August 2013 Download this article as a PDFAbstract

Эта статья представляет бизнес ориентированного подхода к разработке и доставки корпоративной безопасности архитектуры, которая сосредоточена на включение бизнес-целей, обеспечивая при этом разумный и сбалансированный подход к управлению рисками. Сбалансированный подход к архитектуре безопасности предприятия могут создавать важные связи между целями и задачами бизнеса и предоставляет надлежащие меры для защиты наиболее важных активов в Организации при принятии риска, где это уместно. Посредством обсуждения гарантии информации эта статья делает дело для использования предприятия архитектуры безопасности для удовлетворения потребностей организаций для обеспечения информации. Подход является производным от Шервуд применяемых бизнес безопасности архитектуры (SABSA) методологии, как на практике Seccuris инк, интегратор гарантии информации. Понимание Seccuris подход будет проиллюстрировать важность согласования безопасности деятельности с целями высокого уровня бизнеса при создании возросшее осознание двойственности риска. Этот управляемый бизнес подход к архитектуре безопасности предприятия могут помочь организациям изменить восприятие его безопасности, позиционирования его в качестве инструмента для включения и обеспечения успеха в бизнесе, а не воспринимается как препятствие избежать.

Введение

Многие организации считают, что их существующие средства безопасности не позволяют им получать что-то сделать или снижают их эффективность. С другой стороны Организация может спросить при наличии достаточной защиты информации, который должен использоваться совместно с новым бизнес-партнера, заказчика или широкой общественности. Если критический система скомпрометирована, каким будет влияние на бизнес?

В порядке для программы безопасности, чтобы быть эффективным оно должно продемонстрировать ценность для бизнеса, избегая традиционных ошибок, связанных с восприятием безопасности, неудобства и является препятствием для эффективной деятельности. Безопасности практиков стоит задача рассмотреть вопрос о безопасности в контексте бизнеса и понять двойственность риска: некоторые риски представляют возможности для бизнеса и поэтому должны быть приняты. Однако избежания риска является обычной практикой в ИТ-организации, где не являются пропорционально риску бизнеса расходов на обеспечение безопасности, политики, процедур и технологий. Когда контроль безопасности становятся чрезмерно интрузивные для сотрудников предприятия и фактически препятствуют деятельности, лица будут изыскивать средства для обхода этих элементов управления. Это желание, чтобы избежать безопасности, из-за восприятия, что безопасность является препятствием. В результате этого избежать безопасности новые риски будут введены, однако не известно, группы безопасности и могут контролировать и управлять.

Ситуация описывается общая борьба, с которыми сталкиваются большинство организаций. Организации стремятся достичь надлежащего баланса между контроля безопасности для защиты бизнес-информации, а также позволяя своим сотрудникам быть продуктивным и легко обмениваться информацией. Достижение такого баланса требует гарантии информации.

Эта статья обеспечит первоначальное понимание информации гарантии и представить дело для использования корпоративных архитектур безопасности для удовлетворения потребностей Организации для обеспечения информации. Подход является производным от Шервуд применяемых бизнес безопасности архитектуры (SABSA) методологии, как на практике Seccuris инк Seccuris является интегратором гарантии канадской информации, которая помогает организациям в достижении их бизнес-целей путем эффективного управления рисками информации. Чтобы помочь клиентам эффективно управлять рисками и использовать возможности для бизнеса, Seccuris стала полагаться на архитектуры безопасности предприятий, ориентированных на бизнес. Seccuris принял методологию SABSA для архитектуры безопасности предприятия для предоставления организациям часто отсутствует критическим звеном в эффективной связи смягчения последствий. Это недостающее звено является надлежащее понимание бизнес-целей и структурированный repeatable процесс, с помощью которого для определения активов критическое значение для Организации и предоставления надлежащих гарантий в рамках установленных риску.

Понимание Seccuris подход будет проиллюстрировать важность согласования безопасности деятельности с целями высокого уровня бизнеса при создании возросшее осознание двойственности риска. Управляемый бизнес подход к корпоративной архитектуре безопасности может помочь организациям изменить восприятие его безопасности, позиционирования его в качестве инструмента для включения и обеспечения успеха в бизнесе, а не препятствием, чтобы избежать.

Статья предназначена для старших руководителей в рамках Организации, которые пытаются рационализировать надлежащий баланс между защитой и наличие информации, которая поддерживает бизнес. Статья также поможет безопасности практиков, в частности безопасности архитекторов, понять, как согласовать инициативы в области безопасности с бизнес целями программы эффективной безопасности.

