Vvmebel.com

Новости с мира ПК
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Архитектура системы безопасности

Архитектура системы обеспечения информационной безопасности.

Основные положения

СОИБ является неотъемлемой частью любой сети связи, и ее архитектура не зависит от технологий, используемых при построении сети связи. СОИБ является предупредительной системой в отличие от ответной модели, осуществляющей обработку события после его происхождения. Процессы СОИБ должны работать до того как случится непредвиденный инцидент безопасности.

Архитектура СОИБ ССОП должна быть многоуровневой и включать в себя следующие функциональные структурные элементы: уровни ИБ, подсистемы ИБ, службы обеспечения ИБ различных организаций (операторов) связи, координируемые центральным органом СОИБ ССОП, который может быть образован ФОИВ, уполномоченным в области связи.

Уровни системы обеспечения информационной безопасности

Архитектура СОИБ может содержать следующие уровни ИБ, описание которых приведено в разделе 8 ГОСТ Р 52448:

— безопасность инфокоммуникационной структуры;

Оператор связи в целях обеспечения своей деятельности и достижения деловых целей может уточнять данные архитектурные компоненты, в частности, описанные уровни СОИБ могут быть объединены в три укрупненных уровня:

Подсистемы системы обеспечения информационной безопасности

Разделение СОИБ на подсистемы носит условный характер и предназначено для объединения характерных мероприятий и действий по обеспечению ИБ в единую архитектурную компоненту. В общем случае в состав СОИБ могут входить следующие функциональные подсистемы:

— аутентификации и авторизации;

— контроля доступа и защиты от НСД;

— регистрации событий ИБ и аудита;

Подсистема «аутентификации и авторизации»

Подсистема «аутентификации и авторизации» предназначается для централизованной аутентификации и авторизации доступа субъектов к программно-аппаратным средствам связи и системе управления.

Основными функциями подсистемы «аутентификации и авторизации» являются:

— предоставление обслуживающему персоналу систем и сетей связи возможности использования одной (или нескольких) учетной записи и пароля при доступе к средствам связи и серверам системы управления с использованием механизмов внешней аутентификации и авторизации;

— централизованное хранение базы данных пользователей и их авторизационной информации с использованием механизмов внешней аутентификации и авторизации.

Подсистема «аутентификации и авторизации» может быть реализована встроенными механизмами аутентификации и авторизации средств связи и информатизации и является одним из звеньев получения доступа к средствам связи, реализующему следующие логические процессы:

— идентификацию пользователя, когда определяется имя учетной записи или логин;

— аутентификацию — проверку подлинности того, что предъявитель имени учетной записи является лицом, чью учетную запись он предъявил в процессе идентификации;

— авторизацию — процесс наделения правами доступа к оборудованию.

В подсистеме «аутентификации и авторизации» допускается применение аутентификации разных уровней сложности:

а) однофакторной аутентификации с использованием:

2) пароля однократного действия;

б) двухфакторной аутентификации с использованием:

в) трехфакторной аутентификации с использованием биометрических методов.

Подсистема «контроля доступа и защиты от НСД»

Подсистема «контроля доступа и защиты от НСД» предназначена для:

— разделения передаваемого трафика пользователей и системы управления;

— обеспечения целостности маршрутной информации и информации о текущем времени;

— защиты управляющего трафика и компонентов СОИБ;

— разграничения доступа к системе управления сетью (сетями) электросвязи.

Подсистема «контроля доступа и защиты от НСД» реализуется посредством средств сегментирования сети, межсетевого экранирования, организации криптографических туннелей и антивирусного контроля.

Дата добавления: 2018-06-01 ; просмотров: 349 ;

Архитектура безопасности информационных систем

Сервисы безопасности, какими бы мощными они ни были, сами по себе не могут гарантировать надежность программно-технического уровня защиты. Только проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.

Теоретической основой решения проблемы архитектурной безопасности является следующее фундаментальное утверждение, которое мы уже приводили, рассматривая интерпретацию «Оранжевой книги» для сетевых конфигураций.

