Microsoft Security Assessment – вопросы и ответы

 

В: Что такое оценка безопасности Microsoft Security Assessment?

Microsoft Security Assessment – это интерактивный сеанс, использующий средство оценки безопасности Microsoft Security Assessment Tool (MSAT) и включающее собственный вопросник. Microsoft Security Assessment – это производимый самостоятельно или обеспечиваемый партнером сеанс, продолжающийся от одного до двух часов и разработанный для помощи в приобретении лучшего понимания слабых мест и угроз безопасности.

Оценка предоставляет пользователю широкий обзор уровня ИТ-безопасности компании и дает ему четко определенную схему повышения безопасности, через приоритетные действия, решения и предписания.

По завершении оценки MSAT предоставляет дополняющий отчет с собранными данными и рекомендациями. Он предназначен для помощи в понимании базового положения с безопасностью и расстановке приоритетности действий по уменьшению определенных угроз.

В: Каковы цели Microsoft Security Assessment?

MSAT концентрируется на предоставлении общей инфраструктуры для помощи в получении целостного понимания слабых мест и угроз безопасности, а также разработки схемы, помогающей повысить безопасность данных немедленно и в рамках стандартной деловой дисциплины.

В: Кто участвовал в создании этого средства?

MSAT было разработано опытной группой специалистов по безопасности Microsoft и партнеров по безопасности в отрасли.

В: Является ли MSAT еще одной попыткой продавать только продукты Microsoft?

Нет. Цель MSAT состоит в том, чтобы помочь клиентам понять бизнес-риски, создаваемые их вычислительной инфраструктурой и предоставить проверенные отраслью действия для помощи в уменьшении этих рисков.

В: Какого рода руководство предоставляет MSAT?

Отчетность MSAT предоставляет предписания, основанные на отраслевых стандартах и стандартах безопасности. В предлагаемые источники по безопасности входят корпорации Microsoft, CERT, Cisco и им подобные.

В: Проверяет ли MSAT мою систему?

Нет. MSAT – это интерактивный процесс, базирующийся на опросах, предоставляющий отчеты и рекомендации исключительно на основе ответов пользователя. Помимо оценки технологий, MSAT разработан для оценки сотрудников и процессов, что требует пользовательского ввода. У MSAT нет возможности сбора информации о локальных системах или сетях.

В: Какую информацию собирает это средство?

MSAT собирает только общую, не привязываемую конкретно информацию, такую как размер и отрасль компании, вместе с показателями профиля бизнес-риска (BRP) и индекса глубокой защиты (DiDI). Эти данные используется для сравнения клиентов со всеми прочими участниками или с другими участниками внутри той же отрасли. Пользователи могут применять отчеты MSAT для создания эталонных показателей и сравнения результатов с ними в течение времени. Однако данные не фиксируются, если не предоставлять ответа на вопрос. Это средство можно использовать для моделирования среды или предсказания того, как определенные улучшений повлияют на общие показатели или уровень безопасности инфраструктуры.

В: Отчего я должен доверять этому средству?

Хотя MSAT и не заменяет подготовленного консультанта, знакомого с компанией, оно было разработано для помощи компаниям с сфере безопасности. Вопросы, составляющие опросную часть, и связанные с ними ответы извлечены из общепринятых практических рекомендаций по безопасности, как общих, так и конкретных. Вопросы и рекомендации, предоставляемые средством, основаны на общепринятых практических рекомендациях, стандартах, таких как ISO 17799 и NIST-800.x, а также рекомендациях и предписаниях как от группы надежных вычислений Microsoft, так и от других внешних источников по безопасности.

В: Что означает высокий профиль бизнес-риска (BRP)?

При типичном ходе деловых операций клиенты регулярно принимают технические и бизнес-решения, могущие создать угрозы безопасности, требующие снижения. BRP помогает определить эти угрозы и предоставляет базовый уровень, с которым следует сравнивать показатель глубокой защиты.

BRP – это мера того, каков уровень риска при заданном способом ведения дел клиентом или его взаимодействия с другими компаниями и клиентами. Она оценивает, в первую очередь, технические и эксплуатационные риски. Наличие высокого BRP означает, что клиент работает в среде высокого риска, сталкивается с существенной конкуренцией или подвергается угрозам прямых или непрямых атак через используемые системы, средства и процессы.

В: Мой клиент располагает массой защит для уменьшения риска. Почему BRP остается высоким?

На BRP не влияют используемые методики снижения риска. Он должен считаться мерой риска, с которым столкнулась бы организация, не имеющая защитных мер. Его следует использовать для определения ключевых областей, где риск для данных может быть выше, в зависимости от типа бизнеса.

В: Что корпорация Microsoft собирается делать с информацией из этой оценки, если данные будут переданы?

После завершения оценки пользователь получит возможность просматривать диаграмму соотношения риска и защиты, сравнивающую показатель BRP с показателем индекса DiD. Для просмотра полного отчета данные необходимо загрузить на безопасный веб-сервер MSAT. Передача данных полностью анонимна. Помимо просмотра полного отчета, также будет предоставлен доступ к функции сравнения.

Функция сравнения позволяет сравнить две оценки, что поможет отслеживать продвижение в течение времени. Можно также (анонимно) сравнить результаты с результатами других участников программы.

В: Нужно ли партнеру Microsoft помогать мне, когда я использую MSAT?

Нет. Помощь партнера Microsoft в использовании MSAT не нужна. Средство бесплатно и доступно всем желающим. Может потребоваться поддержка партнера по безопасности для помощи в завершении оценки или проверке ее результатов.

Партнеры, связанные с программой оценки безопасности Microsoft Security Assessment Program, обладают специальной подготовкой в использовании MSAT и хорошо понимают идеи глубокой защиты, а также стратегии, связанные со снижением рисков. Эти партнеры также обладают доступ к другим программам и информации напрямую от Microsoft, что может дать серьезные выгоды усилиям компании по улучшению безопасности. Подходящего партнера Microsoft можно найти в каталоге ресурсов Microsoft по адресу http://www.microsoft.com/ru-ru/partner/experts/.

 

К началу страницы К началу страницы