Обеспечение информации

Обеспечение информации касается управления рисками и безопасности использования, обработки, хранения и передачи данных. Она является частью более широкой категории, известной как информационная безопасность, которая большей частью сосредоточены на контроль безопасности ИТ и процессов. ИТ-безопасности занимается главным образом конфиденциальность, целостность и доступность информации и обеспечивает механизмы для защиты этих аспектов. Когда информация будет взломана, результатом является изменение состояния одного из этих аспектов.

  1. Конфиденциальность: гарантирует, что привилегированные или конфиденциальные сведения доступны только для лиц с действительным требованием для просмотра и доступа к информации. Это особенно важно, когда о личной информации, интеллектуальной собственности и секретной или конфиденциальной информации в контексте правительства.
  2. Целостность: означает отсутствие коррупции в общей последовательности или данных. Когда нарушается целостность информации, он создает отсутствие доверия, в котором данные могут были манипулировать, изменены или удалены.
  3. Доступность: относится к иметь доступ к информации, уполномоченным при необходимости. Должны быть затронуты информации, поэтому он не доступен при необходимости и разрешения, то нарушена доступность.

Информационный риск возникает тогда, когда конфиденциальность, доступность или целостность данных может быть нарушена. Для уменьшения риска, элементы управления могут разработаны и реализованы для обеспечения повышенной гарантии информации. Элемент управления является гарантией или контрмеры, предназначенные для предотвращения, сведения к минимуму или противодействия риску.

Практика обеспечения информации опирается на выявление рисков и применения соответствующих элементов управления. Однако с течением времени эта практика пришла быть отнесены к категории «риск неблагоприятного» и рассматриваться в качестве препятствия для эффективности бизнеса. Специалисты по информационной безопасности, помечены как препятствия для успешного осуществления и предоставления ИТ-решений. Результирующая деловая культура не хочет привлекать и запрашивать ввод от него групп безопасности, поскольку входные данные могут создавать бизнес-риск для проекта и задержки в осуществлении. Эта точка зрения исходит из практики создания избежания риска подхода к информационной безопасности, основанных исключительно на технических угроз, выявление рисков и использование как можно больше элементов управления как можно уменьшить риск. Конечным результатом этой практики является программа безопасности, которая не в его эффективности данного нежелание на организационном уровне для привлечения безопасности на ранних этапах проектов и планирования. Практика истинной информации гарантии должны также признать ценность и важность предоставления информации имеющихся и создания безопасной практики, обмена информацией.

В первые 6 месяцев 2010 года McAfee (2010) обнаружили более 10 миллионов новых произведений вредоносных программ. По данным США интеллектуальной собственности доклад Комиссии (Комиссия по IP, 2013) сотни миллиардов долларов будут потеряны каждый год для кражи интеллектуальной собственности. Все чаще эта кража является результатом кибератаки против Соединенных Штатов электронной инфраструктуры. Сложные образцы вредоносных программ были обнаружены в последние годы, продемонстрировали возможность атаковать сети управления SCADA и негативно сказаться на критической инфраструктуры. Двумя наиболее яркими примерами являются «Stuxnet» и «Пламя» (Klochender, 2013). Вместе все эти примеры иллюстрируют сбой в существующей практике обеспечения информации и повышение сложности и возможности кибер противников. Сталкиваясь с этими проблемами, многие организации могут по умолчанию для реализации более контроля безопасности для сведения к минимуму уязвимости и отрицать кибер adversaries доступа к системам. Подход сосредоточены исключительно на элементах управления в конечном счете окажется неудачным находчивость и возможности участников вредоносных угроз, как показано в приведенных выше примерах. Через историю оказания помощи клиентам в различных секторах и различных уровнях государственного управления, Seccuris определил общую нить: Хотя большинство организаций безопасности и признают необходимость надлежащей практики безопасности ИТ, им не хватает необходимых знаний, необходимых для создания эффективной безопасности программ.

Программы безопасности должна обеспечить надлежащую защиту информации и информационных ресурсов. Эта защита должна соответствовать окружающей среде, которая требует идентификации какая информация наиболее важна для Организации. Без четкого понимания приоритетов информации и информационной безопасности, организации способны определения приоритетов контроля улучшений. Отсутствие архитектуры структурированной безопасности влияет на все аспекты организации ИТ программы безопасности, включая угрозы, мониторинг, управление уязвимостями, управление идентификацией и реагирования на инциденты просто назвать несколько. Эффективные меры безопасности операций требуют эффективной безопасности архитектуры.

