Архитектура информационной безопасности предприятия (EISA) - это часть архитектуры предприятия, ориентированная на информационную безопасность всего предприятия. Название подразумевает разницу, которой может не быть между малым / средним бизнесом и более крупными организациями.
Обзор
Архитектура информационной безопасности предприятия (EISA) - это практика применения комплексного и строгого метода описания текущей и / или будущей структуры и поведения процессов безопасности, систем информационной безопасности, персонала и подразделений организации таким образом, чтобы они согласовывались с основные цели и стратегическое направление организации. Несмотря на то, что он часто ассоциируется строго с технологией информационной безопасности , он в более широком смысле относится к практике безопасности при оптимизации бизнеса, поскольку он также касается архитектуры безопасности бизнеса, управления производительностью и архитектуры процессов безопасности.
Архитектура корпоративной информационной безопасности становится обычной практикой в финансовых учреждениях по всему миру . Основная цель создания архитектуры информационной безопасности предприятия - обеспечить согласованность бизнес-стратегии и ИТ-безопасности. Таким образом, архитектура информационной безопасности предприятия позволяет отслеживать от бизнес-стратегии до базовой технологии.
Темы об архитектуре информационной безопасности предприятия
Позиционирование
Архитектура корпоративной информационной безопасности была впервые официально позиционирована Gartner в их техническом документе под названием « Включение безопасности в процесс корпоративной архитектуры ». [1] Это было опубликовано 24 января 2006 г. Со времени публикации этой публикации архитектура безопасности перешла от изолированной архитектуры к корпоративному решению, объединяющему бизнес, информацию и технологии . На рисунке ниже представлено одномерное представление архитектуры предприятия как сервис-ориентированной архитектуры . Он также отражает новое дополнение к семейству корпоративной архитектуры под названием «Безопасность». Бизнес-архитектура, информационная архитектура и технологическая архитектура раньше для краткости назывались BIT. Теперь, когда безопасность стала частью архитектурного семейства, она превратилась в BITS.
Требования к изменению архитектуры безопасности теперь включают такие вещи, как
- Дорожные карты бизнеса
- Законодательные и правовые требования
- Дорожные карты технологий
- Отраслевые тенденции
- Тенденции рисков
- Провидцы
Цели
- Обеспечьте структуру, согласованность и сплоченность.
- Должен обеспечивать согласование между бизнесом и безопасностью.
- Определенное начало сверху вниз с бизнес-стратегией.
- Убедитесь, что все модели и реализации можно проследить до бизнес-стратегии, конкретных бизнес-требований и ключевых принципов.
- Обеспечьте абстракцию, чтобы усложняющие факторы, такие как география и технологическая религия, могли быть удалены и восстановлены на разных уровнях детализации только при необходимости.
- Установите общий "язык" информационной безопасности в организации.
Методология
Практика архитектуры информационной безопасности предприятия включает разработку структуры безопасности архитектуры для описания серии «текущих», «промежуточных» и «целевых» эталонных архитектур и их применение для согласования программ изменений. Эти структуры подробно описывают организации, роли, сущности и отношения, которые существуют или должны существовать для выполнения набора бизнес-процессов. Эта структура предоставит строгую таксономию и онтологию, которые четко определяют, какие процессы выполняет бизнес, и подробную информацию о том, как эти процессы выполняются и защищаются. Конечный продукт - это набор артефактов, которые с разной степенью детализации точно описывают, что и как работает бизнес и какие меры безопасности требуются. Эти артефакты часто графические.
С учетом этих описаний, уровни детализации которых будут варьироваться в зависимости от доступности и других практических соображений, лицам, принимающим решения, предоставляются средства для принятия обоснованных решений о том, куда инвестировать ресурсы, где изменить цели и процессы организации и какие политики и процедуры будут поддерживать основные миссии или бизнес-функции.
Надежный процесс архитектуры информационной безопасности предприятия помогает ответить на такие основные вопросы, как:
- Какова позиция организации по рискам информационной безопасности?
- Поддерживает ли текущая архитектура безопасность организации и повышает ли она ее?