«Пусть каждый субъект (то есть процесс, действующий от имени какого-либо пользователя) заключен внутри одного компонента и может осуществлять непосредственный доступ к объектам только в пределах этого компонента. Далее пусть каждый компонент содержит свой монитор обращений, отслеживающий все локальные попытки доступа, и все мониторы проводят в жизнь согласованную политику безопасности. Пусть, наконец, коммуникационные каналы, связывающие компоненты, сохраняют конфиденциальность и целостность передаваемой информации. Тогда совокупность всех мониторов образует единый монитор обращений для всей сетевой конфигурации.»

Обратим внимание на три принципа, содержащиеся в приведенном утверждении:

  • необходимость выработки и проведения в жизнь единой политики безопасности;
  • необходимость обеспечения конфиденциальности и целостности при сетевых взаимодействиях;
  • необходимость формирования составных сервисов по содержательному принципу, чтобы каждый полученный таким образом компонент обладал полным набором защитных средств и с внешней точки зрения представлял собой единое целое (не должно быть информационных потоков, идущих к незащищенным сервисам).

Если какой-либо (составной) сервис не обладает полным набором защитных средств (состав полного набора описан выше), необходимо привлечение дополнительных сервисов, которые мы будем называть экранирующими. Экранирующие сервисы устанавливаются на путях доступа к недостаточно защищенным элементам; в принципе, один такой сервис может экранировать (защищать) сколь угодно большое число элементов.

С практической точки зрения наиболее важными являются следующие принципы архитектурной безопасности:

  • непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;
  • следование признанным стандартам, использование апробированных решений;
  • иерархическая организация ИС с небольшим числом сущностей на каждом уровне;
  • усиление самого слабого звена;
  • невозможность перехода в небезопасное состояние;
  • минимизация привилегий;
  • разделение обязанностей;
  • эшелонированность обороны;
  • разнообразие защитных средств;
  • простота и управляемость информационной системы.

Поясним смысл перечисленных принципов.

Если у злоумышленника или недовольного пользователя появится возможность миновать защитные средства, он, разумеется, так и сделает. Определенные выше экранирующие сервисы должны исключить подобную возможность.

Следование признанным стандартам и использование апробированных решений повышает надежность ИС и уменьшает вероятность попадания в тупиковую ситуацию, когда обеспечение безопасности потребует непомерно больших затрат и принципиальных модификаций.

Иерархическая организация ИС с небольшим числом сущностей на каждом уровне необходима по технологическим соображениям. При нарушении данного принципа система станет неуправляемой и, следовательно, обеспечить ее безопасность будет невозможно.

Надежность любой обороны определяется самым слабым звеном. Злоумышленник не будет бороться против силы, он предпочтет легкую победу над слабостью. (Часто самым слабым звеном оказывается не компьютер или программа, а человек, и тогда проблема обеспечения информационной безопасности приобретает нетехнический характер.)

Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост оставляют поднятым, препятствуя проходу неприятеля.

Применительно к программно-техническому уровню принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Этот принцип позволяет уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов.

Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по заказу злоумышленников. В частности, соблюдение данного принципа особенно важно, чтобы предотвратить злонамеренные или неквалифицированные действия системного администратора.

Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом и, как последний рубеж, – протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а благодаря наличию такого рубежа, как протоколирование и аудит, его действия не останутся незамеченными. Принцип разнообразия защитных средств предполагает создание различных по своему характеру оборонительных рубежей, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками.

Читать еще:  Проверка системы безопасности

Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществлять централизованное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (например, таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет сложной и плохо управляемой.

Для обеспечения высокой доступности (непрерывности функционирования) необходимо соблюдать следующие принципы архитектурной безопасности:

  • внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.);
  • наличие средств обнаружения нештатных ситуаций;
  • наличие средств реконфигурирования для восстановления, изоляции и/или замены компонентов, отказавших или подвергшихся атаке на доступность;
  • рассредоточенность сетевого управления, отсутствие единой точки отказа;
  • выделение подсетей и изоляция групп пользователей друг от друга. Данная мера, являющаяся обобщением разделения процессов на уровне операционной системы, ограничивает зону поражения при возможных нарушениях информационной безопасности.