Шервуд применяется архитектура безопасности бизнеса (SABSA)

Если безопасность быть громоздким или интрузивной в деловой практике, бойницами и ярлыки принимаются в обход реализованных элементов управления, создавая повышенный риск, который не учитываются и легко капитализируется на угрозы, стремясь поставить под угрозу конфиденциальность, целостность и доступность данных. Шервуд применяемые бизнес безопасности архитектуры (SABSA) методология для архитектуры безопасности предприятия и программы могут быть использованы для устранения этого недостатка (Шервуд, соавт., 2009).

По сути SABSA подход сосредоточена по безопасности бизнес enabler, а не препятствие и избежать неудобств. SABSA подход создает понимание бизнес-целей Организации и обеспечивает структурированный подход к разработке программы безопасности, которая поддерживает эти цели. Безопасность не мешает бизнес-цели, но вместо этого предоставляет гарантии вокруг операционного риска, что может негативно сказаться на бизнесе и, по сути, позволяет организации взять на новые стратегические возможности.

SABSA представляет собой уникальный подход к обеспечению информации потому, что она стремится согласовать программы безопасности с основных бизнес-задач Организации и водителей. При этом SABSA подход рассматривает риск как то, что может не только препятствовать бизнес, но может также включить новые возможности. Это необходимо для организации принять риск для того, чтобы делать бизнес и быть эффективными. Обнимая правильный тип риска имеет потенциал ведущих к счастья для бизнеса (карта, 2013).

Важным элементом для рассмотрения при выборе архитектурных рамок для обеспечения безопасности, является, что многие организации уже созданной программы архитектуры ИТ для облегчения доставки ИТ-проектов. Некоторые существующие архитектурные рамки включают рамки архитектуры Open Group (TOGAF) и Захмана; Однако такие рамки традиционно не рассматриваются требования безопасности. Кроме того многие организации внедряют службы управления программами для управления и эксплуатации систем и услуг. Библиотека инфраструктуры информационной технологии (ITIL) является примером такой структуры службы управления. SABSA является уникальным среди архитектурных платформ в том, что она не стремится заменить или вмешиваться в эти существующие рамки и практики, но вместо этого интегрируется с ними и предоставляет инструменты, необходимые для согласования и поддержки существующих архитектурных программ. Эта легкость выравнивания с существующими платформами и ориентация на использование безопасности как бизнес enabler являются ключевыми критериями, которые затрагивают Seccuris решение использовать SABSA в качестве основы для предоставления корпоративных архитектур безопасности.

Обеспечить безопасность для всех заинтересованных сторон в рамках Организации, SABSA framework вводит многоуровневый подход к архитектуре. Каждый слой соответствует другой игрок зрения в рамках Организации как она касается указания, проектирования, строительства и эксплуатации архитектуры безопасности, как показано на рисунке 1.

Рисунок 1

Рисунок 1. SABSA модель для архитектуры безопасности

Для каждого из архитектурных представлений на рис. 1 SABSA призывает архитектуру безопасности рассмотреть следующие ключевые вопросы:

  1. Что вы пытаетесь защитить на каждом уровне? (Активы)
  2. Почему вы защищаете этих активов? (Мотивация)
  3. Как вы будете достижения вашей цели? (Процесс)
  4. Кто участвует в применении безопасности? (Люди)
  5. Где вы подаете заявление безопасности? (Местоположение)
  6. Когда вы подаете заявление безопасности? (Время)

SABSA обеспечивает теорию и справочные знания, необходимые для осуществления ориентированных на бизнес безопасности архитектуры; Однако. практика предоставления архитектуры остается до безопасности практик. Как описано в следующем разделе, Seccuris разработала repeatable процесс и процедуры, которые ответы на вышеуказанные вопросы для каждого слоя архитектурной модели.

