 | В этой статье слишком много ссылок на первоисточники . ( Апрель 2013 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения ) |
 | Эта статья написана как личное размышление, личное эссе или аргументированное эссе , в котором излагаются личные чувства редактора Википедии или представлены оригинальные аргументы по теме. ( Январь 2011 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения ) |
SABSA ( Sherwood Applied Business Security Architecture ) - это структура и методология для архитектуры безопасности предприятия и управления услугами . Он был разработан независимо от Zachman Framework , но имеет аналогичную структуру.
SABSA - это модель и методология для разработки архитектур информационной безопасности предприятия, ориентированных на риски, и для предоставления решений инфраструктуры безопасности [ модное слово ], которые поддерживают важные бизнес-инициативы. Основная характеристика модели SABSA состоит в том, что все должно быть выведено из анализа бизнес-требований к безопасности, особенно тех, в которых безопасность выполняет вспомогательную функцию, с помощью которой могут развиваться и использоваться новые бизнес-возможности.
Процесс анализирует бизнес-требования с самого начала и создает цепочку прослеживаемости через стратегию и концепцию, дизайн, реализацию и текущие фазы «управления и измерения» жизненного цикла, чтобы гарантировать сохранение бизнес-мандата. Рамочные инструменты, созданные на основе практического опыта, дополнительно поддерживают всю методологию.
Модель многоуровневая, причем верхним уровнем является этап определения бизнес-требований. На каждом нижнем уровне разрабатывается новый уровень абстракции и детализации, проходящий через определение концептуальной архитектуры, архитектуры логических служб, архитектуры физической инфраструктуры и, наконец, на самом нижнем уровне выбор технологий и продуктов (компонентная архитектура).
Сама модель SABSA является общей и может быть отправной точкой для любой организации, но, пройдя через процесс анализа и принятия решений, подразумеваемых ее структурой, она становится специфичной для предприятия и, наконец, в значительной степени адаптирована к уникальной бизнес-модели. . В действительности она становится архитектурой безопасности предприятия и играет центральную роль в успехе стратегической программы управления информационной безопасностью в организации.
SABSA - это частный пример методологии, которую можно использовать как в ИТ (информационные технологии), так и в среде OT (операционные технологии).
Матрица SABSA для разработки архитектуры безопасности [ править ]
| Активы (Что) | Мотивация (почему) | Процесс (Как) | Люди, которые) | Расположение (где) | Время (когда) | |
|---|---|---|---|---|---|---|
| Контекстуальный | Бизнес | Модель бизнес-риска | Модель бизнес-процесса | Организация бизнеса и отношения | География бизнеса | Зависимости рабочего времени |
| Концептуальный | Профиль бизнес-атрибутов | Цели контроля | Стратегии безопасности и архитектурные слои | Модель объекта безопасности и структура доверия | Модель домена безопасности | Срок службы и сроки, связанные с безопасностью |
| Логический | Информационная модель бизнеса | Политики безопасности | Охранные услуги | Схема объекта и профили привилегий | Определения и ассоциации домена безопасности | Цикл обработки безопасности |
| Физический | Модель бизнес-данных | Правила, практика и процедуры безопасности | Механизмы безопасности | Пользователи, приложения и пользовательский интерфейс | Платформа и сетевая инфраструктура | Исполнение структуры управления |
| Составная часть | Подробные структуры данных | Стандарты безопасности | Продукты и инструменты безопасности | Личности, функции, действия и ACL | Процессы, узлы, адреса и протоколы | Время и последовательность шагов безопасности |
| Оперативный | Обеспечение непрерывности работы | Управление операционным риском | Управление и поддержка службы безопасности | Управление и поддержка приложений и пользователей | Безопасность сайтов и платформ | График охранных операций |
Примечание. Выше приведена исходная матрица SABSA, которая действует и сегодня, но была расширена за счет комплексной матрицы управления услугами и обновлена в некоторых деталях и областях терминологии. По словам Дэвида Линаса, автора SABSA, «Матрица SABSA и Матрица управления услугами SABSA не обновлялись с конца 90-х годов. Мы переработали их, чтобы внести улучшения, о которых вы просили за последние годы. Мы принципиально не изменились. структура или принципы матриц (очень немногие элементы изменили положение), но основное внимание уделяется обновлению терминологии и согласованности ". Новые версии могут быть загружены (вместе с редакцией «Белой книги SABSA» 2009 г. и другими важными документами, такими как «Дорожная карта сертификации SABSA») на веб-сайте участников SABSA..
Ссылки [ править ]
Внешние ссылки [ править ]