- Как можно изменить архитектуру безопасности, чтобы она приносила больше пользы организации?
- Исходя из того, что мы знаем о том, чего организация хочет достичь в будущем, будет ли текущая архитектура безопасности поддерживать или препятствовать этому?
Внедрение архитектуры информационной безопасности предприятия обычно начинается с документирования стратегии организации и других необходимых деталей, например, где и как она работает. Затем процесс каскадно сводится к документированию отдельных основных компетенций, бизнес-процессов и того, как организация взаимодействует сама с собой и с внешними сторонами, такими как клиенты, поставщики и государственные учреждения.
После документирования стратегии и структуры организации процесс архитектуры затем переходит к дискретным компонентам информационных технологий, таким как:
- Организационные схемы, виды деятельности и потоки процессов, отражающие работу ИТ-организации.
- Организационные циклы, периоды и сроки
- Поставщики технологического оборудования, программного обеспечения и услуг
- Инвентаризация приложений и программного обеспечения и диаграммы
- Интерфейсы между приложениями - то есть: события, сообщения и потоки данных
- Интранет, экстранет, Интернет, электронная коммерция, EDI связи со сторонами внутри и за пределами организации
- Классификации данных, базы данных и вспомогательные модели данных
- Оборудование, платформы, хостинг: серверы, сетевые компоненты и устройства безопасности и где они хранятся
- Локальные и глобальные сети, схемы подключения к Интернету
По возможности все вышеперечисленное должно быть четко связано со стратегией, целями и операциями организации . Архитектура информационной безопасности предприятия будет документировать текущее состояние технических компонентов безопасности, перечисленных выше, а также желаемое будущее идеального мира (эталонная архитектура) и, наконец, «целевое» будущее состояние, которое является результатом инженерных компромиссов и компромиссов по сравнению с . идеал. По сути, результатом является вложенный и взаимосвязанный набор моделей, обычно управляемых и поддерживаемых специализированным программным обеспечением, доступным на рынке.
Такое исчерпывающее сопоставление ИТ- зависимостей заметно пересекается как с метаданными в общем смысле ИТ, так и с концепцией ITIL базы данных управления конфигурациями . Поддержание точности таких данных может быть серьезной проблемой.
Наряду с моделями и диаграммами идет набор передовых практик, направленных на обеспечение адаптируемости, масштабируемости , управляемости и т. Д. Эти передовые методы системного проектирования не являются уникальными для архитектуры информационной безопасности предприятия, но, тем не менее, необходимы для ее успеха. Они включают в себя такие вещи, как разбиение на компоненты, асинхронное взаимодействие между основными компонентами, стандартизацию ключевых идентификаторов и так далее.
Успешное применение корпоративной архитектуры информационной безопасности требует соответствующего позиционирования в организации. В этой связи часто используют аналогию с градостроительством, и она поучительна.
Промежуточным результатом архитектурного процесса является исчерпывающий перечень стратегии безопасности бизнеса, процессов безопасности бизнеса, организационных диаграмм , технических описаний безопасности, диаграмм систем и интерфейсов, топологий сети и явных взаимосвязей между ними. Описи и диаграммы - это просто инструменты, поддерживающие принятие решений. Но этого недостаточно. Это должен быть живой процесс.
Организация должна разработать и внедрить процесс, обеспечивающий непрерывный переход от текущего состояния к будущему. Будущее состояние обычно представляет собой комбинацию одного или нескольких
- Устранение пробелов между текущей стратегией организации и способностью компонентов безопасности ИТ поддерживать ее.
- Устранение пробелов между желаемой будущей стратегией организации и способностью компонентов безопасности поддерживать ее.
- Необходимые обновления и замены, которые должны быть выполнены в архитектуре безопасности ИТ, в зависимости от жизнеспособности поставщика, возраста и производительности оборудования и программного обеспечения, проблем с мощностью, известных или ожидаемых нормативных требований и других проблем, которые явно не решаются функциональным менеджментом организации.