Корпоративная архитектура безопасности: Создание бизнес-контекст

Управляемый бизнес подход к архитектуре безопасности предприятия означает, что безопасность о включении цели Организации путем управления операционным риском. Этот подход, ориентированный на бизнес становится ключевым отличием для существующей безопасности практики, которые ориентированы исключительно на выявление угроз предприятия и технической уязвимости инфраструктуры, а впоследствии осуществления мер контроля для снижения рисков, представил. Исключительно на основе угрозы подхода к управлению рисками не может обеспечить эффективную безопасность и бизнес-операций. Термин безопасности будет иметь очень разные значения для разных организаций. Например рассмотрим безопасности применительно к военной организации и безопасности, относящиеся к сети розничной торговли, который обрабатывает информацию о кредитной карте. Бизнес-модели для этих двух организаций будут очень разные, и как следствие, программы безопасности должны быть уникальными и имеющим отношение к их основной деятельности. Военная организация может определить, что наиболее важным активом для защиты жизни своих солдат, как они участвуют в военных операциях. Для обеспечения гарантий безопасности солдата, архитектуры безопасности необходимы для защиты информации и информационных систем, которые могут повлиять на безопасность военнослужащих. Решения могут варьироваться от обеспечения логистических систем, которые управляют доставкой поставок продовольствия и боеприпасов по-прежнему доступны и защищены целостность данных для защиты конфиденциальности планов миссий и военной разведки, что, если взломана, может причинить значительный вред войне боевиков. И наоборот Интернет-магазин вероятно наиболее касается соблюдения стандартов, установленных индустрии платежных карт. Эти стандарты предназначены для защиты конфиденциальности личной информации и целостности транзакций. Интернет-магазин может иметь более низкие пороговые значения для доступности затем система военной логистики. Потребности для конфиденциальности, доступности и целостности данных должны быть сбалансированными и приемлемой для деловой деятельности.

Разработка архитектуры безопасности начинается с понимания бизнеса, что достигается путем определения бизнес-факторов и атрибутов. Водитель бизнес связан с стратегии, оперативных планов и ключевые элементы, которые считаются важными для успеха Организации. Бизнес атрибут является ключевым свойством стратегических целей, которые необходимо включить или под защитой программы безопасности предприятия. Старшие руководители Организации, которые установили долгосрочную стратегию и направление бизнеса, обычно может обеспечить знания о бизнес-факторов. Водители часто отражаются в организации Миссия и видение. Рассмотрим наша военная организация, которая может иметь стратегической целью «операционного превосходства». Этот бизнес драйвер может быть дистиллированной в соответствующие атрибуты, которые требуют гарантии для удовлетворения общепрограммной бизнес водителя. И наоборот Интернет-магазин может иметь стратегической целью является «заказчика», как выражается в их видении заявлении для обеспечения превосходной онлайн покупок опыт.

Атрибуты бизнес в целом можно определить путем понимания бизнес-факторов, которые устанавливаются верхние уровни Организации. Архитекторы безопасности часто будут проводить структурированные интервью со старшим руководством для того, чтобы определить атрибуты бизнес, определяя суть того, что передается высокого уровня бизнес-факторов. В примере бизнес драйвера помечены «операционного превосходства» руководители могут ссылаться на доступность, надежность и безопасность их операций и ресурсов. В этом случае бизнес атрибуты, определенные «доступные», «безопасные» и «надежный». Каждый атрибут затем привязывается к драйверу бизнес они поддерживают. Это сопряжение бизнес драйвера и атрибутов приводит к созданию прокси актива. Опять же основываясь на нашем примере, образец прокси активов является «операционного превосходства» с атрибутом «доступно». Каждый прокси актив является собственностью Организации и оценивается как имеющие значение для них. То, что актив прокси имеет значение устанавливает требование, что оно должно быть защищено. Стоимость этих активов прокси трудно определить, поскольку они часто являются нематериальными и существуют на очень высоком уровне. Несмотря на то что не в состоянии назначить денежную стоимость активов прокси, по-прежнему можно определить риски, которые могут действовать в отношении актива. Наш Интернет-магазин может иметь атрибуты «конфиденциально», «авторитетные» и «без ошибок».

Инвентаризация активов прокси-сервера может быть сохранен архитектор безопасности и будет рассматриваться в качестве ключевых активов Организации. Позднее это используется для проведения оценки угроз и рисков бизнеса для выявления рисков для бизнеса. Именно через оценки угроз и рисков бизнеса, что иногда соревнуясь аспекты конфиденциальности, целостности и доступности могут быть согласованы. Когда понимание общей цели и потребности бизнеса через прокси активов, влияние можно понять, как она относится к конфиденциальности, целостности и доступности. Понимание бизнеса помогает расставить приоритеты какие из этих элементов является наиболее важным, и какие аспекты бизнеса наиболее нуждающихся в защите.

Идентификация риска

Традиционные угрозы на основе рисков, которые могут быть уменьшены через элемент управления потому, что они приведут к потере стоимости. Многие организации полагаются на оценку риска угрозы для создания перечня угроз, которые могут оказать негативное воздействие на бизнес. Эти угрозы затем сопоставляются уязвимости, при эксплуатации, привести компромисс к организации бизнеса. Управление этим риском часто зависит от развертывания мер безопасности, которые предлагают форму смягчения последствий. Рассмотрим, например, внешний веб-сайт, который имеет техническую уязвимость, которая может привести угрозы использования этой уязвимости, таких, как отказ в обслуживании нападения, которое сделает сайт недоступным. Анализ рисков на основе угрозы будет выявлять угрозы и представить рекомендации в отношении улучшения контроля для снижения риска. Это может включать развертывание веб приложений брандмауэра для обеспечения возможности предотвращения вторжений, расширения сети мониторинга, развертывание дополнительных брандмауэров и обновления программного обеспечения для уменьшения уязвимости.

