Архитектура информационной безопасности предприятия - Enterprise information security architecture

Эта статья поднимает множество проблем. Пожалуйста помоги Улучши это или обсудите эти вопросы на страница обсуждения. (Узнайте, как и когда удалить эти сообщения-шаблоны) Эта статья может содержать чрезмерное или неправильное использование несвободный материал. Пожалуйста, проверьте использование платного контента в соответствии с политика и руководящие указания и исправить любые нарушения. В страница обсуждения могут быть подробности. (Апрель 2015 г.) (Узнайте, как и когда удалить этот шаблон сообщения) Тема этой статьи может не соответствовать Википедии общее руководство по известности. Пожалуйста, помогите установить известность, указав надежные вторичные источники которые независимый темы и обеспечить ее подробное освещение, помимо банального упоминания. Если известность не может быть установлена, статья, вероятно, будет слился, перенаправлен, или же удалено. Найдите источники: «Архитектура информационной безопасности предприятия»  – Новости  · газеты  · книги  · ученый  · JSTOR (Апрель 2015 г.) (Узнайте, как и когда удалить этот шаблон сообщения) Некоторые из этой статьи перечисленные источники может и не быть надежный. Пожалуйста, помогите этой статье поиском более надежных источников. Ненадежные цитаты могут быть оспорены или удалены. (Апрель 2015 г.) (Узнайте, как и когда удалить этот шаблон сообщения) Эта статья нужны дополнительные цитаты для проверка. Пожалуйста помоги улучшить эту статью к добавление цитат в надежные источники. Материал, не полученный от источника, может быть оспорен и удален. Найдите источники: «Архитектура информационной безопасности предприятия»  – Новости  · газеты  · книги  · ученый  · JSTOR (Август 2015 г.) (Узнайте, как и когда удалить этот шаблон сообщения) (Узнайте, как и когда удалить этот шаблон сообщения)

Архитектура информационной безопасности предприятия (EISA) является частью архитектура предприятия сосредоточение внимания на информационной безопасности всего предприятия. Название подразумевает разницу, которой может не быть между малым / средним бизнесом и более крупными организациями.

Обзор

Предприятие информационная безопасность архитектура (EISA) - это практика применения комплексного и строгого метода описания текущей и / или будущей структуры и поведения для процессов безопасности, систем информационной безопасности, персонала и подразделений организации, чтобы они соответствовали ядру организации. цели и стратегическое направление. Хотя часто ассоциируется строго с информационная безопасность технологии, это относится в более широком смысле к практике безопасности бизнеса оптимизация в нем также рассматривается архитектура безопасности бизнеса, управление производительностью и архитектура процессов безопасности.

Архитектура информационной безопасности предприятия становится распространенной практикой в финансовые учреждения вокруг глобус. Основная цель создания архитектуры информационной безопасности предприятия - обеспечить согласованность бизнес-стратегии и ИТ-безопасности. Таким образом, архитектура информационной безопасности предприятия позволяет прослеживаемость от бизнес-стратегии до базовой технологии.

Темы об архитектуре информационной безопасности предприятия

Позиционирование

Архитектура информационной безопасности предприятия впервые была официально позиционирована Gartner в их белая бумага называется "Включение безопасности в процесс архитектуры предприятия”.^[1] Он был опубликован 24 января 2006 года. После этой публикации архитектура безопасности перешла от изолированной архитектуры к корпоративному решению, включающему бизнес, Информация и технологии. На рисунке ниже представлено одномерное представление архитектуры предприятия как Сервис-Ориентированная Архитектура. Он также отражает новое дополнение к семейству корпоративной архитектуры под названием «Безопасность». Бизнес-архитектура, информационная архитектура и технологическая архитектура раньше для краткости назывались BIT. Теперь, когда безопасность стала частью семейства архитектуры, она превратилась в BITS.

Требования к изменению архитектуры безопасности теперь включают такие вещи, как

• Дорожные карты бизнеса
• Законодательная и законный требования
• Дорожные карты технологий
• Отраслевые тенденции
• Тенденции рисков
• Провидцы

Цели

• Обеспечьте структуру, согласованность и сплоченность.
• Должен обеспечивать согласование между бизнесом и безопасностью.
• Определенное начало сверху вниз с бизнес-стратегией.
• Убедитесь, что все модели и реализации можно проследить до бизнес-стратегии, конкретных бизнес-требований и ключевых принципов.
• Обеспечьте абстракцию, чтобы усложняющие факторы, такие как география и технологическая религия, могли быть удалены и восстановлены на разных уровнях детализации только при необходимости.
• Установите общий "язык" информационной безопасности внутри организации.