- На регулярной основе текущее состояние и будущее состояние переопределяются с учетом эволюции архитектуры, изменений в стратегии организации и чисто внешних факторов, таких как изменения в технологии и требованиях клиентов / поставщиков / правительств, а также изменения как внутренних, так и внешних. ландшафты угроз с течением времени.
Фреймворк архитектуры безопасности высокого уровня
Структуры архитектуры информационной безопасности предприятия - это лишь подмножество структур архитектуры предприятия. Если бы нам пришлось упростить концептуальную абстракцию архитектуры информационной безопасности предприятия в рамках общей структуры, изображение справа было бы приемлемым в качестве структуры концептуальной архитектуры безопасности высокого уровня.
Другими фреймворками открытой архитектуры предприятия являются:
- Структура и методология SABSA
- Структура архитектуры Министерства обороны США (DoDAF)
- Расширенная структура архитектуры предприятия (E2AF) от Института разработок архитектуры предприятия .
- Федеральная архитектура предприятия правительства США (FEA)
- Интегрированная архитектура Capgemini [2]
- Структура архитектуры Министерства обороны Великобритании (MOD) (MODAF)
- Структура архитектуры предприятия NIH [3]
- Открытая архитектура безопасности [4]
- Архитектурная структура предприятия по обеспечению информации (IAEAF)
- Сервисно-ориентированная структура моделирования (SOMF)
- Архитектура Open Group Framework (TOGAF)
- Фреймворк Захмана
- Кибербезопасность предприятия (Книга)
Отношение к другим ИТ-дисциплинам
Архитектура информационной безопасности предприятия - ключевой компонент процесса управления технологиями информационной безопасности в любой организации значительного размера. Все больше и больше компаний [ необходима цитата ] внедряют формальный процесс архитектуры корпоративной безопасности для поддержки руководства и управления ИТ.
Однако, как отмечалось в первом абзаце этой статьи, в идеале он в более широком смысле относится к практике оптимизации бизнеса, поскольку он также касается архитектуры безопасности бизнеса, управления производительностью и архитектуры безопасности процессов. Архитектура корпоративной информационной безопасности также связана с управлением портфелем ИТ-безопасности и метаданными в корпоративном ИТ-смысле.
Смотрите также
- Архитектура предприятия
- Планирование архитектуры предприятия
- Информационная безопасность
- Информационное обеспечение
Рекомендации
- ^ «Включение безопасности в процесс архитектуры предприятия» . www.gartner.com . Проверено 30 августа 2015 года .
- ^ Интегрированная архитектура Capgemini в рамках архивация 23 июня 2006, в Wayback Machine
- ^ «Архитектура предприятия» . enterpriseearchitecture.nih.gov. Архивировано из оригинального 19 июня 2013 года . Проверено 30 августа 2015 года .
- ^ «Открытая архитектура безопасности» . www.opensecurityarchitecture.org . Проверено 30 августа 2015 года .
дальнейшее чтение
- Карбоне, Дж. А. (2004). Инструментарий ИТ-архитектуры. Серия корпоративных вычислений. Река Аппер Сэдл, штат Нью-Джерси, Prentice Hall PTR.
- Кук, Массачусетс (1996). Создание корпоративных информационных архитектур: реинжиниринг информационных систем. Профессиональные книги Hewlett-Packard. Река Аппер Сэдл, штат Нью-Джерси, Прентис-Холл.
- Фаулер, М. (2003). Паттерны архитектуры корпоративных приложений. Фирменная серия Эддисона-Уэсли. Бостон, Эддисон-Уэсли.
- Интеграция SABSA с TOGAF .
- Р. Грут, М. Смитс и Х. Койперс (2005). « Метод перестройки портфелей информационных систем в крупных организациях », Труды 38-й ежегодной Гавайской международной конференции по системным наукам (HICSS'05). Трек 8, стр. 223а. IEEE .
- Стивен Спевак и С. К. Хилл (1993). Планирование архитектуры предприятия: разработка схемы данных, приложений и технологий. Бостон, паб QED. Группа.
- Вуди, Аарон (2013). Безопасность предприятия: подход к обеспечению безопасности предприятия, ориентированный на данные . Бирмингем, Великобритания. Packt Publishing Ltd.