Традиционный подход, описанный выше успешно определяет риск, основанный на анализе возможных угроз и предоставляет средства смягчения этого риска. Отношение риска воздействия бизнеса, однако, отсутствует в этом подходе. Возможно сервер используется для тестирования с небольшим количеством деловых партнеров, и отказ в обслуживании не риск важности. Реализация элементов управления иногда не обеспечивает защиту для того, что действительно важно для бизнеса. Элементы управления могут повысить сложность в сети и нести расходы, которые можно было бы избежать. При определении риска, используя подходы только на основе угрозы, ключевая информация, скорее всего отсутствует, который мог бы сообщил архитектор безопасности о том, где для определения приоритетов контроля улучшений. Еще одна проблема с угрозой подходов является, что они не учитывают потенциальные возможности, которые могут быть реализованы при принятии риска.

Рассмотрим нетрадиционные идеи, что риски также могут быть классифицированы как на основе возможностей-эта перспектива не хватает от практики обеспечения традиционной информации. На основе возможностей риска может увеличить стоимость активов. Такой подход позволяет нам понять двойственность риска. Некоторые риски должны быть уменьшены, в то время как другие могут быть приняты как нечто, что не обязательно следует избегать; с некоторым уровнем имманентный риск всегда действуют предприятия.

Когда бизнес и безопасности архитекторы понимают двойственность риска, они также могут сосредоточиться на риск признания, а не просто избежания риска. С этой целью Организация разрабатывает ключевые индикаторы производительности (KPI) и показатели ключевых риска (КРИС). Ключевые индикаторы производительности являются меры стоимости и производительности бизнес атрибутов в контексте бизнес драйвера. Крис являются меры риска, и они устанавливают пороговые уровни риска для обеспечения раннего предупреждения, когда риск будет превышать толерантность к риску Организации.

В нашем примере военного мы определили «оперативные excellence», как водитель бизнес и «доступный» как атрибут. Разработка ключевого показателя эффективности вокруг доступности операционных систем позволит Организации для измерения доступности и времени бесперебойной работы основных бизнес-приложений. Производительность этого приложения может отслеживаться со временем для обеспечения наличия и поддерживает бизнес водитель «операционного превосходства». И наоборот можно рассматривать этот же пример с другим углом и в развитии KRI. KRI отличается от ключевого показателя эффективности в том, что он устанавливает порог или условие, которое создает состояние предупреждения. Мониторинг Крис позволяет судить, когда риск должен превысить установленные допустимые уровни. В нашем примере KRI может позволить текущие измерения времени, которое приложение недоступно. Система может быть недоступна из-за технических обстоятельств, таких как сбой сети, обновления программного обеспечения или других инцидентов ИТ. Измерение времени, которое приложение является недоступным будет способствовать идентификации установленного порога, который устанавливает неприемлемое поведение. Когда ключевые бизнес-приложения этот порог, оповещения можно создавать для предупредить, что вскоре будет превышен допуск установленной опасности.

В нашем интернет-магазине примере атрибут «ошибки» можно применить для обработки финансовых операций. Для того, чтобы обеспечить согласованную работу пользователей и поддерживать доверие клиентов, Интернет-магазин хочет обеспечить, чтобы любые транзакции без ошибок. KRI могут быть созданы для захвата каждый раз, когда финансовая операция является спорным из-за потенциальной ошибки. Вполне вероятно, что очень низкий порог будет создаваться и любые ошибки будут вызывать соответствующий ответ для расследования и устранения причины ошибки.

Независимо от выбранного индикатора (например, KPI или Крис) при рассмотрении в контексте бизнес-факторов и атрибутов, становится возможным для безопасности, чтобы иметь достаточную информацию для рассмотрения риска в контексте бизнес-целей. Это понимание риска будет способствовать всеобъемлющей модели бизнес-рисков, которая необходима для безопасности архитектора для успешного развития архитектуры безопасности на уровне предприятия.

