Файл: Какие бы правила Вы внедрили в организации для обеспечения информационной безопасности.docx
Добавлен: 07.12.2023
Просмотров: 32
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Кафедра информационных систем _________________________
Рейтинговая работа Реферат
(домашняя творческая работа, расчетно-аналитическое задание, реферат, контрольная работа)
по дисциплине Информационные системы и технологии
Задание/вариант № 3
Тема* Какие бы правила Вы внедрили в организации для обеспечения информационной безопасности.
Выполнена обучающимся группы о.ИЗДтс 30.2/Б-20
Цуренкова Татьяна Евгеньевна
(фамилия, имя, отчество)
Преподаватель ____________________________________________________
(фамилия, имя, отчество)
Москва – 2020 г.
Оглавление
Введение 3
Какие бы правила Вы внедрили в организации для обеспечения информационной безопасности 4
Заключение 13
Список использованных источников 14
Введение
Архитектура корпоративной информационной безопасности (EISA)-это практика применения всеобъемлющего и строгого метода описания текущей и/или будущей структуры и поведения процессов безопасности организации, систем информационной безопасности, персонала и организационных подразделений таким образом, чтобы они соответствовали основным целям и стратегическому направлению организации.
Хотя она часто ассоциируется строго с технологией информационной безопасности, она более широко относится к практике безопасности оптимизации бизнеса в том смысле, что она также касается архитектуры безопасности бизнеса, управления производительностью и архитектуры процессов безопасности.
Архитектура корпоративной информационной безопасности становится общепринятой практикой в финансовых институтах по всему миру. Основной целью создания архитектуры информационной безопасности предприятия является обеспечение согласованности бизнес-стратегии и ИТ-безопасности. Таким образом, архитектура информационной безопасности предприятия позволяет проследить весь путь от бизнес-стратегии до базовой технологии.
Архитектура корпоративной информационной безопасности впервые была официально позиционирована компанией Gartner в своем техническом документе под названием “включение безопасности в процесс корпоративной архитектуры”. Это было опубликовано 24 января 2006 года. Со времени этой публикации архитектура безопасности перешла от архитектуры, основанной на силосе, к корпоративному решению, которое включает в себя бизнес, информацию и технологии.
Бизнес-архитектура, информационная архитектура и технологическая архитектура раньше назывались сокращенно бит. Теперь, когда безопасность стала частью архитектурного семейства, она стала битами.
Какие бы правила Вы внедрили в организации для обеспечения информационной безопасности
Архитектура корпоративной информационной безопасности впервые была официально позиционирована компанией Gartner в своем техническом документе под названием “включение безопасности в процесс корпоративной архитектуры”. Это было опубликовано 24 января 2006 года. Со времени этой публикации архитектура безопасности перешла от архитектуры, основанной на силосе, к ориентированному на предприятие решению, включающему бизнес, информацию и технологии.
Он также отражает новое дополнение к семейству архитектуры Enterprise под названием "Безопасность". Бизнес-архитектуру, информационную архитектуру и технологическую архитектуру раньше называли сокращенно бит. Теперь, когда безопасность стала частью архитектурного семейства, она стала битами.
Императивы изменения архитектуры безопасности теперь включают в себя такие вещи, как
- Бизнес-планов;
- Законодательные и правовые требования;
- Технологические дорожные карты;
- Отраслевые тенденции;
- Тенденции риска;
- Провидцы.
Цели:
Обеспечение структуры, согласованности и связности.
Необходимо включить выравнивание бизнеса и безопасности.
Определение сверху вниз, начиная с бизнес-стратегии.
Убедитесь, что все модели и реализации могут быть прослежены до бизнес-стратегии, конкретных бизнес-требований и ключевых принципов.
Обеспечить абстракцию таким образом, чтобы усложняющие факторы, такие как география и технологическая религия, могли быть удалены и восстановлены на различных уровнях детализации только тогда, когда это необходимо.
Установить общий "язык" информационной безопасности внутри организации
Методология:
Практика архитектуры информационной безопасности предприятия включает в себя разработку структуры безопасности архитектуры для описания ряда "текущих", "промежуточных" и "целевых" эталонных архитектур и применение их для согласования программ изменений. Эти структуры подробно описывают организации, роли, сущности и отношения, которые существуют или должны существовать для выполнения набора бизнес-процессов. Эта структура обеспечит строгую таксономию и онтологию, которая четко определяет, какие процессы выполняет бизнес, и
подробную информацию о том, как эти процессы выполняются и обрабатываются. Конечный продукт - это набор артефактов, которые с разной степенью детализации описывают, что именно и как работает бизнес и какие меры безопасности требуются. Эти артефакты часто являются графическими.
Учитывая эти описания, уровень детализации которых будет варьироваться в зависимости от доступности и других практических соображений, лицам, принимающим решения, предоставляются средства для принятия обоснованных решений о том, куда инвестировать ресурсы, где перестраивать организационные цели и процессы, а также какие политики и процедуры будут поддерживать основные миссии или бизнес-функции.
Сильный процесс архитектуры корпоративной информационной безопасности помогает ответить на такие основные вопросы, как:
Какова степень риска информационной безопасности Организации?
Поддерживает ли текущая архитектура безопасность организации и повышает ли она ее ценность?
Как можно изменить архитектуру безопасности, чтобы она добавляла больше ценности оргизации?
