Файл: Какие бы правила Вы внедрили в организации для обеспечения информационной безопасности.docx

Кафедра информационных систем _________________________


Рейтинговая работа Реферат

(домашняя творческая работа, расчетно-аналитическое задание, реферат, контрольная работа)

по дисциплине Информационные системы и технологии
Задание/вариант № 3

Тема* Какие бы правила Вы внедрили в организации для обеспечения информационной безопасности.

Выполнена обучающимся группы о.ИЗДтс 30.2/Б-20

Цуренкова Татьяна Евгеньевна

(фамилия, имя, отчество)
Преподаватель ____________________________________________________

(фамилия, имя, отчество)

Москва – 2020 г.

Оглавление

Введение

Архитектура корпоративной информационной безопасности (EISA)-это практика применения всеобъемлющего и строгого метода описания текущей и/или будущей структуры и поведения процессов безопасности организации, систем информационной безопасности, персонала и организационных подразделений таким образом, чтобы они соответствовали основным целям и стратегическому направлению организации.

Хотя она часто ассоциируется строго с технологией информационной безопасности, она более широко относится к практике безопасности оптимизации бизнеса в том смысле, что она также касается архитектуры безопасности бизнеса, управления производительностью и архитектуры процессов безопасности.

Архитектура корпоративной информационной безопасности становится общепринятой практикой в финансовых институтах по всему миру. Основной целью создания архитектуры информационной безопасности предприятия является обеспечение согласованности бизнес-стратегии и ИТ-безопасности. Таким образом, архитектура информационной безопасности предприятия позволяет проследить весь путь от бизнес-стратегии до базовой технологии.

Архитектура корпоративной информационной безопасности впервые была официально позиционирована компанией Gartner в своем техническом документе под названием “включение безопасности в процесс корпоративной архитектуры”. Это было опубликовано 24 января 2006 года. Со времени этой публикации архитектура безопасности перешла от архитектуры, основанной на силосе, к корпоративному решению, которое включает в себя бизнес, информацию и технологии.

---

Бизнес-архитектура, информационная архитектура и технологическая архитектура раньше назывались сокращенно бит. Теперь, когда безопасность стала частью архитектурного семейства, она стала битами.

Какие бы правила Вы внедрили в организации для обеспечения информационной безопасности

Архитектура корпоративной информационной безопасности впервые была официально позиционирована компанией Gartner в своем техническом документе под названием “включение безопасности в процесс корпоративной архитектуры”. Это было опубликовано 24 января 2006 года. Со времени этой публикации архитектура безопасности перешла от архитектуры, основанной на силосе, к ориентированному на предприятие решению, включающему бизнес, информацию и технологии.

Он также отражает новое дополнение к семейству архитектуры Enterprise под названием "Безопасность". Бизнес-архитектуру, информационную архитектуру и технологическую архитектуру раньше называли сокращенно бит. Теперь, когда безопасность стала частью архитектурного семейства, она стала битами.

Императивы изменения архитектуры безопасности теперь включают в себя такие вещи, как

- Бизнес-планов;

- Законодательные и правовые требования;

- Технологические дорожные карты;

- Отраслевые тенденции;

- Тенденции риска;

- Провидцы.

Цели:

Обеспечение структуры, согласованности и связности.

Необходимо включить выравнивание бизнеса и безопасности.

Определение сверху вниз, начиная с бизнес-стратегии.

Убедитесь, что все модели и реализации могут быть прослежены до бизнес-стратегии, конкретных бизнес-требований и ключевых принципов.

Обеспечить абстракцию таким образом, чтобы усложняющие факторы, такие как география и технологическая религия, могли быть удалены и восстановлены на различных уровнях детализации только тогда, когда это необходимо.

Установить общий "язык" информационной безопасности внутри организации

Методология:

Практика архитектуры информационной безопасности предприятия включает в себя разработку структуры безопасности архитектуры для описания ряда "текущих", "промежуточных" и "целевых" эталонных архитектур и применение их для согласования программ изменений. Эти структуры подробно описывают организации, роли, сущности и отношения, которые существуют или должны существовать для выполнения набора бизнес-процессов. Эта структура обеспечит строгую таксономию и онтологию, которая четко определяет, какие процессы выполняет бизнес, и

---

подробную информацию о том, как эти процессы выполняются и обрабатываются. Конечный продукт - это набор артефактов, которые с разной степенью детализации описывают, что именно и как работает бизнес и какие меры безопасности требуются. Эти артефакты часто являются графическими.

Учитывая эти описания, уровень детализации которых будет варьироваться в зависимости от доступности и других практических соображений, лицам, принимающим решения, предоставляются средства для принятия обоснованных решений о том, куда инвестировать ресурсы, где перестраивать организационные цели и процессы, а также какие политики и процедуры будут поддерживать основные миссии или бизнес-функции.

Сильный процесс архитектуры корпоративной информационной безопасности помогает ответить на такие основные вопросы, как:

Какова степень риска информационной безопасности Организации?

Поддерживает ли текущая архитектура безопасность организации и повышает ли она ее ценность?

Как можно изменить архитектуру безопасности, чтобы она добавляла больше ценности оргизации?