Еще один важный архитектурный принцип – минимизация объема защитных средств, выносимых на клиентские системы. Причин тому несколько:

  • для доступа в корпоративную сеть могут использоваться потребительские устройства с ограниченной функциональностью;
  • конфигурацию клиентских систем трудно или невозможно контролировать.

К необходимому минимуму следует отнести реализацию сервисов безопасности на сетевом и транспортном уровнях и поддержку механизмов аутентификации, устойчивых к сетевым угрозам.

Компоненты архитектуры безопасности

Руководство по архитектуре безопасности детально определяет контрмеры против угроз, раскрытых при оценке рисков. Это руководство описывает компоненты архитектуры безопасности сети, рекомендует конкретные продукты безопасности и дает инструкции, как их развернуть и управлять ими. В частности, это руководство может содержать рекомендации, где следует поставить межсетевые экраны, когда использовать шифрование, где разместить веб-серверы и как организовать управление коммуникациями с бизнес-партнерами и заказчиками. Руководство по архитектуре безопасности определяет также гарантии безопасности, аудит и средства контроля.

Рассмотрим для примера некоторые компоненты архитектуры безопасности сети.

Физическая безопасность. Обеспечение физической безопасности особенно важно, когда заполнение физической области, где находятся системные компоненты, очень неоднородно. Наличие в здании компании не только своих сотрудников, но и людей из других компаний, таких как заказчики, партнеры или клиенты, является наиболее распространенной ситуацией, которая требует физической защиты компьютерной среды.

Физическая защита ресурсов и активов организации достигается с помощью аппаратных средств и размещения соответствующих компьютерных и коммуникационных средств в физически защищенных помещениях или зонах.

Без обеспечения физической безопасности будут подвергаться серьезным угрозам такие важные аспекты информационной безопасности, как конфиденциальность, доступность и целостность информации. Реализация физической защиты заключается прежде всего в определении тех компонентов компьютерной среды, которые должны быть физически защищены.

Перечень таких компонентов должен включать:

· центральные процессоры и системные блоки;

· компоненты инфраструктуры локальной сети LAN, такие как системы управления LAN, мосты, маршрутизаторы, коммутационные коммутаторы, активные порты и др.;

· системы, связанные с LAN;

Затем необходимо установить два или три типа областей с различными уровнями безопасности, такими как:

· открытые области, в которые могут допускаться все сотрудники компьютерной среды;

· контролируемые области, которые могут и должны быть закрыты, когда находятся без присмотра;

· особо контролируемые области, куда ограничен доступ даже зарегистрированным авторизованным пользователям.

Далее каждая такая область назначается одному компоненту системы или топологии системных компонентов в зависимости от степени их конфиденциальности.

Логическая безопасность характеризует уровень защиты ресурсов и активов в сети. Логическая безопасность включает средства безопасности, осуществляющие идентификацию и аутентификацию пользователей, управление доступом, межсетевое экранирование, аудит и мониторинг сети, управление удаленным доступом и т. д.

Защита ресурсов

Ресурсы (файлы, базы данных, программы, данные) могут быть разделены на две группы:

1. Ресурсы операционной системы представляют собой те объекты данных, которые связаны с системными сервисами или функциями; они включают системные программы и файлы, подсистемы и программные продукты.

Ресурсы операционной системы обычно находятся под управлением п ответственностью провайдера сервиса. Их целостность должна гарантироваться, поскольку эти данные критичны для того сервиса, который организация хочет поставлять. Ресурсы операционной системы не всегда являются ограниченными для чтения, хотя список исключений должен быть установлен и соответственно защищен. Типичным примером такого исключения является база данных, в которой хранятся пароли и идентификаторы пользователя.

2. Ресурсы пользователей представляют собой те объекты данных, которые связаны с отдельными пользователями или группами пользователей. Ресурсы пользователей должны быть защищены в соответствии с требованиями собственника данных. Для гарантии хотя бы минимального уровня безопасности рекомендуется установить по умолчанию некоторую начальную защиту этих ресурсов.

Определение административных полномочий. Некоторые из пользователей, находящихся в сети, имеют особые полномочия. Такие полномочия нужны для управления компьютерными системами и безопасностью. Эти административные полномочия можно разделить на две категории:

· полномочия системного администратора;

· полномочия администратора безопасности.

