2.4. Подход компании Microsoft
2.4. Подход компании Microsoft
Компания Microsoft обладает сложной корпоративной инфраструктурой, которая состоит из 6 тыс. серверов Windows Server 2003 (из них 800 серверов приложений). В штате компании работает более 55 тыс. сотрудников. Сотрудники очень хорошо готовы технически, и 95 % из них имеют администраторские права на своих компьютерах. Более чем 300 тыс. компьютеров компании расположены в 400 представительствах по всему миру, используется более 1,6 тыс. приложений.
В сеть компании ежедневно поступает приблизительно 8 млн. почтовых сообщений извне, и приблизительно 6,5 млн. почтовых сообщений циркулирует ежедневно в сети самой компании. В сеть компании имеют доступ 30 тыс. партнеров. Уникальная инфраструктура по разработке продуктов, тестированию и поддержке, исходный код продуктов требуют особой защиты. Ежемесячно на сеть компании осуществляется свыше 100 тыс. попыток вторжения. В почтовую систему ежемесячно поступает свыше 125 тыс. почтовых сообщений, зараженных вирусами (в день примерно 800 новых вирусов), и 2,4 млн. почтовых сообщений со спамом в день.
Обязанность по обеспечению информационной безопасности в компании Microsoft возложена на две группы – Corporate Security Group и Operations and Technology Group.
Компания Microsoft разработала стратегию безопасности, состоящую из 4 основных компонент:
• миссия корпоративной безопасности,
• принципы операционной безопасности,
• модель принятия решений, основанная на анализе рисков,
• тактическое определение приоритетности действий по уменьшению рисков.
Фундаментом для дизайна, разработки и нормального функционирования защищенных систем являются принципы безопасности, разделенные на несколько категорий (см. табл. 2.3). Таблица 2.3. Принципы безопасности защищенных систем
Для обеспечения информационной безопасности Corporate Security Group использует подход по управлению информационными рисками (рис. 2.4). Под управлением рисками здесь понимается процесс определения, оценки и уменьшения рисков на постоянной основе. Управление рисками безопасности позволяет найти разумный баланс между стоимостью средств и мер защиты и требованиями бизнеса. Модель управления рисками Corporate Security Group представляет собой комбинацию различных подходов, таких, как количественный анализ рисков, анализ возврата инвестиций в безопасность, качественный анализ рисков, а также подходы лучших практик.
Данный текст является ознакомительным фрагментом.