Метрики и индикаторы отказоустойчивости рисков в плане основы безопасностиRisk tolerance metrics and indicators in the Security Baseline discipline

Изучите количественные показатели бизнес-рисков, связанные с дисциплинами безопасности.Learn to quantify business risk tolerance associated with the Security Baseline discipline. Определение метрик и индикаторов помогает создать бизнес-вариант для инвестиции в погашение этой дисциплины.Defining metrics and indicators helps to create a business case for investing in the maturity of this discipline.

МетрикиMetrics

Нормативная версия системы безопасности, как правило, нацелена на определение потенциальных уязвимостей в облачных развертываниях.The Security Baseline discipline generally focuses on identifying potential vulnerabilities in your cloud deployments. В рамках анализа рисков необходимо собрать данные, связанные с вашей средой безопасности, чтобы определить, сколько рисков вы сталкиваетесь, а также насколько важны инвестиции в базовую дисциплину безопасности для запланированных облачных развертываний.As part of your risk analysis you'll want to gather data related to your security environment to determine how much risk you face, and how important investment in your Security Baseline discipline is for your planned cloud deployments.

У каждой организации есть уникальные характеристики и требования к безопасности, а также разные возможные источники данных о безопасности.Every organization has different security environments and requirements and different potential sources of security data. Ниже приведены примеры полезных метрик, которые вы можете собрать для оценки риска по дисциплине "Основные способы защиты".The following are examples of useful metrics that you should gather to help evaluate risk tolerance within the Security Baseline discipline:

  • Классификация данных: Количество сохраненных в облаке данных и служб, которые не классифицируются в соответствии с соблюдением конфиденциальности, соответствия или стандартов бизнес-влияния вашей организации.Data classification: Number of cloud-stored data and services that are unclassified according to on your organization's privacy, compliance, or business impact standards.
  • Число конфиденциальных хранилищ данных: Количество конечных точек хранилища или баз данных, содержащих конфиденциальные данные, которые должны быть защищены.Number of sensitive data stores: Number of storage endpoints or databases that contain sensitive data and should be protected.
  • Число незашифрованных хранилищ данных: Количество незашифрованных конфиденциальных хранилищ данных.Number of unencrypted data stores: Number of sensitive data stores that are not encrypted.
  • Контактная зона: Общее количество источников данных, служб и приложений, которые будут размещаться в облаке.Attack surface: How many total data sources, services, and applications will be cloud-hosted. Какой процент этих источников классифицируются как конфиденциальные?What percentage of these data sources are classified as sensitive? Какой процент этих приложений и служб считаются критически важными?What percentage of these applications and services are mission-critical?
  • Охваченные стандарты: Число стандартов безопасности, определенных группой безопасности.Covered standards: Number of security standards defined by the security team.
  • Охваченные ресурсы: Развернутые ресурсы, охваченные стандартами безопасности.Covered resources: Deployed assets that are covered by security standards.
  • Соответствие общим стандартам: Отношение соответствия стандартам безопасности.Overall standards compliance: Ratio of compliance adherence to security standards.
  • Атаки по уровню серьезности: Сколько координированных попыток нарушить работу облачных служб, например с помощью распределенных атак типа "отказ в обслуживании" (от атак DDoS), работает ли ваша инфраструктура?Attacks by severity: How many coordinated attempts to disrupt your cloud-hosted services, such as through distributed denial of service (DDoS) attacks, does your infrastructure experience? Какой масштаб и уровень серьезности у этих атак?What is the size and severity of these attacks?
  • Защита от вредоносных программ: Процент развернутых виртуальных машин, на которых установлены все необходимые средства защиты от вредоносных программ, брандмауэра или другого программного обеспечения безопасности.Malware protection: Percentage of deployed virtual machines (VMs) that have all required anti-malware, firewall, or other security software installed.
  • Задержка исправления: Сколько времени прошло с тех пор, пока на виртуальных машинах были применены исправления операционной системы и программного обеспечения.Patch latency: How long has it been since VMs have had OS and software patches applied.
  • Рекомендации по работоспособности системы безопасности: Число рекомендаций по обеспечению безопасности для разрешения стандартов работоспособности для развернутых ресурсов, упорядоченных по степени серьезности.Security health recommendations: Number of security software recommendations for resolving health standards for deployed resources, organized by severity.

Индикаторы допустимости рискаRisk tolerance indicators

Облачные платформы предоставляют базовый набор возможностей, которые позволяют небольшим командам развертывания настроить простые параметры безопасности без долгого дополнительного планирования.Cloud platforms provide a baseline set of features that enable small deployment teams to configure basic security settings without extensive additional planning. В результате небольшая разработка, тестирование или экспериментальные первые рабочие нагрузки, которые не включают конфиденциальные данные, представляют собой относительно низкий уровень риска и, скорее всего, не потребуются в плане формальной политики безопасности.As a result, small dev/test or experimental first workloads that do not include sensitive data represent a relatively low level of risk, and will likely not need much in the way of formal Security Baseline policy. Как только важные данные или критически важные функции перемещаются в облако, риски безопасности увеличиваются, а допуск для этих рисков быстро уменьшается.As soon as important data or mission-critical functionality is moved to the cloud, security risks increase, while tolerance for those risks diminishes rapidly. По мере развертывания в облаке новых данных и функций постоянно повышается вероятность того, что потребуются дополнительные инвестиции по дисциплине базовой системы безопасности.As more of your data and functionality is deployed to the cloud, the more likely you need an increased investment in the Security Baseline discipline.