Полномочия системного администратора позволяют администратору выполнить все действия, необходимые для управления компьютерными системами. Эти полномочия могут дать возможность администратору обойти контроль безопасности, но это должно рассматриваться как злоупотребление полномочиями.

Полномочия администратора безопасности дают возможность администратору выполнять действия, необходимые для управления безопасностью. Эти полномочия позволяют администратору осуществлять изменение системных компонентов или считывать конфиденциальные данные. Однако если считывание конфиденциальных данных выполнено администратором без соответствующей потребности бизнеса, это должно рассматриваться как злоупотребление своими полномочиями.

Полномочия системного администратора и администратора безопасности являются одинаково важными для безопасности. С учетом этого необходимо выполнить следующее:

· определить для каждой системной платформы или системы управления доступом те полномочия, которые могут быть признаны в указанных категориях;

· назначить полномочия администраторам в соответствии с индивидуальной ответственностью;

· периодически проверять назначение идентификаторов авторизованным пользователям.

Архитектура безопасности системы

При построении системы защиты информации сложились два подхода: фрагментарный и комплексный. В первом случае мероприятия по защите направляются на противодействие вполне определенным угрозам при строго определенных условиях, например, обязательная проверка носителей антивирусными программами, применение криптографических систем шифрования и т.д. При комплексном подходе различные меры противодействия угрозам объединяются, формируя так называемую архитектуру безопасности систем.

Ныне существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях:

· перехват электронных излучений;

· принудительно электромагнитное облучение линий связи;

· применение «подслушивающих» устройств;

Читать еще:  Реализация политики безопасности

· перехват акустических волновых излучений;

· хищение носителей информации и производственных отходов систем обработки данных;

· считывание информации из массивов других пользователей;

· чтение остаточной информации в аппаратных средствах;

· копирование файлов информации с преодолением мер защиты;

· модификация программного обеспечения;

· использование недостатков ОС и прикладных программ;

· незаконное подключение к аппаратуре и линиям связи;

· злоумышленный вывод из строя механизмов защиты;

· маскировка под зарегистрированного пользователя и присвоение себе его полномочий;

· введение новых пользователей;

· внедрение компьютерных вирусов.

Надежная система защиты не должна допускать, чтобы:

q злоумышленник мог снять с себя ответственность за формирование ложной или разрушающей информации;

q были отказы от фактов получения информации, которая фактически была получена, но в другое время;

q подтверждались утверждения о посылке кому-то информации, которая на самом деле не посылалась;

q в передаваемой информации содержалась вредоносная информация;

q в число пользователей попадали без регистрации новые лица или чтобы не удалялись и не модифицировались действующие лица;

q отдельные пользователи незаконно расширяли свои полномочия по доступу к информации и процессам ее обработки;

q создавались помехи обмену сообщениями между пользователями с целью нарушения и искажения передаваемой информации.

Учитывая сложность решения проблемы безопасности информации, рекомендуется разрабатывать архитектуру безопасности в несколько этапов:

q анализ возможных угроз;

q разработка системы защиты;

q реализация системы защиты;

q сопровождение системы защиты.

Отметим что на конкретном объекте и в конкретной системе обработки данных из всего многообразия угроз и возможных воздействий следует в первую очередь выбрать наиболее

2.6. Комплексы защитных мер

Разработка системы информационной безопасности предусматривает использование различных комплексов мер и мероприятий организационно – административного, организационно-технического, программно-аппаратного, технологического, правового, морально-этического характера и др.

Организационно – административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам, к регламентации деятельности персонала и др. Их цель –затруднить или исключить возможность реализации угроз безопасности. Наиболее типичные организационно – административные меры:

Ø создание контрольно-пропускного режима на территории, где располагаются ЭВМ и другие средства обработки информации;

Ø изготовление и выдача специальных пропусков;

Ø допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;

Ø хранение носителей информации, представляющих определенную тайну, в местах, недоступных для посторонних лиц;

Ø организация защиты от установки прослушивающей аппаратуры в помещениях, связанных с отработкой информации;

Ø организация учета использования и уничтожения носителей с конфиденциальной информацией;

Ø разработка должностных инструкций и правил по работе с компьютерными средствами и информационными массивами;

Ø разграничение доступа к информационным ресурсам.