Создание модели бизнес-рисков

Модель бизнес-рисков обеспечивает механизм для количественной оценки рисков и обеспечения того, что она сохраняет свою актуальность для бизнеса и атрибутов (как описано выше). Модель бизнес рисков основывается на понимании риска, сосредоточены на установленных прокси активов, а также Крис и ключевые индикаторы производительности. В дополнение к прокси активов и ключевых индикаторов производительности и Крис, есть другие модели, которые также должны быть разработаны и понимать для завершения модели бизнес рисков: i) доверять модели и деловые отношения, ii) угроз, действующих против бизнеса и iii) гарантии, которые были реализованы. Этот подход похож на оценку риска угрозы; Однако разница, что угроза риска меры риска для системы или ИТ-среде. Архитектура безопасности предприятия измеряет риск для прокси активов, которые представляют организации бизнеса.

Доверять модели

Доверие необходимо рассматривать в контексте общего бизнеса как атрибут бизнес, не технический характер. Всякий раз, когда два или несколько образований, необходимые для взаимодействия и обмена информацией, доверие должны сначала установить между двумя образованиями. Доверие может устанавливаться путем регистрации сущности с другой. Регистрирующий орган затем будет доверять сущность, которая была зарегистрирована, на основе механизмов гарантий. Уровни гарантии, необходимые для установления доверия, зависимости степени риска.

В качестве примера рассмотрим лавочник продажи лотерейных билетов клиента. Для лавочника доверять клиенту они требуют допустимые формы идентификации, например, водительские права, чтобы проверить возраст клиента. Решение требовать лицензии водителя на основе риска решения лавочника на ли лицо появляется в возрасте или нет. С другой стороны клиент должен доверять лавочник как действительный купец, право на продажу лотерейных билетов. Это доверие устанавливается посредством четкого отображения лицензии лотереи выданных и подтвержденных правительством. После проверки эти заверения лавочника и клиент установить двусторонние доверительные отношения для завершения транзакции.

Понимание риска бизнеса требует правильно понимать отношения внутренних и внешних бизнес. Оценка необходима для сбора информации, касающейся критичности отношения, чувствительность информации и существующих методов обеспечения доверия между сторонами, участвующими в отношениях. Архитектор безопасности может изучить отношения как внутренних, так и внешними для организации определить точки, где осуществляется обмен информацией. Эта информация может использоваться архитектор безопасности слоя логические отношения к физической ИТ-среды для определения приоритетности размещения элементов управления для обеспечения доверия и защиты информации, как это осуществляется в рамках деловых отношений.

Модели угроз

Угрозы являются сущности или вещи, действующие против бизнеса, которые наносят ущерб или вред Организации. Развитие понимания угроз является важным шагом в развитии осознания риска. Как правило гарантии осуществляются по смягчению ущерба, вызванных угрозой, которая использует уязвимость. Угроза может быть преднамеренное действие, принятых органом, или может быть случайно, на основе непреднамеренного реализации сценария, который создает риск. Стихийные бедствия, такие, как огонь и наводнения, являются угрозы, которые могут повлиять на бизнес. Понимание этих угроз, вероятность их работы против бизнеса и тяжести последствий, если им удастся, помогает в создании приоритетов угроз, на основе воздействия и вероятности реализации.

В случае нашей военной организации угрозу доступности может материализоваться от враждебного государственного учреждения или военных, будет стремиться нарушить доступность ключевых систем, необходимых для эффективного военных операций. Интернет-магазин не обязательно занимаются военными угрозами и вместо этого будет рассматривать организованной преступности как угроза, которая будет стремиться к злоупотреблению технического приложения в среде розничной торговли для целей финансовой выгоды. Эта угроза может включать получение доступа к конфиденциальным данных для кражи личных данных или использования уязвимостей приложений на заказ получить товар без оплаты полной стоимости. Модель угроз можно сделать соответствующие организации путем рассмотрения угроз, которые затрагивают этот прокси активы, определенные ранее в процессе.

Гарантии

Окончательная модель, необходимые для создания бизнес-модели риска является понимание существующих гарантий и любые пробелы, которые существуют в уменьшении рисков, связанных с угрозой активностью. Промышленности следуют различные стандарты наилучшей практики и механизмов для оценки их относительной зрелости в отношении контроля безопасности и гарантий, для уменьшения риска.

Структура управления популярной общего назначения — ISO 27002, который международной организацией по стандартизации (ИСО). Этот стандарт обеспечивает отрасли наилучшей практики для управления информационной безопасностью. Другие системы контроля для промышленности включают североамериканской электрической надежности корпорации (НКРЭ) критической инфраструктуры защиты (CIP) стандарт и стандарты международного общества автоматизации (ISA). Выбор надлежащих рамок является важным шагом в проведении обзора и определения соответствующих пробелов. Каждый бизнес будет иметь уникальный набор элементов управления, имеющих отношение к их промышленности и регулируемой защите. После выбора рамки элемента управления Обзор элементов управления могут осуществляться наряду с оценкой уровня зрелости для каждого элемента управления и степень, в которой он реализуется в бизнесе.

