SABSA – rámec pre budovanie bezpečnostnej architektúry v podnikoch

Architektúra je prostriedok, ktorým integrujeme rôzne riešenia a prístupy k rôznym a zložitým potrebám a ktorý poskytuje mechanizmus na riadenie takejto komplexnosti. SABSA definuje koncepčný vrstvový model (maticový model), ktorý umožňuje poskytovanie holistického, strategického architektonického prístupu a zameriava sa na riešenie taktických bezpečnostných cieľov.

Dátum publikácie:30. 7. 2020
Autor:eMsec s.r.o., Ing. Peter Matej

 

tt_ikony-na-okne

Implementácia bezpečnostnej architektúry je v podnikoch často dosť zmätočným procesom. Architektúra zabezpečenia totiž tradične pozostáva najmä z aplikovania preventívnych, detekčných a nápravných opatrení, ktoré sú implementované na ochranu podnikovej infraštruktúry a aplikácií.

V niektorých prípadoch (napr. pod tlakom relevantných zákonov ako zákon o kybernetickej bezpečnosti) podniky dopĺňajú bezpečnostnú architektúru pridaním riadiacich smerníc, bezpečnostných politík a postupov.

Aj mnoho profesionálov s tradičným prístupom k riešeniam v oblasti informačnej bezpečnosti považuje architektúru bezpečnosti len za súhrn bezpečnostných politík, hardvérových a softvérových prvkov ako nástrojov pre dosiahnutie určitej úrovne bezpečnosti a nástroje na jej monitorovanie. Aby sme porozumeli tomu, čo SABSA prináša, rozoberme si najprv základné pojmy, o ktoré sa SABSA opiera.

Základné pojmy

Skratka: SABSA – Sherwood Applied Business Security Architecture

Pojem: Enterprise Architecture (ďalej EA) framework (rámec podnikovej architektúry)

Podnik (enterprise): budeme chápať ako organizáciu (firmu, charitu, vládnu inštitúciu, agentúru...) alebo aj súbor sub-organizácií zdieľajúcich spoločný cieľ.

Architektúra: starostlivo navrhnutá štruktúra „niečoho“, popis štruktúry (komponentov) a správania (procesov) systému, tiež aktivita potrebná na realizáciu takýchto popisov.

EA teda predstavuje:

  • dokumentácia popisujúca štruktúru a správanie podniku (vrátane informačných systémov),
  • procesy pre popis organizácie (vrátane informačných systémov) pre plánovanie a riadenie zmien na zvýšenie integrity a flexibility činnosti podniku.

Framework (rámec): nie je presnou metodikou v zmysle normy, ale tak, ako je jeho názov, určuje obvykle hranice – rámce pre EA, a to zvyčajne v 3 oblastiach:

  • obsahová (štruktúra, metamodely,...),
  • procesná (aktivity),
  • organizačná (ľudia, roly).

Najjednoduchší spôsob, ako redukovať komplexnosť a zjednodušiť pohľad, je:

  • vytvoriť segmenty (organizačné segmenty) a
  • vytvoriť domény v každom segmente.

Takýto model pripomína v podstate maticovú štruktúru, ktorá má svoje riadky a stĺpce, pričom každý riadok, stĺpec, prípadne aj samotnú bunku je možné rozpracovať do podrobnejšej matice.

 

Odborný článok je uvedený v skrátenom znení. Celé znenie článku:

SABSA – rámec pre budovanie bezpečnostnej architektúry v podnikoch

 

Súvisiace odborné články

Súvisiace interné firemné predpisy

Súvisiace právne predpisy ZZ SR

Funkcie

Partner