На ранних стадиях внедрения облака согласуйте с командой ИТ-безопасности и заинтересованными лицами список относящихся к безопасности бизнес-рисков и определите приемлемые базовые показатели допустимости таких рисков.In the early stages of cloud adoption, work with your IT security team and business stakeholders to identify business risks related to security, then determine an acceptable baseline for security risk tolerance. В этом разделе, посвященном облачной инфраструктуре внедрения, приведены примеры, но подробные риски и базовые показатели для вашей компании или развертываний могут отличаться.This section of the Cloud Adoption Framework provides examples, but the detailed risks and baselines for your company or deployments may be different.

Определив базовые показатели, установите минимальные характеристики недопустимого увеличения выявленных рисков.Once you have a baseline, establish minimum benchmarks representing an unacceptable increase in your identified risks. Эти тесты производительности действуют как триггеры, когда необходимо предпринять действия по устранению этих рисков.These benchmarks act as triggers for when you need to take action to remediate these risks. В примерах ниже показано, как описанные выше и другие метрики безопасности могут обосновать повышение инвестиций по дисциплине базовой системы безопасности.The following are a few examples of how security metrics, such as those discussed above, can justify an increased investment in the Security Baseline discipline.

  • Триггеры критически важных рабочих нагрузок.Mission-critical workloads trigger. При развертывании критически важных рабочих нагрузок в облаке компании следует выделить ресурсы на дисциплину базовой системы безопасности, чтобы избежать возможных перебоев в работе службы или раскрытия конфиденциальных данных.A company deploying mission-critical workloads to the cloud should invest in the Security Baseline discipline to prevent potential disruption of service or sensitive data exposure.
  • Триггер защищенных данных.Protected data trigger. Если компания размещает в облаке данные, которые можно классифицировать как конфиденциальные, частные или иным образом подпадающие под нормативные ограничения.A company hosting data on the cloud that can be classified as confidential, private, or otherwise subject to regulatory concerns. В этом случае дисциплина базовой системы безопасности нужна для того, чтобы предотвратить потерю, раскрытие или кражу таких данных.They need a Security Baseline discipline to ensure that this data is not subject to loss, exposure, or theft.
  • Триггер внешних атак.External attacks trigger. Компания, которая испытывает серьезные атаки по своей сетевой инфраструктуре x раз в месяц, может воспользоваться преимуществами дисциплины безопасности.A company that experiences serious attacks against their network infrastructure x times per month could benefit from the Security Baseline discipline.
  • Триггер соответствия стандартам.Standards compliance trigger. Компания, имеющая более x% ресурсов из соответствия стандартам безопасности, должна вкладываться в специализацию по безопасности, чтобы обеспечить единообразное применение стандартов в ИТ-инфраструктуре.A company with more than x% of resources out of security standards compliance should invest in the Security Baseline discipline to ensure standards are applied consistently across your IT infrastructure.
  • Триггер размера облачной пространства.Cloud estate size trigger. Компания, на которой размещено более x приложений, служб или источников данных.A company hosting more than x applications, services, or data sources. Крупные облачные развертывания можно улучшить путем инвестиций по дисциплине базовой системы безопасности, которая позволит защитить всю область, которая подвергается несанкционированному доступу и другим внешним угрозам.Large cloud deployments can benefit from investment in the Security Baseline discipline to ensure that their overall attack surface is properly protected against unauthorized access or other external threats.
  • Триггер соответствия программного обеспечения безопасности.Security software compliance trigger. В компании, где менее x% развернутых виртуальных машин установлено все необходимое программное обеспечение для обеспечения безопасности.A company where less than x% of deployed virtual machines have all required security software installed. Дисциплину базовой системы безопасности можно применить для стабильного применения программного обеспечения для защиты.A Security Baseline discipline can be used to ensure software is installed consistently on all software.
  • Триггер установки исправлений.Patching trigger. Компания, в которой развернутые виртуальные машины или службы, в которых не были установлены исправления операционной системы или программного обеспечения, не были применены за последние x дней.A company where deployed virtual machines or services where OS or software patches have not been applied in the last x days. Дисциплина базовой системы безопасности позволит убедиться, что исправления применяются своевременно по заданному расписанию.A Security Baseline discipline can be used to ensure patching is kept up-to-date within a required schedule.
  • С учетом безопасности.Security-focused. Некоторые компании применяют строгие требования по безопасности и конфиденциальности данных даже для тестовых и экспериментальных рабочих нагрузок.Some companies will have strong security and data confidentiality requirements even for test and experimental workloads. Таким компаниям потребуется выделить ресурсы по дисциплине базовой системы безопасности еще перед началом первого развертывания.These companies will need to invest in the Security Baseline discipline before any deployments can begin.

Точные метрики и триггеры, используемые для оценки допустимости рисков и уровня инвестиций в базовую дисциплину безопасности, будут относиться к конкретной организации, но приведенные выше примеры должны служить основой для обсуждения в вашей команде управления облаком.The exact metrics and triggers you use to gauge risk tolerance and the level of investment in the Security Baseline discipline will be specific to your organization, but the examples above should serve as a useful base for discussion within your cloud governance team.

Дальнейшие действияNext steps

Шаблон " дисциплина в плане безопасности " используется для документирования метрик и индикаторов допуска, которые совпадают с текущим планом внедрения в облаке.Use the Security Baseline discipline template to document metrics and tolerance indicators that align to the current cloud adoption plan.

Ознакомьтесь с примерами базовых политик безопасности в качестве отправной точки для разработки собственных политик для решения конкретных бизнес-рисков, связанных с планами внедрения в облако.Review sample Security Baseline policies as a starting point to develop your own policies to address specific business risks aligned with your cloud adoption plans.