После того, как были собраны все данные риски, отношения и доверие, угроз и эффективности контроля, неотъемлемый риск для бизнеса описаны и представлены. Первоначальная оценка проводится, где влияние риска реализуется считается, независимо от любых существующих элементов управления, для количественной оценки серьезности риска. Исходя из этого понимания присущего риска, архитектор безопасности может определить области для улучшения, которые будут управлять риском и установления приемлемых пороговых значений. Имманентный риск является мерой риска для предприятия до любых элементов управления, которые выполняются.

Риск можно классифицировать по шкале с учетом потребностей Организации; Однако по существу, риск будет количественно как незначительный, приемлемое, значительные или тяжелой. В случае незначительной опасности никаких действий не требуется, в то время как приемлемый риск требует мониторинга для обеспечения он остается на приемлемом уровне. Значительные и серьезные риски требуют принятия мер для установления порога рисков, в котором бизнес является удобной работы, для максимального использования возможностей. Оценка риска известен как остаточный риск, который является риск того, что остается после контроля безопасности и усовершенствования выбраны, утверждены и реализованы в среде. Усовершенствования элементов управления можно моделировать и новые оценки риска можно рассчитать для разработки стратегий уменьшения риска. Этот процесс показывает, как улучшения безопасности могут повлиять на риск всего предприятия. Поскольку различные усовершенствования различных сложностей и затрат, чтобы показать варианты и потенциальные выгоды по мере того как контроль улучшений можно построить несколько моделей. Такой подход позволяет понимание аппетит риска и обеспечивает общий бизнес рисков.

Использование модели бизнес рисков для привода архитектуры безопасности

После завершения бизнес-модель рисков, архитектор безопасности может использовать эту информацию для создания логической безопасности служб. Логическая служба определяется независимо от какого-либо физического механизма, который может использоваться для предоставления услуг. Самое главное логический сервис будет изгнан из атрибутов бизнес и модели бизнес рисков. Служба безопасности является поэтому сочетание мер безопасности, которые работают совместно для поддержки доставки ценных бизнес-услуги. Ряд служб безопасности могут быть разработаны для обеспечения «обороны в глубине» и увеличить общую уверенность в информации, которая имеет важное значение для бизнеса. Примеры служб безопасности, которые могут быть созданы могут включать угрозу управление, управление уязвимостями и доступ к сети. Эти услуги будут являться частью каталога служб безопасности и, как следствие, Услуги могут быть выбраны и реализованы с учетом потребностей конкретной деловой инициативы. В отличие от традиционных безопасности элементов управления эти услуги являются производными от бизнес-драйверов и атрибутов, и они обеспечивают прослеживаемости для бизнес-целей.

Услуги проектироваться будет опираться на информацию, собранную в модели бизнес рисков особенно понимания взаимосвязей, выраженные как физические границы, где информация является общей, угрозы, которые работают против окружающей среды и возможности для усовершенствования управления для уменьшения рисков, введены угрозы. Дополнительным преимуществом развития служб безопасности, на основе модели бизнес рисков является, что можно поддерживать полную прослеживаемость, продемонстрировав тем самым, что инициативы в области безопасности связаны с поддержки организации бизнеса и эффективного управления как на основе угрозы и возможности риска.

Отношение к кибербезопасности

Хотя концепция корпоративной безопасности архитектуры не предоставляет конкретный технический инструмент, с которым по преодолению современных постоянных угроз или атак нулевого дня, он предоставляет важнейшим инструментом для выявления и оценки активов ценность для Организации. Этот шаг часто отсутствует при разработке программ безопасности, которые могут привести к развертыванию элементов управления без правильного понимания того, каким образом они могут препятствовать или поддержки общих бизнес-целей.

Рассмотрим наши два примера: военная организация и Интернет-магазине. Оба, вероятно иметь Интернет сайт. Цель этих сайтов будут очень разные, в обоих случаях. Для военных он скорее всего содержит общие сведения на неклассифицированных уровне для широкой общественности; Он скорее всего не будет использоваться для оперативных миссий и будет находиться в отдельном сегменте сети от критических операционных систем. Интернет-магазин, однако, будет использовать веб-сайт как переднего плана для их электронного бизнеса, где веб-сайт предоставляет клиентам возможность просматривать и приобретать товары. Если обе организации корпоративной архитектуры безопасности, они лучше оснащены для удовлетворения и дело с угрозой деятельности, когда она материализует против веб-сайта.

