Кафедра информационных систем
Какие бы правила Вы внедрили в организации для обеспечения информационной безопасности
жүктеу/скачать 65,99 Kb.
|
Какие бы правила Вы внедрили в организации для обеспечения информационной безопасностиАрхитектура корпоративной информационной безопасности впервые была официально позиционирована компанией Gartner в своем техническом документе под названием “включение безопасности в процесс корпоративной архитектуры”. Это было опубликовано 24 января 2006 года. Со времени этой публикации архитектура безопасности перешла от архитектуры, основанной на силосе, к ориентированному на предприятие решению, включающему бизнес, информацию и технологии. Он также отражает новое дополнение к семейству архитектуры Enterprise под названием "Безопасность". Бизнес-архитектуру, информационную архитектуру и технологическую архитектуру раньше называли сокращенно бит. Теперь, когда безопасность стала частью архитектурного семейства, она стала битами. Императивы изменения архитектуры безопасности теперь включают в себя такие вещи, как - Бизнес-планов; - Законодательные и правовые требования; - Технологические дорожные карты; - Отраслевые тенденции; - Тенденции риска; - Провидцы. Цели: Обеспечение структуры, согласованности и связности. Необходимо включить выравнивание бизнеса и безопасности. Определение сверху вниз, начиная с бизнес-стратегии. Убедитесь, что все модели и реализации могут быть прослежены до бизнес-стратегии, конкретных бизнес-требований и ключевых принципов. Обеспечить абстракцию таким образом, чтобы усложняющие факторы, такие как география и технологическая религия, могли быть удалены и восстановлены на различных уровнях детализации только тогда, когда это необходимо. Установить общий "язык" информационной безопасности внутри организации Методология: Практика архитектуры информационной безопасности предприятия включает в себя разработку структуры безопасности архитектуры для описания ряда "текущих", "промежуточных" и "целевых" эталонных архитектур и применение их для согласования программ изменений. Эти структуры подробно описывают организации, роли, сущности и отношения, которые существуют или должны существовать для выполнения набора бизнес-процессов. Эта структура обеспечит строгую таксономию и онтологию, которая четко определяет, какие процессы выполняет бизнес, и подробную информацию о том, как эти процессы выполняются и обрабатываются. Конечный продукт - это набор артефактов, которые с разной степенью детализации описывают, что именно и как работает бизнес и какие меры безопасности требуются. Эти артефакты часто являются графическими. Учитывая эти описания, уровень детализации которых будет варьироваться в зависимости от доступности и других практических соображений, лицам, принимающим решения, предоставляются средства для принятия обоснованных решений о том, куда инвестировать ресурсы, где перестраивать организационные цели и процессы, а также какие политики и процедуры будут поддерживать основные миссии или бизнес-функции. Сильный процесс архитектуры корпоративной информационной безопасности помогает ответить на такие основные вопросы, как: Какова степень риска информационной безопасности Организации? Поддерживает ли текущая архитектура безопасность организации и повышает ли она ее ценность? Как можно изменить архитектуру безопасности, чтобы она добавляла больше ценности оргизации? * Исходя из того, что мы знаем о том, чего организация хочет достичь в будущем, будет ли текущая архитектура безопасности поддерживать или препятствовать этому? Внедрение архитектуры корпоративной информационной безопасности обычно начинается с документирования стратегии организации и других необходимых деталей, таких как место и способ ее работы. Затем процесс сводится к документированию отдельных ключевых компетенций, бизнес-процессов и того, как организация взаимодействует сама с собой и с внешними сторонами, такими как клиенты, поставщики и государственные структуры. Документировав стратегию и структуру организации, процесс архитектуры затем переходит в дискретные компоненты информационных технологий, такие как: Организационные схемы, виды деятельности и потоки процессов работы ИТ-организации • ; Организационные циклы, периоды и сроки; Поставщики технологического оборудования, программного обеспечения и услуг; Инвентаризация и диаграммы приложений и программного обеспечения; Интерфейсы между приложениями - то есть: события, сообщения и потоки данных; Интранет, Экстранет, Интернет, электронная коммерция, ЭОД-связи со сторонами внутри и за пределами организации; Классификации данных, базы данных и вспомогательные модели данных; Оборудование, платформы, хостинг: серверы, сетевые компоненты и устройства безопасности и места их хранения; Локальные и глобальные