Технические средства защиты призваны создать физически замкнутую среду вокруг объекта и элементов защиты. Для этого возможны такие мероприятия:

Ø установка средств физической преграды помещений, где ведется обработка информации (кодовые замки; охранная сигнализация – звуковая, световая, визуальная без записи и с записью на видеопленку);

Ø ограничение электромагнитного излучения путем экранирования помещений;

Ø электропитание оборудования от автономного источника питания или от общей электросети через сетевые фильтры;

Ø применение во избежание несанкционированного дистанционного съема информации жидкокристаллических или плазменных дисплеев; принтеров с низким электромагнитным и акустическим излучением;

Ø использование автономных средств защиты аппаратуры в виде кожухов, крышек, дверец, шторок с установкой средств контроля вскрытия аппаратуры.

Программные средства и методы защиты активнее и шире других применяются для защиты информации в ПК и компьютерных сетях, реализуя такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, пользователей; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации; идентификация и аутентификация пользователей и процессов и др.

Технологические средства защиты информации – это комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных. Среди них:

· создание архивных копий носителей;

· автоматическое сохранение файлов во внешней памяти компьютера;

· регистрация пользователей компьютерных средств в журналах ;

· автоматическая регистрация доступа пользователей к ресурсам;

· разработка специальных инструкций по выполнению технологических процедур и др.

К правовым и морально-этическим мерам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушение; нормы поведения, соблюдение которых способствует защите информации.

Примером действующих законодательных актов в Российской Федерации, регламентирующих отношения в сфере информационного рынка, являются законы РФ «Об информации, информатизации и защите информации» от 20.02.1995 г. № 24-Ф3; «О правовой охране программ для ЭВМ и баз данных» № 5351-4 от 9.07.1993 в редакции Федерального закона от 19.07.95 № 110-ФЗ и др.; примером предписаний морально-этического характера – «Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США».

Закон РФ «Об информации, информатизации и защите информации» от 20.02.1995 г. создает условия для включения России в международный информационный обмен; предотвращает бесхозяйственное отношение к информационным ресурсам и информатизации, обеспечивает информационную безопасность и права юридических и физических лиц на информацию. Закон направлен на обеспечение защиты собственности в сфере информационных систем и технологий, формирование рынка информационных ресурсов, услуг, систем, технологий, средств их обеспечения.

В Уголовном кодексе РФ имеется глава «преступления в сфере компьютерной информации». В ней содержатся три статьи: «Неправомерный доступ к компьютерной информации» (ст. 272), «Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273) и «Нарушение прав эксплуатации ЭВМ, систем ЭВМ или их сетей» (ст. 274).

В зависимости от серьезности последствий компьютерного злоупотребления к лицам, его совершившим, могу применяться различные меры наказания, вплоть до лишения свободы сроком до 5 лет.

Архитектура предприятия информационной безопасности — Enterprise information security architecture

Архитектура безопасности предприятия информации (EISA) является частью архитектуры предприятия с акцентом на информационной безопасности по всему предприятию. Название подразумевает различие , которое не может существовать между малым / средним бизнесом и крупными организациями.

содержание

обзор

Архитектура предприятия информационной безопасности (EISA) является практикой применения всеобъемлющего и строгого метода для описания текущей и / или будущую структуры и поведения для процессов организации безопасности, систем информационной безопасности, персонала и организационных подразделений, так что они совпадают с организация — х основные цели и стратегическое направление. Хотя часто ассоциируются строго с информационной безопасностью технологией, это относится в более широком смысле к практике безопасности бизнеса оптимизации в том , что он рассматривает архитектуру безопасности бизнеса, управление производительностью и архитектуру процессов безопасности , а также.

Корпоративная архитектура информационной безопасности становится обычной практикой в рамках финансовых институтов по всему земному шару . Основная цель создания архитектуры информационной безопасности предприятия заключается в обеспечении бизнес — стратегии и ИТ — безопасности выравниваются. Таким образом , архитектура информационной безопасности предприятия позволяет прослеживаемость от бизнес — стратегии до базовой технологии.