В случае атаки нулевого дня против их веб-сервер военные поймут, что нападение не затрагивает каких-либо важной информации и не относится к ключу, который является основополагающим для успеха Организации. В ходе реагирования на инциденты усилия и средства, используемые для ответа будет уместно, и улучшение управления будет сбалансированной основе стоимости, результативности и толерантность к риску. Хотя репутация Организации может быть повреждена информация выйдет общественности, общее влияние будет минимальным. Интернет-магазин, однако, потребуется много другой ответ, на основе их потребностей бизнеса. Кроме того службы логической безопасности, которые мы говорили бы направлены защиты конфиденциальности и обеспечения обработки ошибок. Хотя обсуждение логических услуг дизайна выходит за рамки данной статьи, кратко рассмотрим понятие уязвимости управления. Интернет-магазин скорее всего будет выполнять регулярные оценки веб приложений и уязвимости тестирования против своего веб-сайта и веб-приложения соответствующим образом защитить данные клиентов. Военная организация, также осуществляет программу управления уязвимостью, скорее всего будет сканировать веб-сайт гораздо реже основе и направленности усилий по обеспечению безопасности миссии критически важных систем, требующих высокой доступности.

Корпоративная архитектура безопасности помогает организациям идентифицировать активы, имеющих важнейшее значение для их организации. Попытки новых киберугроз счетчика без четкого понимания потребностей бизнеса организации приведет к неэффективной безопасности контроля и практики. Когда безопасность рассматривается в контексте предприятия, как enabler и средства обеспечения успеха бизнеса, улучшения контроля могут быть приспособлены к окружающей среды для решения более сложных и сложных сценариев угроз. В случаях 10 миллионов новых вредоносных программ каждые шесть месяцев, кража интеллектуальной собственности в миллиарды долларов и сложные вторжений, такие, как Stuxnet, организации зачастую неспособны приоритизации инициатив в области безопасности, и они по умолчанию технические решения без надлежащего выявления критически важных активов и информации. Кибер вызов требует, чтобы организации быть лучше оснащен, чем угрозы, действуя против них, и корпоративной архитектуры безопасности предоставляет эту возможность.

Заключение

Для гарантии информации эффективно обеспечивать надлежащий баланс между защитой информации и сделать правильную информацию, легко поддающийся уполномоченным лицам, архитектуры безопасности предприятия должна разрабатываться с уделением особого внимания бизнес-целей. Архитектура безопасности предприятия должна обеспечить средства смягчения риска, а также поддержки бизнеса для реализации новых возможностей.

Подход, описанный в данной статье обеспечивает безопасности практиков и руководителей с ведома и фундаментальные сведения, необходимые для подключения безопасности производительности к предпринимательской деятельности. Как ИТ-угроз, с которыми сталкивается Организация по-прежнему увеличиваться в объеме и разнообразии, разумный подход необходим для устранения угроз продолжая поддерживать операции бизнеса. Организации, которые сосредоточены исключительно на искоренение угроз и уязвимостей при разработке архитектуры риск безопасности, создание условий, где безопасность становится препятствием для операций. Управляемый бизнес подход к архитектуре безопасности помогает организациям определить приоритетность где элементы управления необходимы для защиты критически важной информации, и это помогает им определить, какой уровень риска является приемлемым.

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
2 голоса были поданы с средний балл 4,5 звезды

Ключевые слова: кибербезопасности, киберугроз, гарантии информации, Информационный риск, информационная безопасность, риск, архитектура безопасности

Комментарии

вопросам

Легко читать и перевариваются

Полезный обзор. В какой степени вы думаете архитектор безопасности следует привлекать для защиты атрибут «без ошибок» в отличие от «мошенничество бесплатно»? Возможные причины ошибки включают ошибки в программный код, плохой дизайн пользовательского интерфейса, отсутствие профессиональной подготовки, а также вредоносные изменения и проблемы целостности данных. Хотя любой из них может причинить вред, я думаю, если мы расширяем наше определение безопасности бизнеса означает защиту бизнеса от всех форм вреда, мы вероятно также должны включать услуги и механизмы, чтобы остановить наших execs, дурачить себя, попасться в компрометировать позиции и наркотические привычки. Как-то я не думаю, что эти вещи находятся в области архитектуры безопасности.

Легко понять.
Возможно ли предоставить нам некоторые sabsa или ресурсы архитектуры общих infosec как тот, который вы опубликовали?

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.