Файл: Какие бы правила Вы внедрили в организации для обеспечения информационной безопасности.docx
Добавлен: 07.12.2023
Просмотров: 34
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Платформа архитектуры открытых групп (TOGAF);
Фреймворк Захмана;
Корпоративная Кибербезопасность (Книга).
Архитектура информационной безопасности предприятия является ключевым компонентом процесса управления технологиями информационной безопасности в любой организации значительного размера. Все больше и больше компаний внедряют формальный процесс архитектуры корпоративной безопасности для поддержки управления и управления ИТ.
Однако, как отмечалось во вступительном абзаце этой статьи, он идеально относится более широко к практике оптимизации бизнеса, поскольку он также касается архитектуры безопасности бизнеса, управления производительностью и архитектуры безопасности процессов. Архитектура корпоративной информационной безопасности также связана с управлением портфелем ИТ-безопасности и метаданными в корпоративном ИТ-смысле.
В ходе нашего анализа мы выяснили, что частичные методы могут быть в основном разделены на категории:
- управление политиками безопасности и конфигурациями;
- безопасность корпоративных услуг;
- управление ролями безопасности и контроль доступа;
- оценка безопасности и разработка требований.
Однако по причинам, упомянутым ниже, основное внимание в этой статье уделяется целостным структурам. Эксплицируются наиболее важные целостные фреймворки, включая Gartner, SABSA, RiseFramework, AGM-модель и интеллектуальную сервис-ориентированную EISA.
Наиболее известным фреймворком является Gartner, который первым определил термин EISA в работе [4]. Gartner рассматривает совместимость EISA с программой EA и настаивает на сотрудничестве между ними [3]. Следующая видная структура-это SABSA [5] и [6]. Она сделала самую выдающуюся попытку в области целостного EISA. Это многоуровневая архитектура, сопровождаемая методологией реализации.
Подъем-это еще одна важная основа. Это основанный на угрозах и управлении рисками метод, который был внедрен для управления информационной безопасностью на предприятии. Модель управления безопасностью SOAE на основе AGM была создана с использованием двух важных стандартов информационной безопасности, а именно ISO/IEC 17799 и SOGP в модели гибкого управления. Интеллектуальная сервис-ориентированная EISA [2]-это многоуровневая интеллектуальная сервис-ориентированная архитектура для систематического и интеллектуального управления деятельностью EISA. Кроме того, ISO27002 был использован для выбора услуг информационной безопасности и осуществления управления рисками.
Интероперабельность-это основное внимание в следующем разделе. Из пяти аспектов интероперабельности мы выбрали три наиболее актуальных.
Эти три аспекта-технический, организационный и семантический. Поскольку интероперабельность-это широкое понятие, мы ограничимся обсуждением целостных структур и моделей. В этой связи мы оцениваем эти подходы с точки зрения упомянутых аспектов интероперабельности. Наконец, результаты сравнения представлены в последнем разделе.
Было предпринято много усилий для внедрения архитектурных фреймворков или эталонных моделей корпоративной информационной безопасности. Различие в масштабах и целях этих подходов, а также отсутствие обзоров и дискуссий затрудняют анализ и оценку этих подходов. Упомянутая проблема побудила нас классифицировать эти модели и фреймворки. Мы разработали два аспекта этой классификации.
Эти аспекты-уровень абстракции (целостный или частичный) и архитектурная точка зрения (управленческая или техническая). Как уже говорилось, архитектурная точка зрения (управленческая или техническая) выходит за рамки данной статьи. Соответственно, мы рассматривали доступные методы только с уровня абстракции (целостный VS. частичный) аспект.
1.1. Целостный и Частичные подходы
В прошлом информационная безопасность рассматривалась как незначительная и второстепенная проблема; угрозы создавали низкие риски для информации предприятия. Таким образом, интеграция частичных решений безопасности представлялась достаточной для борьбы с указанными угрозами и установления информационной безопасности на всем предприятии. Все более широкое использование ИКТ предприятиями привело к широким побочным эффектам и появлению новых проблем, решение которых не было найдено в интеграции частичных подходов.
Решение этих новых проблем, безусловно, послужило стимулом для развития подходов с нисходящими перспективами, которые изучают проблемы с более высокого уровня абстракции. В дополнение к упомянутому стимулу три фактора еще более ускорили развитие целостных подходов:
1-разделение инициатив стратегического планирования и решений по обеспечению безопасности решения и мероприятия, которые привели к несовместимости при применении частичных решений по обеспечению безопасности.
2 - функциональное перекрытие между частичными решениями безопасности, что привело к снижению производительности.
3-неполный охват информационной безопасности на предприятии.
Ожидается, что корпоративная информационная безопасность будет соответствовать новым требованиям и реагировать на новые угрозы и опасности. Это подчеркивает необходимость рекурсивных решений, состоящих из последовательных фаз. Никакие частичные подходы не поддерживают измерение времени. Однако несколько целостных подходов поддерживают это измерение.
Заключение
Оценка рисков по критически важным информационным технологическим активам Университета Айовы проводится на регулярной основе как департаментом внутреннего аудита Университета Айовы, так и Управлением государственного аудитора. Обратная связь включает в себя всеобъемлющий отчет о практических рекомендациях по смягчению/устранению рисков.
Управление информационной безопасности и политики также проводит оценку технических рисков и / или тесты на проникновение для руководства и владельцев бизнеса по запросу, которые проводятся и поддерживаются в строго конфиденциальном порядке. Кроме того, существует формализованный процесс утверждения планов ИТ-безопасности для исследований, предшествующих (контрактным) соглашениям, грантам и другим отношениям или сотрудничеству с университетом Айовы, который включает в себя этап оценки рисков безопасности.
Управление информационной безопасности и политики совместно с Комитетом по управлению рисками информационной безопасности и политикой будут, кроме того, содействовать проведению оценки рисков безопасности в масштабах всей организации, когда это необходимо, когда происходят значительные изменения в вычислительной среде, или как минимум в течение пяти лет.
Безопасность должна быть рассмотрена с самого начала любого проекта в университете, а не что-то, что добавляется позже. Управление информационной безопасности и политики-это ресурс, доступный для оказания помощи в этих усилиях на протяжении всего этапа планирования проекта. Кроме того, перед внедрением компьютерных систем, в которых хранится или обрабатывается конфиденциальная институциональная информация, следует провести контрольную проверку.
Список использованных источников
1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. — М.: КноРус, 2018. — 136 c.
2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. — Рн/Д: Феникс, 2017. — 324 c.
3. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. — Ст. Оскол: ТНТ, 2017. — 384 c.
4. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. — М.: ЮНИТИ-ДАНА, 2016. — 239 c.
5. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт. Монография. Гриф УМЦ «Профессиональный учебник». Гриф НИИ образования и науки. / Л.Л. Ефимова, С.А. Кочерга. — М.: ЮНИТИ, 2016. — 239 c.
6. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.1 — Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников, Н.Г Милославская. — М.: ГЛТ, 2017. — 536 c.
7. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 — Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. — М.: ГЛТ, 2018. — 558 c.
8. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. — М.: ГЛТ, 2016. — 280 c.