сети, схемы подключения к интернету. Там, где это возможно, все вышеперечисленное должно быть непосредственно связано со стратегией, целями и операциями организации. Архитектура информационной безопасности предприятия будет документировать текущее состояние технических компонентов безопасности, перечисленных выше, а также желаемое будущее состояние идеального мира (архитектура ссылок) и, наконец," целевое " будущее состояние, которое является результатом инженерных компромиссов и компромиссов. идеал. По сути, результатом является вложенный и взаимосвязанный набор моделей, обычно управляемых и поддерживаемых специализированным программным обеспечением, доступным на рынке. Такое исчерпывающее отображение ИТ-зависимостей имеет заметные совпадения как с метаданными в общем смысле ИТ, так и с концепцией ITIL базы данных управления конфигурациями. Поддержание точности таких данных может быть серьезной проблемой. Вместе с моделями и диаграммами идет набор лучших практик, направленных на обеспечение адаптивности, масштабируемости, управляемости и т. д. Эти лучшие практики системной инженерии не являются уникальными для архитектуры информационной безопасности предприятия, но тем не менее имеют важное значение для ее успеха. Они включают в себя такие вещи, как компонентизация, асинхронная связь между основными компонентами, стандартизация ключевых идентификаторов и т. д. Успешное применение архитектуры информационной безопасности предприятия требует соответствующего позиционирования в организации. В этой связи часто используется аналогия с градостроительством, и она носит конструктивный характер. Промежуточным результатом архитектурного процесса является всесторонняя инвентаризация стратегии бизнес-безопасности, процессов бизнес-безопасности, организационных схем, технических описей безопасности, системных и интерфейсных диаграмм, сетевых топологий и явных взаимосвязей между ними. Описи и диаграммы - это всего лишь инструменты, поддерживающие принятие решений. Но этого недостаточно. Это должен быть живой процесс. Организация должна разработать и внедрить процесс, обеспечивающий непрерывное движение от текущего состояния к будущему. Будущее состояние, как правило, представляет собой комбинацию одного или нескольких состояний. Устранение пробелов, существующих между текущей стратегией организации и способностью аспектов ИТ-безопасности поддерживать ее.; Устранение пробелов, существующих между желаемой будущей стратегией организации и способностью аспектов безопасности поддерживать ее; Необходимые обновления и замены, которые должны быть внесены в архитектуру ИТ-безопасности на основе жизнеспособности поставщиков, возраста и производительности аппаратного и программного обеспечения, проблем с производительностью, известных или ожидаемых нормативных требований и других проблем, явно не обусловленных функциональным управлением организации • ; На регулярной основе текущее состояние и будущее состояние пересматриваются с учетом эволюции архитектуры, изменений в организационной стратегии и чисто внешних факторов, таких как изменения в технологии и требованиях клиентов/поставщиков/правительства, а также изменения как внутренних, так и внешних ландшафтов угроз с течением времени. Фреймворки архитектуры корпоративной информационной безопасности - это всего лишь подмножество фреймворков корпоративной архитектуры. Если бы нам пришлось упростить концептуальную абстракцию архитектуры корпоративной информационной безопасности в рамках общей структуры, то изображение справа было бы приемлемо в качестве структуры концептуальной архитектуры безопасности высокого уровня. Другими фреймворками открытой корпоративной архитектуры являются: Структура и методология SABSA; Архитектурная структура Министерства обороны США (DoD) (DoDAF); Extended Enterprise Architecture Framework (E2AF) отинститутапредпринимательства; Развитие Архитектуры; Федеральная корпоративная архитектура правительства Соединенных Штатов (FEA); Интегрированная архитектура Capgemini; Архитектурная структура Министерства обороны Великобритании (MOD) (MODAF); Структура корпоративной архитектуры NIH; Открытая Архитектура Безопасности; Архитектурная структура предприятия по обеспечению информационной безопасности (IAEAF); Сервис-ориентированная структура моделирования (SOMF); Платформа архитектуры открытых групп (TOGAF); Фреймворк Захмана; Корпоративная Кибербезопасность (Книга). Архитектура информационной безопасности предприятия является ключевым компонентом процесса управления технологиями информационной безопасности в любой организации значительного размера. Все больше и больше компаний внедряют формальный процесс архитектуры корпоративной безопасности для поддержки управления и управления ИТ. Однако, как отмечалось во вступительном абзаце