Методология

Практика архитектуры информационной безопасности предприятия включает разработку структуры безопасности архитектуры для описания ряда «текущих», «промежуточных» и «целевых». эталонные архитектуры и применять их для согласования программ изменений. Эти структуры подробно описывают организации, роли, сущности и отношения, которые существуют или должны существовать для выполнения набора бизнес-процессов. Эта структура предоставит строгую таксономию и онтологию, которые четко определяют, какие процессы выполняет бизнес, и подробную информацию о том, как эти процессы выполняются и защищены. Конечный продукт - это набор артефактов, которые с разной степенью детализации точно описывают, что и как работает бизнес и какие меры безопасности требуются. Эти артефакты часто графические.

С учетом этих описаний, уровни детализации которых будут варьироваться в зависимости от доступности и других практических соображений, лицам, принимающим решения, предоставляются средства для принятия обоснованных решений о том, куда инвестировать ресурсы, где изменить цели и процессы организации, и какие политики и процедуры будут поддерживать основные миссии или бизнес-функции.

Надежный процесс архитектуры информационной безопасности предприятия помогает ответить на такие основные вопросы, как:

• Какова позиция организации по рискам информационной безопасности?
• Поддерживает ли текущая архитектура безопасность организации и повышает ли она ее?
• Как можно изменить архитектуру безопасности, чтобы она приносила больше пользы организации?
• Исходя из того, что мы знаем о том, чего организация хочет достичь в будущем, будет ли текущая архитектура безопасности поддерживать или препятствовать этому?

Внедрение архитектуры информационной безопасности предприятия обычно начинается с документирования стратегии организации и других необходимых деталей, например, где и как она работает. Затем процесс каскадно сводится к документированию отдельных основных компетенций, бизнес-процессов и того, как организация взаимодействует с собой и с внешними сторонами, такими как клиенты, поставщики и государственные учреждения.

После документирования стратегии и структуры организации процесс архитектуры затем переходит в отдельные компоненты информационных технологий, такие как:

• Организационные схемы, действия и потоки процессов, отражающие работу ИТ-организации
• Организационные циклы, периоды и сроки
• Поставщики технологического оборудования, программного обеспечения и услуг
• Инвентаризация приложений и программного обеспечения и диаграммы
• Интерфейсы между приложениями - то есть: события, сообщения и потоки данных
• Интранет, экстранет, Интернет, электронная коммерция, EDI связи со сторонами внутри и за пределами организации
• Классификации данных, базы данных и вспомогательные модели данных
• Оборудование, платформы, хостинг: серверы, сетевые компоненты и устройства безопасности и где они хранятся
• Локальные и глобальные сети, схемы подключения к Интернету

По возможности все вышеперечисленное должно быть четко связано со стратегией организации. цели, и операции. Архитектура информационной безопасности предприятия будет документировать текущее состояние технических компонентов безопасности, перечисленных выше, а также желаемое будущее состояние идеального мира (эталонная архитектура) и, наконец, «целевое» будущее состояние, которое является результатом инженерных компромиссов и компромиссов по сравнению с . идеал. По сути, результатом является вложенный и взаимосвязанный набор моделей, обычно управляемых и поддерживаемых специализированными программного обеспечения в наличии на рынке.

Такое исчерпывающее отображение ИТ зависимости имеет заметные совпадения с обоими метаданные в общем смысле ИТ, и с ITIL концепция база данных управления конфигурацией. Поддержание точность таких данных может стать серьезной проблемой.

Наряду с моделями и диаграммы представляет собой набор лучших практик, направленных на обеспечение адаптируемости, масштабируемость, управляемость и т.д. лучшие практики не являются уникальными для архитектуры информационной безопасности предприятия, но, тем не менее, необходимы для ее успеха. Они включают в себя такие вещи, как компонентность, асинхронная связь между основными компонентами, стандартизация ключевых идентификаторов и так далее.

Успешное применение корпоративной архитектуры информационной безопасности требует соответствующего позиционирования в организации. В этой связи часто приводят поучительную аналогию с градостроительством.

Промежуточным результатом архитектурного процесса является комплексная инвентаризация стратегии безопасности бизнеса, процессов безопасности бизнеса, организационные схемы, инвентаризация технической безопасности, схемы систем и интерфейсов, топологии сети и явные взаимосвязи между ними. Описи и диаграммы - это просто инструменты, поддерживающие принятие решений. Но этого недостаточно. Это должен быть живой процесс.