темы архитектуры информационной безопасности предприятия

позиционирование

Архитектура информационной безопасности предприятия была впервые официально позиционируется Gartner в их техническом документе под названием « Включающая безопасность в процесс Архитектуры предприятия ». Это было опубликовано 24 января 2006 г. С этой публикацией, архитектура безопасности перешла от силоса на основе архитектура на предприятие , ориентированное решение , которое включает в себя бизнес, информацию и технологию . На приведенном ниже рисунке представляет собой одномерное представление архитектуры предприятия как сервис-ориентированной архитектуры . Он также отражает новое дополнение к архитектуре семейства предприятия под названием «Безопасность». Бизнес — архитектура, информационная архитектура и архитектура технологии раньше называлась BIT для краткости. Теперь с безопасностью , как часть семьи архитектуры она стала BITS.

Читать еще:  Политика сетевой безопасности

императивы безопасности архитектурных изменений теперь включают в себя такие вещи, как

  • Обеспечить структуру, последовательность и когезионный.
  • Необходимо включить бизнес-к-безопасности выравнивания.
  • Определено сверху вниз, начиная с бизнес-стратегией.
  • Убедитесь в том, что все модели и реализации могут быть прослежены к бизнес-стратегии, конкретным требованиям бизнеса и ключевым принципам.
  • Обеспечение абстракции, так что осложняющие факторы, такие как география и технологии религия, могут быть удалены и восстановлены на различных уровнях детализации только при необходимости.
  • Установить общий «язык» для информационной безопасности в организации

методология

Практика архитектуры информационной безопасности предприятия включает в себя разработку основ безопасности архитектуры , чтобы описать серию «текущих», «промежуточных» и «целевых» эталонных архитектур и их применения для выравнивания программ изменения. Эти рамки детализируют организации, роли, сущности и отношения , которые существуют или должны существовать , чтобы выполнить набор бизнес — процессов. Эта структура будет обеспечивать строгую классификацию и онтологию , которая четко определяет , какие процессы бизнес — преформ и подробную информацию о том , как выполняются и закреплены эти процессы. Конечный продукт представляет собой набор артефактов , которые описывают в той или иной степенью детализации , что именно и как работает бизнес и что безопасность управления необходимы. Эти артефакты часто графические.

Учитывая эти описания, чей уровень детализации будет варьироваться в зависимости от доступности и других практических соображений, принимающие решения предусмотрены средства для принятия обоснованных решений о том, куда вкладывать ресурсы, где перестраивать организационные цели и процессы, и какие политики и процедура будет поддерживать ядро миссии или бизнес-функции.

Сильный корпоративные информационный процесс архитектуры безопасности помогает ответить на основные вопросы, как:

  • Какова информация осанка риск безопасности организации?
  • Является ли текущая архитектура поддержки и добавленная стоимость для безопасности организации?
  • Как может архитектура безопасности быть изменена таким образом, что он добавляет ценность для организации?
  • Исходя из того, что мы знаем о том, что организация хочет достичь в будущем, будет текущая поддержка архитектуры безопасности или мешает что?

Внедрение корпоративной информационной архитектуры безопасности обычно начинается с документированием стратегии организации и другими необходимыми деталями, такими как, где и как она работает. Процесс затем каскадом вниз к документированию отдельных ключевых компетенций, бизнес-процессов, и как организация взаимодействует с самим собой и с внешними сторонами, такими как клиенты, поставщики, и государственными органами.

После документирована стратегии и структуру организации, процесс архитектуры затем стекает в дискретные компоненты информационных технологий, такие как:

  • карты организации, деятельность и процесс потоки, как ИТ-организация работает
  • Организация циклов, периоды и сроки
  • Поставщики технологий аппаратных средств, программного обеспечения и услуг
  • Приложения и инвентаризации программного обеспечения и диаграммы
  • Интерфейсы между приложениями — это: события, сообщения и потоки данных
  • Интранет, Экстранет, Интернет, электронная коммерция, EDI связи со сторонами внутри и за пределами организации
  • классификации данных, базы данных и поддерживающие модели данных
  • Аппаратные средства, платформы, хостинг: серверы, сетевые компоненты и устройства безопасности и где они хранятся
  • Локальные и глобальные сети, схемы подключения к Интернету