этой статьи, он идеально относится более широко к практике оптимизации бизнеса, поскольку он также касается архитектуры безопасности бизнеса, управления производительностью и архитектуры безопасности процессов. Архитектура корпоративной информационной безопасности также связана с управлением портфелем ИТ-безопасности и метаданными в корпоративном ИТ-смысле. В ходе нашего анализа мы выяснили, что частичные методы могут быть в основном разделены на категории: - управление политиками безопасности и конфигурациями; - безопасность корпоративных услуг; - управление ролями безопасности и контроль доступа; - оценка безопасности и разработка требований. Однако по причинам, упомянутым ниже, основное внимание в этой статье уделяется целостным структурам. Эксплицируются наиболее важные целостные фреймворки, включая Gartner, SABSA, RiseFramework, AGM-модель и интеллектуальную сервис-ориентированную EISA. Наиболее известным фреймворком является Gartner, который первым определил термин EISA в работе [4]. Gartner рассматривает совместимость EISA с программой EA и настаивает на сотрудничестве между ними [3]. Следующая видная структура-это SABSA [5] и [6]. Она сделала самую выдающуюся попытку в области целостного EISA. Это многоуровневая архитектура, сопровождаемая методологией реализации. Подъем-это еще одна важная основа. Это основанный на угрозах и управлении рисками метод, который был внедрен для управления информационной безопасностью на предприятии. Модель управления безопасностью SOAE на основе AGM была создана с использованием двух важных стандартов информационной безопасности, а именно ISO/IEC 17799 и SOGP в модели гибкого управления. Интеллектуальная сервис-ориентированная EISA [2]-это многоуровневая интеллектуальная сервис-ориентированная архитектура для систематического и интеллектуального управления деятельностью EISA. Кроме того, ISO27002 был использован для выбора услуг информационной безопасности и осуществления управления рисками. Интероперабельность-это основное внимание в следующем разделе. Из пяти аспектов интероперабельности мы выбрали три наиболее актуальных. Эти три аспекта-технический, организационный и семантический. Поскольку интероперабельность-это широкое понятие, мы ограничимся обсуждением целостных структур и моделей. В этой связи мы оцениваем эти подходы с точки зрения упомянутых аспектов интероперабельности. Наконец, результаты сравнения представлены в последнем разделе. Было предпринято много усилий для внедрения архитектурных фреймворков или эталонных моделей корпоративной информационной безопасности. Различие в масштабах и целях этих подходов, а также отсутствие обзоров и дискуссий затрудняют анализ и оценку этих подходов. Упомянутая проблема побудила нас классифицировать эти модели и фреймворки. Мы разработали два аспекта этой классификации. Эти аспекты-уровень абстракции (целостный или частичный) и архитектурная точка зрения (управленческая или техническая). Как уже говорилось, архитектурная точка зрения (управленческая или техническая) выходит за рамки данной статьи. Соответственно, мы рассматривали доступные методы только с уровня абстракции (целостный VS. частичный) аспект. 1.1. Целостный и Частичные подходы В прошлом информационная безопасность рассматривалась как незначительная и второстепенная проблема; угрозы создавали низкие риски для информации предприятия. Таким образом, интеграция частичных решений безопасности представлялась достаточной для борьбы с указанными угрозами и установления информационной безопасности на всем предприятии. Все более широкое использование ИКТ предприятиями привело к широким побочным эффектам и появлению новых проблем, решение которых не было найдено в интеграции частичных подходов. Решение этих новых проблем, безусловно, послужило стимулом для развития подходов с нисходящими перспективами, которые изучают проблемы с более высокого уровня абстракции. В дополнение к упомянутому стимулу три фактора еще более ускорили развитие целостных подходов: 1-разделение инициатив стратегического планирования и решений по обеспечению безопасности решения и мероприятия, которые привели к несовместимости при применении частичных решений по обеспечению безопасности. 2 - функциональное перекрытие между частичными решениями безопасности, что привело к снижению производительности. 3-неполный охват информационной безопасности на предприятии. Ожидается, что корпоративная информационная безопасность будет соответствовать новым требованиям и реагировать на новые угрозы и опасности. Это подчеркивает необходимость рекурсивных решений, состоящих из последовательных фаз. Никакие частичные подходы не поддерживают измерение времени. Однако несколько целостных подходов поддерживают это измерение. жүктеу/скачать 65,99 Kb. Достарыңызбен бөлісу:
|