Вот что вам нужно знать об архитектуре корпоративной информационной безопасности и о том, как начать претворять план в жизнь.

Одной из важных тенденций в области корпоративной безопасности является создание и внедрение архитектуры корпоративной информационной безопасности. Однако многое из того, что было написано на эту тему, довольно двусмысленно и может заставить ИТ-специалистов задаться вопросом  , что такое архитектура информационной безопасности предприятия, не говоря уже о том, как ее реализовать. В таком случае я хотел попытаться упростить вещи, чтобы помочь организациям понять, что включает в себя архитектура информационной безопасности предприятия и как они могут ввести ее в действие.

С этой целью давайте сделаем шаг назад и рассмотрим, как традиционно обеспечивается ИТ-безопасность на предприятии. Исторически сложилось так, что корпоративная безопасность сводилась к тому, чтобы сделать организацию настолько безопасной, насколько позволял ИТ-бюджет. ИТ-специалисты будут использовать различные политики, процедуры и продукты для защиты организации в ответ на предполагаемые угрозы (или в ответ на нормативные требования).

Архитектура корпоративной информационной безопасности — это попытка напрямую согласовать подход ИТ-отдела к безопасности с бизнес-потребностями организации. У этого подхода есть два основных преимущества.

Во-первых, внедрение архитектуры информационной безопасности предприятия заставляет ИТ-отдел сосредоточиться на проблемах безопасности, которые могут оказать наибольшее влияние на бизнес. ИТ-отдел больше не гоняется за последними тенденциями в области безопасности, а может сосредоточиться на вопросах, наиболее важных для бизнеса.

Во-вторых, архитектура корпоративной информационной безопасности включает в себя гораздо больше, чем просто решение о том, какие продукты для обеспечения безопасности следует приобрести или на каких проблемах безопасности следует сосредоточиться. Модель тесно вплетается в бизнес. Это становится ключевой частью того, «как мы делаем вещи». Такое мышление заставляет власть имущих думать о безопасности как о части процесса принятия бизнес-решений.

Нет универсального решения

Это, конечно, поднимает вопрос о том, как организация может внедрить архитектуру информационной безопасности предприятия. Важно понимать этот процесс: «архитектура корпоративной информационной безопасности» — это несколько общий термин. Не существует единого, неотъемлемого процесса, определяющего, что значит для организации внедрить модель.

Итак, как организация, заботящаяся о безопасности, может внедрить архитектуру корпоративной информационной безопасности, если не существует четкого стандарта? К счастью, существует несколько доступных фреймворков. Некоторые из наиболее популярных фреймворков включают SABSA , COBIT и TOGAF.

Чтобы описать эти фреймворки, позвольте мне сначала воспользоваться моментом и углубиться в кое-что, совершенно не связанное с ними. Если вы какое-то время работали в сфере ИТ, то наверняка слышали о модели OSI . Модель OSI определяет уровни, составляющие сетевой стек. Эти уровни включают прикладной уровень, уровень представления, сеансовый уровень, транспортный уровень, сетевой уровень, уровень канала передачи данных и физический уровень. Каждый уровень выполняет определенную работу, и каждый из них предназначен для взаимодействия с уровнем над ним и уровнем под ним.

Вообще говоря, ранее упомянутые платформы также используют многоуровневый подход, который определяет структуру архитектуры безопасности. Структура SABSA, например, включает в себя такие уровни, как контекстная, концептуальная, логическая, физическая и компонентная архитектуры безопасности. Эти уровни в совокупности образуют общую архитектуру безопасности.

В целом различные фреймворки предоставляют такие вещи, как архитектурные диаграммы, блок-схемы и документацию. Эти ресурсы можно использовать для реализации архитектуры корпоративной информационной безопасности в организации.

Имейте в виду, что не существует правила, согласно которому организация должна строго придерживаться одной из этих рамок. Вместо этого организация может решить разработать собственную архитектуру или создать гибрид двух или более доступных платформ.

Независимо от того, какой подход организация выберет к своей архитектуре информационной безопасности предприятия, цель всегда должна заключаться в том, чтобы связать усилия организации по обеспечению безопасности с ключевыми бизнес-целями. Если, например, компания заявляет, что ее интернет-магазин должен быть доступен клиентам в любое время, следующим шагом в этом процессе будет выявление рисков, которые могут повлиять на доступность этого ресурса.

Некоторые риски не имеют ничего общего с безопасностью, но влияют на решения ИТ другими способами. Например, сбой питания в центре обработки данных организации может повлиять на доступность интернет-магазина, поэтому ИТ-отделу потребуется план контроля этого риска. Точно так же атака типа «отказ в обслуживании» может помешать покупателям получить доступ к интернет-магазину. В этом контексте атака типа «отказ в обслуживании» представляет собой выявленную угрозу безопасности, которая напрямую связана с ключевой бизнес-целью. Это дает обоснование тому, что ИТ-отдел должен сосредоточиться на предотвращении атак типа «отказ в обслуживании».