Роли и обязанности, определяемые стратегией безопасности

Завершено

Отдельные члены группы обеспечения безопасности должны входить в команду обеспечения безопасности, являющейся частью всей организации. Они также входят в более крупное сообщество противодействий одним и тем же злоумышленникам.

Такой комплексный подход обеспечивает эффективную работу команды в целом. Это особенно важно, так как в процессе эволюции ролей и обязанностей таким группам приходится справляться с непредвиденными брешами и перекрытиями.

Обязанности в плане безопасности (функции)

На этой схеме показаны специальные организационные функции в сфере обеспечения безопасности. Это идеальная структура комплексной корпоративной группы обеспечения безопасности, которую могут взять на вооружение некоторые группы обеспечения безопасности. Один или несколько пользователей могут выполнять каждую функцию. Каждый специалист может выполнять одну или несколько функций в зависимости от таких факторов, как культура, бюджет и доступные ресурсы.

В следующих статьях содержатся сведения о каждой функции и сводка целей. В них описываются возможные пути эволюции функций из-за изменений в среде угроз или облачных технологиях. Они также изучают связи и зависимости, критически важные для успешного выполнения функции.

• Политика и стандарты
• Операции безопасности
• Архитектура безопасности
• Управление соответствием безопасности
• Безопасность людей
• Безопасность приложений и DevSecOps
• Защита данных
• Безопасность инфраструктуры и конечной точки
• Управление удостоверениями и ключами
• Аналитика угроз
• Управление состоянием
• Подготовка инцидентов

На следующей схеме приведены сведения о ролях и обязанностях в программе безопасности, которые помогут вам ознакомиться с этими ролями:

Дополнительные сведения см. в статье Функции облачной безопасности.

Соотнесение задач по обеспечению безопасности с результатами коммерческой деятельности

На уровне организации дисциплины безопасности сопоставляются со стандартными этапами “планирование–проектирование–запуск”, которые широко работают в отраслях и организациях. С наступлением цифрового века и появлением DevOps этот цикл ускоряется, а изменения становятся непрерывными. В них также показано, как безопасность соотносится с обычными бизнес-процессами.

Безопасность — это область знаний с присущими ей уникальными функциями. Интеграция с обычными бизнес-операциями является важным элементом.

Типы ролей

На предыдущей схеме темными метками эти обязанности сгруппированы в типовые роли с общими наборами навыков и профилями карьеры. Эти группировки также помогают обеспечить ясность того, как отраслевые тенденции влияют на специалистов по безопасности.

• Руководитель групп обеспечения безопасности: Эти роли часто включают в себя разные функции. Они обеспечивают координацию действий команд, определяют приоритеты и устанавливают культурные нормы, политики и стандарты безопасности.
• Разработчик архитектуры систем безопасности: Эти роли включают в себя несколько функций и предоставляют основные возможности управления для обеспечения слаженной работы всех технических специалистов в рамках однородной архитектуры.
• Состояние безопасности и соответствие требованиям: Это более новый тип роли, который обеспечивает более тесное сближение отчетности по соответствию требованиям с традиционными сферами обеспечения безопасности, такими как управление уязвимостями и основы конфигурации. Хотя область и аудитория отличаются для отчетности по безопасности и соответствию требованиям, они отвечают на различные версии вопроса "Как безопасна организация?" Ответ на этот вопрос становится все более похожим с помощью таких средств, как Microsoft Secure Score и Microsoft Defender для облака.
  • Использование предоставляемых по требованию веб-каналов данных из облачных сервисов сокращает время, необходимое для составления отчета по соответствию требованиям.
  • Благодаря увеличенному объему доступных данных система управления безопасностью не ограничивается только традиционными обновлениями или исправлениями программного обеспечения и обнаруживает (отслеживает) “уязвимости”, исходя из конфигураций систем обеспечения безопасности и практических рекомендаций.
• Инженер безопасности платформы: эти технологические роли сосредоточены на платформах, на которых размещено несколько рабочих нагрузок, ориентированных на управление доступом и защиту ресурсов. Эти роли часто сгруппированы в команды со специализированными наборами технических навыков. К ним относятся безопасность сетей, инфраструктура и конечные точки, а также управление удостоверениями и ключами. Эти команды разрабатывают как предупредительные меры, так и меры обнаружения, при этом меры обнаружения взаимодействуют с SecOps, а предупредительные меры в основном завязаны на ИТ-операции. Подробнее см. в статье об интеграции системы безопасности.
• Инженер по безопасности приложений: эти технологические роли сосредоточены на элементах управления безопасностью для определенных рабочих нагрузок и поддерживают классические модели разработки и современные модели DevOps/DevSecOps. Эти роли сочетают навыки по обеспечению безопасности приложений и сред разработки для уникального кода с навыками создания инфраструктуры общих технических компонентов, таких как виртуальные машины, базы данных и контейнеры. Эти роли могут находиться в центральных ИТ-отделах или организациях безопасности, а также в группах разработчиков бизнес-процессов на основе организационных факторов.

при модернизации.

На архитектуру безопасности влияют различные факторы:

• Модель непрерывной вовлеченности: Постоянный выпуск обновлений программного обеспечения и облачных функций приводит к устареванию моделей фиксированной вовлеченности. Архитекторы должны взаимодействовать со всеми командами, работающими по техническим направлениям, для управления принятием решений по жизненным циклам возможностей этих команд.
• Безопасность из облака: Реализуйте возможности обеспечения безопасности из облака для сокращения времени реализации и затрат на текущее обслуживание (оборудование, программное обеспечение, время и усилия).
• Безопасность облака: Обеспечьте охват всех облачных ресурсов, включая приложения SaaS (программное обеспечение как услуга), IaaS (инфраструктура как услуга) и PaaS (платформа как услуга). Включите обнаружение и безопасность для санкционированных и несанкционированных служб.
• Интеграция удостоверений: Разработчики архитектуры безопасности должны обеспечить четкую согласованность действий с командами удостоверений для содействия в достижении организациями сразу двух целей: обеспечение производительности и гарантии безопасности.
• Интеграция внутреннего контекста в проекты безопасности, такие как контекст из системы управления и инцидентов, расследованных центром безопасности: включение таких элементов, как относительные оценки рисков учетных записей пользователей и устройств, конфиденциальность данных и ключевые границы изоляции безопасности для активной защиты.

Рекомендуемое содержимое

• Роли безопасности MCRA — YouTube: обзор ролей и обязанностей в программе безопасности. Это видео включает в себя обсуждение того, как они развиваются в соответствии с потребностями современных атак, облачных технологий и принципов нулевого доверия. Это представление ролей сверху вниз включает в себя совет директоров и руководителей.

Проверьте свои знания

1.

Кто отвечает за безопасность в облаке?

Директор по ИТ / Руководитель по информационной безопасности

Поставщик облачных сервисов

Вся команда

Генеральный директор

Вы должны ответить на все вопросы перед проверкой.