Microsoft: Самооценка по линии кибербезопасности

Microsoft: Самооценка по линии кибербезопасности
Вопрос быстрой и максимально объективной самооценки по линии информационной безопасности всегда актуален, а в начале года особенно, т.к. формируются планы на предстоящий год и нужно понимать свою «отправную точку».
 
Корпорация Microsoft разместила в открытом доступе он-лайн опросник для самооценки по линии кибербезопасности:
- на русском:
https://www.microsoft.com/cyberassessment/ru-ru/cee?wt.mc_id=AID657789_QSG_PD_SCL_205009
- на английском: https://www.microsoft.com/cyberassessment/en-gb/cee?wt.mc_id=AID657789_QSG_PD_SCL_205009
Рекомендую англоязычный вариант, т.к. в части вопросов я считаю, что первоисточник точнее.

Опрос анонимный, но если вы хотите получить полный отчет о результатах оценки уровня вашей кибербезопасности, то нужно будет предоставить контактные данные.
Интересен данный опрос тем, что в нем достаточно грамотно выделены 4 категории/домена кибербезопасности:
- Предотвратите кражу учетных данных (Prevent identity compromise);
- Безопасные приложения и данные (Secure apps and data);
- Расширение механизмов управления устройствами (Expand device controls);
- Охрана инфраструктуры (Safeguard infrastructure).
254811acfad2aa7d96cac93877b8d2f3.png


Пара расшифровок, введенных в опросе аббревиатур:
- AAD – Azure Active Directory;
- ECM – Enterprise content management.
- DR – Disaster recovery.

В каждом домене по 5 вопросов.
Максимум можно набрать 100%, при этом у вопросов разные весовые значения.
e9bed69fd8f80ff91f3ff58c86dfc09c.png
 
Выделяются несколько вариантов представления результатов опроса:
- High Risk according to your Self-Assessment Responses;
- Moderate Risk according to your Self-Assessment Responses;
- Low Risk according to your Self-Assessment Responses.
 
Что меня действительно немного удивило так это то, что:
- Moderate Risk может быть, как в красной и желтой, так и в зеленой зоне;
43a46f8d541299127838090f13c4eb70.png

- положительный ответ на вопрос «Do you issue corporate-owned devices? (Laptops / Mobiles / Tablets / others)» повышает результат оценки;
- положительный ответ на вопрос «Do you allow Bring Your Own Devices (BYOD) that are allowed corp. network access?» повышает результат оценки.

В итоге инструмент простой и понятный, к результатм оценки можно придираться, но здесь ценнее сами вопросы, которые заставляют задуматься об определенных тематиках в области кибербезопасности, а не цифры.
 
Успехов в проведении ваших самооценок!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только

Какие зарубежные новостные сайты по информационной безопасности вы читаете?