* Исходя из того, что мы знаем о том, чего организация хочет достичь в будущем, будет ли текущая архитектура безопасности поддерживать или препятствовать этому?
Внедрение архитектуры корпоративной информационной безопасности обычно начинается с документирования стратегии организации и других необходимых деталей, таких как место и способ ее работы. Затем процесс сводится к документированию отдельных ключевых компетенций, бизнес-процессов и того, как организация взаимодействует сама с собой и с внешними сторонами, такими как клиенты, поставщики и государственные структуры.
Документировав стратегию и структуру организации, процесс архитектуры затем переходит в дискретные компоненты информационных технологий, такие как:
Организационные схемы, виды деятельности и потоки процессов работы ИТ-организации • ;
Организационные циклы, периоды и сроки;
Поставщики технологического оборудования
, программного обеспечения и услуг;
Инвентаризация и диаграммы приложений и программного обеспечения;
Интерфейсы между приложениями - то есть: события, сообщения и потоки данных;
Интранет, Экстранет, Интернет, электронная коммерция, ЭОД-связи со сторонами внутри и за пределами организации;
Классификации данных, базы данных и вспомогательные модели данных;
Оборудование, платформы, хостинг: серверы, сетевые компоненты и устройства безопасности и места их хранения;
Локальные и глобальные сети, схемы подключения к интернету.
Там, где это возможно, все вышеперечисленное должно быть непосредственно связано со стратегией, целями и операциями организации. Архитектура информационной безопасности предприятия будет документировать текущее состояние технических компонентов безопасности, перечисленных выше, а также желаемое будущее состояние идеального мира (архитектура ссылок) и, наконец," целевое " будущее состояние, которое является результатом инженерных компромиссов и компромиссов. идеал. По сути, результатом является вложенный и взаимосвязанный набор моделей, обычно управляемых и поддерживаемых специализированным программным обеспечением, доступным на рынке.
Такое исчерпывающее отображение ИТ-зависимостей имеет заметные совпадения как с метаданными в общем смысле ИТ, так и с концепцией ITIL базы данных управления конфигурациями. Поддержание точности таких данных может быть серьезной проблемой.
Вместе с моделями и диаграммами идет набор лучших практик, направленных на обеспечение адаптивности, масштабируемости, управляемости и т. д. Эти лучшие практики системной инженерии не являются уникальными для архитектуры информационной безопасности предприятия, но тем не менее имеют важное значение для ее успеха. Они включают в себя такие вещи, как компонентизация, асинхронная связь между основными компонентами, стандартизация ключевых идентификаторов и т. д.
Успешное применение архитектуры информационной безопасности предприятия требует соответствующего позиционирования в организации. В этой связи часто используется аналогия с градостроительством, и она носит конструктивный характер.
Промежуточным результатом архитектурного процесса является всесторонняя инвентаризация стратегии бизнес-безопасности, процессов бизнес-безопасности, организационных схем, технических описей безопасности, системных и интерфейсных диаграмм, сетевых топологий и явных взаимосвязей между ними. Описи и диаграммы - это всего лишь инструменты, поддерживающие принятие решений. Но этого недостаточно. Это должен быть живой процесс.
Организация должна разработать и внедрить процесс, обеспечивающий непрерывное движение от текущего состояния к будущему. Будущее состояние, как правило, представляет собой комбинацию одного или нескольких состояний.
Устранение пробелов, существующих между текущей стратегией организации и способностью аспектов ИТ-безопасности поддерживать ее.;
Устранение пробелов, существующих между желаемой будущей стратегией организации и способностью аспектов безопасности поддерживать ее;
Необходимые обновления и замены, которые должны быть внесены в архитектуру ИТ-безопасности на основе жизнеспособности поставщиков, возраста и производительности аппаратного и программного обеспечения, проблем с производительностью, известных или ожидаемых нормативных требований и других проблем, явно не обусловленных функциональным управлением организации • ;
На регулярной основе текущее состояние и будущее состояние пересматриваются с учетом эволюции архитектуры, изменений в организационной стратегии и чисто внешних факторов, таких как изменения в технологии и требованиях клиентов/поставщиков/правительства, а также изменения как внутренних, так и внешних ландшафтов угроз с течением времени.
Фреймворки архитектуры корпоративной информационной безопасности - это всего лишь подмножество фреймворков корпоративной архитектуры. Если бы нам пришлось упростить концептуальную абстракцию архитектуры корпоративной информационной безопасности в рамках общей структуры, то изображение справа было бы приемлемо в качестве структуры концептуальной архитектуры безопасности высокого уровня.
Другими фреймворками открытой корпоративной архитектуры являются:
Структура и методология SABSA;
Архитектурная структура Министерства обороны США (DoD) (DoDAF);
Extended Enterprise Architecture Framework (E2AF) отинститутапредпринимательства;
Развитие Архитектуры;
Федеральная корпоративная архитектура правительства Соединенных Штатов (FEA);
Интегрированная архитектура Capgemini;
Архитектурная структура Министерства обороны Великобритании (MOD) (MODAF);
Структура корпоративной архитектуры NIH;
Открытая Архитектура Безопасности;
Архитектурная структура предприятия по обеспечению информационной безопасности (IAEAF);
Сервис-ориентированная структура моделирования (SOMF);