Архитектура прикладной безопасности бизнеса Sherwood - Sherwood Applied Business Security Architecture
 | эта статья слишком полагается на использованная литература к основные источники. (апрель 2013) (Узнайте, как и когда удалить этот шаблон сообщения) |
 | эта статья написано как личное размышление, личное эссе или аргументированное эссе который излагает личные чувства редактора Википедии или представляет оригинальный аргумент по теме. (Январь 2011 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
САБСА (Архитектура прикладной безопасности бизнеса Sherwood) является основой и методологией для предприятия архитектура безопасности и управление услугами. Он был разработан независимо от Фреймворк Захмана, но имеет аналогичную структуру.
SABSA - это модель и методология разработки риск-ориентированных архитектуры информационной безопасности предприятия и для предоставления решений инфраструктуры безопасности[модное слово ] которые поддерживают важные бизнес-инициативы. Основная характеристика модели SABSA состоит в том, что все должно быть выведено из анализа бизнес-требований к безопасности, особенно тех, в которых безопасность выполняет вспомогательную функцию, с помощью которой можно развивать и использовать новые бизнес-возможности.
Процесс анализирует бизнес-требования с самого начала и создает цепочку прослеживаемость посредством стратегии и концепции, проектирования, реализации и текущих этапов «управления и измерения» жизненного цикла, чтобы гарантировать сохранение бизнес-мандата. Рамочные инструменты, созданные на основе практического опыта, дополнительно поддерживают всю методологию.
Модель многоуровневая, причем верхним уровнем является этап определения бизнес-требований. На каждом нижнем уровне разрабатывается новый уровень абстракции и детализации, проходящий через определение концептуальной архитектуры, архитектуры логических сервисов, архитектуры физической инфраструктуры и, наконец, на самом нижнем уровне выбор технологий и продуктов (компонентная архитектура).
Сама модель SABSA носит общий характер и может быть отправной точкой для любой организации, но, пройдя через процесс анализа и принятия решений, подразумеваемых ее структурой, она становится специфичной для предприятия и, наконец, в значительной степени адаптирована к уникальной бизнес-модели. . В действительности она становится архитектурой безопасности предприятия и играет центральную роль в успехе стратегической программы управления информационной безопасностью в организации.
SABSA - это частный пример методологии, которую можно использовать как для ЭТО (информационные технологии) и OT (операционные технологии) среды.
Матрица SABSA для разработки архитектуры безопасности
| Активы (Что) | Мотивация (почему) | Процесс (Как) | Люди, которые) | Расположение (где) | Время (когда) | |
|---|---|---|---|---|---|---|
| Контекстуальный | Бизнес | Модель бизнес-риска | Модель бизнес-процесса | Организация бизнеса и отношения | География бизнеса | Зависимости рабочего времени |
| Концептуальный | Профиль бизнес-атрибутов | Цели контроля | Стратегии безопасности и архитектурные слои | Модель объекта безопасности и структура доверия | Модель домена безопасности | Срок службы и сроки, связанные с безопасностью |
| Логический | Информационная модель бизнеса | Политики безопасности | Охранные услуги | Схема объекта и профили привилегий | Определения и ассоциации домена безопасности | Цикл обработки безопасности |
| Физический | Модель бизнес-данных | Правила, практика и процедуры безопасности | Механизмы безопасности | Пользователи, приложения и пользовательский интерфейс | Платформа и сетевая инфраструктура | Исполнение структуры управления |
| Составная часть | Подробные структуры данных | Стандарты безопасности | Продукты и инструменты безопасности | Идентификаторы, функции, действия и ACL | Процессы, узлы, адреса и протоколы | Время и последовательность шагов безопасности |
| Оперативный | Обеспечение непрерывности работы | Управление операционным риском | Управление и поддержка службы безопасности | Управление и поддержка приложений и пользователей | Безопасность сайтов и платформ | График охранных операций |
Примечание. Вышеупомянутая матрица SABSA действительна и сегодня, но она была расширена за счет комплексной матрицы управления услугами и обновлена в некоторых областях терминологии и деталей. По словам Дэвида Линаса, автора SABSA, «Матрица SABSA и Матрица управления услугами SABSA не обновлялись с конца 90-х годов. Мы переработали их, чтобы внести улучшения, запрошенные вашими отзывами на протяжении многих лет. Мы принципиально не изменили структуру или принципы матриц (очень мало элементы изменили положение), но сосредоточились на обновлении и согласованности терминологии ". Новые версии могут быть загружены (вместе с редакцией Белой книги SABSA 2009 г. и другими важными документами, такими как Дорожная карта сертификации SABSA) на сайте Веб-сайт членов SABSA.