Иллюстрированный самоучитель по настройке Office 2003

Описание концепции Trustworthy Computing

В январе 2002 года Билл Гейтс призвал 50 000 служащих корпорации Microsoft к разработке новой безопасной информационной среды для клиентов – такой же надежной, как электричество, питающее наши дома и офисы. Четыре основных элемента новой концепции защищенности информационных систем (Trustworthy Computing) – это защищенность, конфиденциальность, надежность и бизнес-целостность. Они несут следующий смысл:

  • Защищенность. Потребители имеют право рассчитывать на то, что системы устойчивы к атакам, и что конфиденциальность, целостность и доступность системы, а также ее данные находятся под защитой.
  • Конфиденциальность. Потребители имеют право управлять личной информацией, и кто бы ни использовал эти данные, он должен придерживаться при этом принципов добросовестности.
  • Надежность. Потребители вправе рассчитывать на правильное выполнение продуктом своих функций.
  • Бизнес-целостность. Поставщик продукта оказывает информационную поддержку и несет ответственность за качество работы продукта.

Корпорация Microsoft создала основу для отслеживания и измерения этого развития в соответствии с целями безопасности и концепции защищенности информационных систем: безопасность по конструкции, безопасность по умолчанию, безопасность в развертывании и взаимодействие с клиентами (secure by design, secure by default, secure in deployment, and communications (SD3+C)).

Безопасность по конструкции

Цель безопасности по конструкции – устранить все уязвимые места в безопасности до выпуска продукта и добавить особенности, позволяющие увеличить его защищенность. Безопасность по конструкции включает в себя:

  • Построение безопасной архитектуры. Здания банков сконструированы в соответствии с требованиями безопасности, их архитектура есть прямое следствие необходимости иметь банковское хранилище и другие вспомогательные средства безопасности. Программное обеспечение должно разрабатываться аналогичным образом. Корпорация Microsoft приступает к разработке продуктов, изначально заботясь о безопасности системы.
  • Добавление функций безопасности. Корпорация Microsoft расширяет функциональность своих продуктов, добавляя новые возможности обеспечения безопасности.
  • Уменьшение числа уязвимостей в новом и существующем коде. Корпорация Microsoft совершенствует процедуры разработки ПО с целью сделать разработчиков более осведомленными в вопросах безопасности на этапах проектирования и разработки ПО.

Изначальная безопасность

Цель изначальной безопасности для корпорации Microsoft – это выпуск продуктов, защита которых усилена отключением служб, не задействованных в большинстве сценариев использования, и уменьшением числа выдаваемых автоматически разрешений. Эти меры снижают возможности для проведения атак. Принятие осознанного решения о внедрении этих процессов увеличивает вероятность того, что они будут управляемы и контролируемы.

Безопасность в развертывании

Безопасность конструкции и изначальная безопасность очень важны, но они применяются на этапе разработки продукта. Безопасность в развертывании важна, поскольку работа компьютеров и сетевых систем не должна прерываться при установке нового ПО. Поэтому корпорация Microsoft улучшает поддержку клиентов, чтобы помочь им справиться с пятью отдельными, но тесно связанными задачами:

  • Защита систем, которая обеспечивается правильным подбором людей, процессов и технологий, призванных гарантировать доступность данных только доверенным пользователям, правильную настройку систем и их должное обновление, для предотвращения доступа неавторизованных пользователей. Сетевая защита аналогична запиранию дверей Вашего дома от злоумышленников.
  • Обнаружение попыток вторжения, нарушений безопасности, эксплуатационных проблем, непредвиденного поведения или предшествующих отказу симптомов. Эта задача напоминает включение домашней сигнализации для предупреждения о потенциальной опасности.
  • Оборона систем путем автоматической корректировки действий при обнаружении нарушений безопасности или подозрении о них. Оборона сродни звонку в полицию при нападении.
  • Восстановление компьютеров, ставших ненадежными, вызывающих сомнения в надежности либо вышедших из строя, зависит от наличия надлежащих систем и процессов для восстановления компьютеров и необходимых данных к состоянию последней удачной конфигурации, чтобы уменьшить время их простоя. Восстановление сродни вызову страховой компании для возмещения ущерба после вторжения. В случае с информационными технологиями это означает наличие резервных систем, позволяющих быстро вернуть поврежденные системы в рабочее состояние.
  • Координирование и управление защитой, обнаружением, обороной и восстановлением важных систем означает наличие правильных политик и процедур для согласования этих действий. Управление похоже на установку правил домашней безопасности, покупку страховки и обновление Ваших полисов по мере того, как изменяется состав Вашего имущества. Похожим образом управление ИТ-безопасностью нуждается в обновлении политик безопасности по мере того, как со временем меняются компоненты и угрозы для них. Многие задачи управления безопасностью могут быть автоматизированы, а системы могут быть настроены на уведомление администратора о нарушениях политики или о превышении установленного для пользователя быстродействия или поведенческого порога. Управление безопасностью изначально подразумевает, что администраторы имеют соответствующие знания и опыт и следуют политикам и процедурам безопасности.

Взаимодействие с клиентами

Улучшения безопасности, исправления и базы знаний приносят мало пользы без широкого распространения и непосредственной связи с потребителями. Корпорация Microsoft выстраивает двустороннее общение с клиентами, чтобы создать полезные инструменты и руководства для уменьшения рисков безопасности. Стратегия взаимодействия корпорации Microsoft включает:

  • Получение точной информации и быстрое создание исправлений при обнаружении уязвимостей.
  • Обеспечение потребителей инструментами и предписывающими руководствами, помогающими понять, как правильно обслуживать их системы.
  • Предупреждение о новых атаках и предоставление советов и рекомендаций по их отражению, которые изменяются в ответ на угрозы и развитие технологий.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.