Microsoft-Programm für Sicherheitsrichtlinien und-Standards verstehen
Das Microsoft Security Policy and Standards Program ist Teil des Microsoft Policy Frameworks und stellt ein umfassendes Programm für die Sicherheitsgovernance für alle Microsoft-Mitarbeiter, Engineering-Gruppen und Geschäftseinheiten bereit. Da sich die Sicherheitsanforderungen ständig ändern, um neue Technologien, behördliche und Compliance-Anforderungen sowie Sicherheitsbedrohungen zu berücksichtigen, aktualisiert Microsoft regelmäßig seine Sicherheitsrichtlinien und unterstützende Dokumente, um Microsoft-Systeme und -Kunden zu schützen, die eigenen Verpflichtungen einzuhalten und das Kundenvertrauen zu wahren.
Das Microsoft Security Policy and Standards Programm
Das Microsoft Security Policy and Standards Programm ist in Richtlinien, Standards, Anforderungen und Grundlinien gegliedert. Richtlinien, Standards und Anforderungen bieten unternehmensweite Orientierungshilfen zur Umsetzung einheitlicher Sicherheits- und Datenschutzpraktiken bei Microsoft. Einzelne Geschäftseinheiten, z. B. Microsoft 365, verwenden standardmäßige Betriebsverfahren (Standard Operating Procedures, SOP), um detailliert zu beschreiben, wie sie die Anforderungen implementieren.
Das Microsoft Security Policy and Standards-Programm und die damit verbundenen Sicherheitsanforderungen umfassen:
- Microsoft Security Policy (MSP): Die MSP ist eine nicht-technische Sammlung von Sicherheitszielen, die für alle Microsoft-Mitarbeiter gelten. Die Ziele im MSP liegen allen Sicherheitsrichtlinien, -standards und -anforderungen bei Microsoft zugrunde.
- Microsoft Security Program Policy (MSPP): Microsoft Security Program Policy (MSPP) definiert eine Reihe allgemeiner Sicherheitsziele zur Umsetzung eines Governance-Frameworks für erwartete Sicherheitsergebnisse. MSPP gilt für Microsoft-Mitarbeiter mit Entwicklungs-, Betriebs-, Sicherheits-, Compliance- und Überwachungsrollen während der Erstellung, Wartung und/oder des Betriebs von Microsoft-Software und/oder -Diensten, ist aber nicht auf diese beschränkt.
- Standards: Der OSSS- (Online Services Security Standard) und die EISS (Enterprise Information Security Standards) definieren unternehmensweite Anforderungen für Onlinedienste und die Unternehmenssicherheit. Der OSSS liegt Sicherheitsmaßnahmen für alle Onlinedienste zugrunde, während die EISS von Sicherheitsteams des Unternehmens implementiert werden.
- Anforderungen: Anforderungen sind detaillierter als Standards und geben spezifische technische Lösungen vor, die von den jeweiligen Systemen und Geschäftseinheiten implementiert werden müssen. So muss beispielsweise jede Unternehmenseinheit, die Microsoft-Produkte oder -Dienste entwickelt, Microsofts Security Development Lifecycle (SDL) implementieren, um sichere Entwicklungspraktiken zu erzwingen. Weitere Anforderungen sind bei Microsoft u.a. Operational Security Assurance (OSA) für sichere Produktionssysteme, Public Key Infrastructure (PKI) für sichere Kryptografie mit öffentlichen Schlüsseln sowie Anforderungen an die Softwareingegrität (Software Integrity, SI) zum Schutz und zur Überprüfung der Codeintegrität.
- Standard Operating Procedures (SOPs): Einzelne Produktgruppen und Geschäftseinheiten verwenden SOPs, um detailliert zu beschreiben, wie ihre Organisation Standards und Anforderungen umsetzt, um die in der MSP definierten Sicherheitsziele zu erfüllen.
MSP- und MSPP-Rollen und -Verantwortlichkeiten
Updates für die Microsoft Security Policy (MSP) und die Microsoft Security Program Policy (MSPP) erfolgen unter der Leitung von Customer Security and Trust, einer Geschäftseinheit unter Microsoft Corporate, External and Legal Affairs (CELA), mit Beiträgen aller relevanten Engineering-Gruppen und Geschäftseinheiten. Der CVP von Customer Security and Trust und der CISO von Corporate Strategy sind die endgültigen Genehmiger für alle Änderungen an der MSP.
MSP- und MSPP-Überprüfungsverfahren
Microsoft-Sicherheitsrichtlinien, -Standards und -Anforderungen werden mindestens einmal jährlich überprüft und aktualisiert. Bei der jährlichen Sicherheitsrichtlinienüberprüfung werden verschiedene Faktoren berücksichtigt, darunter:
- Änderungen an externen gesetzlichen oder Compliance-Anforderungen. Beispiele hierfür sind Rechtsvorschriften oder Aktualisierungen externer Standards wie ISO oder NIST. Das Überprüfungsverfahren für Sicherheitsrichtlinien umfasst die Überprüfung aller vorgeschlagenen Änderungen zur Gewährleistung der Übereinstimmung mit geltenden Vorschriften.
- Änderungen an der Sicherheitslandschaft. Dazu gehören neue Bedrohungen, Sicherheitsprobleme und aus früheren Vorfällen gewonnene Erkenntnisse.
- Sich ändernde Anforderungen von Unternehmen und Kunden. Geschäftliche Entwicklungen erfordern u. U., dass Richtlinien und Standards aktualisiert werden, um neue Technologien zu berücksichtigen. So können beispielsweise neue Produkte und Dienste neue Sicherheitskonzepte erfordern.
Wichtige Beteiligte, deren Stellvertreter sowie Prüfer bewerten, welche Updates an Microsoft-Sicherheitsrichtlinien und -Standards möglicherweise aufgrund geänderter Bedingungen erforderlich sind. Vorgeschlagene Änderungen werden an relevante Prüfer zur Genehmigung übermittelt. Nach Abschluss der Überprüfung werden die aktualisierten Versionen der Microsoft-Sicherheitsrichtlinien und -Standards von Microsoft-Unternehmenseinheiten verbreitet und implementiert; diese aktualisieren ihre standardmäßigen Betriebsverfahren (SOP), um Änderungen an ihren organisationsspezifischen Sicherheitsimplementierungen zu berücksichtigen.
Ausnahmebehandlung
Ausnahmen von Microsofts Sicherheitsrichtlinien und -Standards stellen Abweichungen von den Anforderungen dar und erfordern eine berechtigte geschäftliche Begründung für diese Abweichung. Alle Ausnahmen werden von einer zuständigen Steuerungsinstanz geprüft und genehmigt. Abhängig vom Umfang der Ausnahme und des potenziellen Risikos, das sie darstellt, ist möglicherweise eine Ausnahmegenehmigung durch einen zuständigen Geschäftsführer erforderlich. Alle Ausnahmen müssen im entsprechenden Instrument dokumentiert werden.