риска, который оно представляет, может потребоваться утверждение исключения от соответствующего руководителя. Все исключения должны отслеживаться в соответствующем средстве.