* Исходя из того, что мы знаем о том, чего организация хочет достичь в будущем, будет ли текущая архитектура безопасности поддерживать или препятствовать этому?

Внедрение архитектуры корпоративной информационной безопасности обычно начинается с документирования стратегии организации и других необходимых деталей, таких как место и способ ее работы. Затем процесс сводится к документированию отдельных ключевых компетенций, бизнес-процессов и того, как организация взаимодействует сама с собой и с внешними сторонами, такими как клиенты, поставщики и государственные структуры.

Документировав стратегию и структуру организации, процесс архитектуры затем переходит в дискретные компоненты информационных технологий, такие как:

Организационные схемы, виды деятельности и потоки процессов работы ИТ-организации • ;

Организационные циклы, периоды и сроки;

Поставщики технологического оборудования

---

, программного обеспечения и услуг;

Инвентаризация и диаграммы приложений и программного обеспечения;

Интерфейсы между приложениями - то есть: события, сообщения и потоки данных;

Интранет, Экстранет, Интернет, электронная коммерция, ЭОД-связи со сторонами внутри и за пределами организации;

Классификации данных, базы данных и вспомогательные модели данных;

Оборудование, платформы, хостинг: серверы, сетевые компоненты и устройства безопасности и места их хранения;

Локальные и глобальные сети, схемы подключения к интернету.

Там, где это возможно, все вышеперечисленное должно быть непосредственно связано со стратегией, целями и операциями организации. Архитектура информационной безопасности предприятия будет документировать текущее состояние технических компонентов безопасности, перечисленных выше, а также желаемое будущее состояние идеального мира (архитектура ссылок) и, наконец," целевое " будущее состояние, которое является результатом инженерных компромиссов и компромиссов. идеал. По сути, результатом является вложенный и взаимосвязанный набор моделей, обычно управляемых и поддерживаемых специализированным программным обеспечением, доступным на рынке.

Такое исчерпывающее отображение ИТ-зависимостей имеет заметные совпадения как с метаданными в общем смысле ИТ, так и с концепцией ITIL базы данных управления конфигурациями. Поддержание точности таких данных может быть серьезной проблемой.

Вместе с моделями и диаграммами идет набор лучших практик, направленных на обеспечение адаптивности, масштабируемости, управляемости и т. д. Эти лучшие практики системной инженерии не являются уникальными для архитектуры информационной безопасности предприятия, но тем не менее имеют важное значение для ее успеха. Они включают в себя такие вещи, как компонентизация, асинхронная связь между основными компонентами, стандартизация ключевых идентификаторов и т. д.

Успешное применение архитектуры информационной безопасности предприятия требует соответствующего позиционирования в организации. В этой связи часто используется аналогия с градостроительством, и она носит конструктивный характер.

Промежуточным результатом архитектурного процесса является всесторонняя инвентаризация стратегии бизнес-безопасности, процессов бизнес-безопасности, организационных схем, технических описей безопасности, системных и интерфейсных диаграмм, сетевых топологий и явных взаимосвязей между ними. Описи и диаграммы - это всего лишь инструменты, поддерживающие принятие решений. Но этого недостаточно. Это должен быть живой процесс.

---

Организация должна разработать и внедрить процесс, обеспечивающий непрерывное движение от текущего состояния к будущему. Будущее состояние, как правило, представляет собой комбинацию одного или нескольких состояний.

Устранение пробелов, существующих между текущей стратегией организации и способностью аспектов ИТ-безопасности поддерживать ее.;

Устранение пробелов, существующих между желаемой будущей стратегией организации и способностью аспектов безопасности поддерживать ее;

Необходимые обновления и замены, которые должны быть внесены в архитектуру ИТ-безопасности на основе жизнеспособности поставщиков, возраста и производительности аппаратного и программного обеспечения, проблем с производительностью, известных или ожидаемых нормативных требований и других проблем, явно не обусловленных функциональным управлением организации • ;

На регулярной основе текущее состояние и будущее состояние пересматриваются с учетом эволюции архитектуры, изменений в организационной стратегии и чисто внешних факторов, таких как изменения в технологии и требованиях клиентов/поставщиков/правительства, а также изменения как внутренних, так и внешних ландшафтов угроз с течением времени.

Фреймворки архитектуры корпоративной информационной безопасности - это всего лишь подмножество фреймворков корпоративной архитектуры. Если бы нам пришлось упростить концептуальную абстракцию архитектуры корпоративной информационной безопасности в рамках общей структуры, то изображение справа было бы приемлемо в качестве структуры концептуальной архитектуры безопасности высокого уровня.

Другими фреймворками открытой корпоративной архитектуры являются:

Структура и методология SABSA;

Архитектурная структура Министерства обороны США (DoD) (DoDAF);

Extended Enterprise Architecture Framework (E2AF) отинститутапредпринимательства;

Развитие Архитектуры;

Федеральная корпоративная архитектура правительства Соединенных Штатов (FEA);

Интегрированная архитектура Capgemini;

Архитектурная структура Министерства обороны Великобритании (MOD) (MODAF);

Структура корпоративной архитектуры NIH;

Открытая Архитектура Безопасности;

Архитектурная структура предприятия по обеспечению информационной безопасности (IAEAF);

Сервис-ориентированная структура моделирования (SOMF);

---