Организация должна разработать и внедрить процесс, обеспечивающий непрерывный переход от текущего состояния к будущему. Будущее состояние обычно представляет собой комбинацию одного или нескольких

• Устранение пробелов между текущей стратегией организации и способностью компонентов безопасности ИТ поддерживать ее.
• Устранение пробелов между желаемой будущей стратегией организации и способностью измерений безопасности поддерживать ее
• Необходимые обновления и замены, которые должны быть выполнены в архитектуре ИТ-безопасности, в зависимости от жизнеспособности поставщика, возраста и производительности оборудования и программного обеспечения, проблем с производительностью, известных или ожидаемых нормативных требований и других проблем, которые явно не решаются функциональным менеджментом организации.
• На регулярной основе текущее состояние и будущее состояние переопределяются с учетом эволюции архитектуры, изменений в стратегии организации и чисто внешних факторов, таких как изменения в технологии и требованиях клиентов / поставщиков / правительств, а также изменения как внутренних, так и внешних. ландшафты угроз с течением времени.

Каркас архитектуры безопасности высокого уровня

Структура безопасности Huxham

Структуры архитектуры информационной безопасности предприятия - это лишь подмножество структур архитектуры предприятия. Если бы нам пришлось упростить концептуальный абстракция архитектуры информационной безопасности предприятия в рамках общей структуры, изображение справа будет приемлемым в качестве концептуальной структуры архитектуры безопасности высокого уровня.

К другим фреймворкам открытой архитектуры предприятия относятся:

• Структура и методология SABSA
• Структура архитектуры Министерства обороны США (DoDAF)
• Расширенная структура архитектуры предприятия (E2AF) из Институт развития архитектуры предприятия.
• Архитектура федерального предприятия правительства США (FEA)
• Интегрированная архитектура Capgemini^[2]
• Структура архитектуры Министерства обороны Великобритании (MOD) (MODAF)
• Структура архитектуры предприятия NIH^[3]
• Открытая архитектура безопасности^[4]
• Архитектурная структура предприятия по обеспечению информации (IAEAF)
• Сервисно-ориентированное моделирование Каркас (SOMF)
• Архитектура Open Group Framework (TOGAF)
• Фреймворк Захмана
• Кибербезопасность предприятия (Книга)

Отношение к другим ИТ-дисциплинам

Архитектура информационной безопасности предприятия - ключевой компонент информационная безопасность процесс управления технологиями в любой организации значительного размера. Все больше и больше компании^{[нужна цитата ]} внедряют формальный процесс архитектуры безопасности предприятия для поддержки управление и управление ИТ.

Однако, как отмечалось в первом абзаце этой статьи, в идеале он в более широком смысле относится к практике оптимизации бизнеса, поскольку он также касается архитектуры безопасности бизнеса, управления производительностью и архитектуры безопасности процессов. Архитектура информационной безопасности предприятия также связана с управлением портфелем ИТ-безопасности и метаданные в корпоративном ИТ-смысле.

Смотрите также

• Архитектура предприятия
• Планирование архитектуры предприятия
• Информационная безопасность
• Информационное обеспечение

Рекомендации

дальнейшее чтение

• Карбоне, Дж. А. (2004). Инструментарий ИТ-архитектуры. Серия корпоративных вычислений. Река Аппер Сэдл, штат Нью-Джерси, Prentice Hall PTR.
• Кук, М.А. (1996). Создание корпоративных информационных архитектур: реинжиниринг информационных систем. Профессиональные книги Hewlett-Packard. Река Аппер Сэдл, штат Нью-Джерси, Прентис-Холл.
• Фаулер, М. (2003). Паттерны архитектуры корпоративных приложений. Фирменная серия Эддисона-Уэсли. Бостон, Эддисон-Уэсли.
• Интеграция SABSA с TOGAF.
• Р. Грут, М. Смитс и Х. Койперс (2005). "Метод перестройки портфелей ИБ в крупных организациях ", Материалы 38-й ежегодной Гавайской международной конференции по системным наукам (HICSS'05). Трек 8, стр. 223а. IEEE.
• Стивен Спевак и С. С. Хилл (1993). Планирование архитектуры предприятия: разработка схемы данных, приложений и технологий. Бостон, паб QED. Группа.
• Вуди, Аарон (2013). Безопасность предприятия: подход к обеспечению безопасности предприятия, ориентированный на данные. Бирмингем, Великобритания. Packt Publishing Ltd.