Везде , где это возможно, все вышеперечисленное должно быть связано явно стратегии, организации задач и операций . Архитектура информационной безопасности предприятия будет документировать текущее состояние технических компонентов безопасности , перечисленных выше, а также в качестве идеального мира желаемого будущего состояния (Reference Architecture) , и , наконец, «Target» будущего состояние , которое является результатом инженерных компромиссов и компромиссов против . идеал. По существу результата является вложенным и взаимосвязанным набором моделей, как правило , управляются и поддерживаются со специализированным программным обеспечением , доступным на рынке.

Такое исчерпывающее отображение ИТ зависимостей имеют значительные дублирования как с метаданными в общем смысле ИТ, и с ITIL концепцией базы данных управления конфигурацией . Поддержание точности таких данных может быть серьезной проблемой.

Наряду с моделями и схемами идет набор лучших практик , направленных на обеспечение адаптивности, масштабируемости , управляемости и т.д. Эти системы инженерных лучшие практики не являются уникальными для архитектуры корпоративной информационной безопасности , но имеют важное значение для успеха тем не менее. Они включают в себя такие вещи , как компонентные, асинхронная связь между основными компонентами, стандартизацией ключевых идентификаторов и так далее.

Успешное применение архитектуры информационной безопасности предприятия требует соответствующего позиционирования в организациях. Аналогия градостроительных часто вызывается в связи с этим, и поучительно.

Промежуточный результат процесса архитектуры представляет собой всеобъемлющий перечень стратегии безопасности бизнеса, процессы обеспечения безопасности бизнеса, организационные схемы , товарно -материальные запасы технической безопасности, система и интерфейс диаграмм и топологию сети, а также явных связи между ними. Запасы и диаграммы являются лишь инструментами , которые поддерживают процесс принятия решений. Но этого недостаточно. Она должна быть живой процесс.

Организация должна разработать и внедрить процесс, который обеспечивает непрерывное движение от текущего состояния будущего состояния. Будущее состояние обычно будет сочетание одного или нескольких

  • Залатывание, которые присутствуют между текущей стратегией организации и способностью размеров ИТ-безопасностью для его поддержки
  • Залатывание, которые присутствуют между желаемой будущей стратегией организации и способностью измерений безопасности, чтобы поддержать его
  • Необходимые обновления и замены, которые должны быть сделаны в архитектуру ИТ-безопасности на основе жизнеспособности поставщиков, возраст и производительности аппаратных средств и программного обеспечение, вопросы потенциала, известные или ожидаемые нормативные требования, а также другие вопросы, не приводятся в явном виде функционального руководства организации.
  • На регулярной основе, текущее состояние и будущее состояние переопределены для учета эволюции архитектуры, изменения в организационной стратегии, а также чисто внешних факторах, такие как изменения в технологии и клиент / поставщик / требования правительства, а также изменения к внутреннему и внешнему угроза ландшафтов с течением времени.

Высокий уровень рамка архитектуры безопасности

Предприятие основа архитектуры информационной безопасности является лишь частью рамок архитектуры предприятия. Если бы мы должны были упростить концептуальные абстракции архитектуры корпоративной информационной безопасности в рамках общей структуры, картина по праву была бы приемлемой в качестве основы архитектуры концептуальной безопасности высокого уровня.

Другие рамки открытой архитектуры предприятия являются:

Связь с другими ИТ-дисциплин

Архитектура предприятия информационной безопасности является ключевым компонентом информационной безопасности процесса управления технологией в любой организации значительных размеров. Все больше и больше компаний внедряют формальный процесс архитектуры безопасности предприятия для поддержки управления и управления ИТ.

Однако, как было отмечено в первом абзаце настоящей статьи , он идеально относится более широко к практике оптимизации бизнеса в том , что он рассматривает архитектуру безопасности бизнеса, управление производительностью и архитектуры безопасности процесса , а также. Предприятие Информационной архитектура безопасности также связана с ИТ — безопасностью управление портфелем и метаданными в корпоративном ИТ смысла.

Ссылка на основную публикацию
Adblock
detector
×
×