Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия

Разработка высокоуровневой инфраструктуры информационной безопасности (InfoSec) для вашей организации требует много времени и рабочей силы. Если не прилагать должных усилий для защиты сетевых данных, они, скорее всего, будут скомпрометированы в той или иной форме. Именно по этой причине создание и развитие корпоративной архитектуры информационной безопасности (EISA) происходит от идеи до создания.
Однако разработка EISA - это нечто большее, чем просто разработка контрольного списка. Это предприятие, которое требует планирования упражнений, которые помогают ключевым членам команды InfoSec иметь возможность вдумчиво определять системные данные и защищать их с большим усердием. Давайте рассмотрим, что означает EISA, как ее можно использовать в вашей организации и как этот динамичный набор мероприятий по планированию и проектированию может принести пользу другим решениям в области кибербезопасности в компании.
Архитектура информационной безопасности предприятия (EISAs) - это фундаментальные понятия или свойства системы в ее окружении, воплощенные в ее элементах, взаимоотношениях, а также в принципах ее проектирования и эволюции. Они являются фундаментальными понятиями и свойствами системы, которые определяют цель, контекст и принципы, которые обеспечивают полезное руководство для ИТ-персонала, чтобы помочь принять безопасные проектные решения. EISAs также определяют окружающую среду и отношения, в которых она существует, а также делают некоторые глубокие раскопки в концепциях и воображении системы.
С точки зрения непрофессионала, EISAs планируют вашу сетевую инфраструктуру реагировать определенным образом с целью повышения кибербезопасности. Они наделены способностью реагировать на сценарии, реагировать на входы и взаимодействия, демонстрировать поведение, основанное на внутренней и внешней среде. Будь то соответствие требованиям GDPR, EI3PAили PCI DSS, определенные принципы проектирования, изложенные в EISA, жизненно важны для того, как критические активы данных используются в наших организациях.
EISA должна быть определена бизнес - целями и поддерживать бизнес -потребности в гибком способе, который позволяет вашей организации укомплектовать персоналом на уровне, который вам требуется. Он также должен использоваться в качестве многоуровневого плана защиты ИТ, который анализирует риски и угрозы для вашего портфеля, устанавливая практические стандарты оценки рисков, а не только технические. Поддержание целенаправленной стратегии EISA - это в конечном счете то, что поможет вашей организации понять, как внутренние и внешние силы могут и будут влиять на ваш конечный результат в краткосрочной и долгосрочной перспективе.
Хотя она часто ассоциируется строго с технологией информационной безопасности, она более широко относится к практике обеспечения безопасности оптимизации бизнеса в том смысле, что она также касается архитектуры безопасности бизнеса, управления производительностью и архитектуры процессов безопасности. Оптимизация EISA осуществляется путем ее согласования с базовой бизнес - стратегией. Как только надежная EISA будет полностью интегрирована, компании смогут извлечь выгоду из новых технологических возможностей, которые могут обеспечить преимущества для бизнеса.
EISAs также согласовывает стратегии управления рисками с бизнес - стратегией, позволяя поддерживать новые технологии, которые воплощают организационные цели. Благодаря упрощению оперативного контроля, EISAs может помочь организациям оставаться гибкими даже в периоды быстрых изменений. Используя политику, правила и человеческие знания, EISAs может также оптимизировать продвижение операционной эффективности. 
Основная функция EISA заключается в последовательном документировании и передаче артефактов программы обеспечения безопасности. Таким образом, основной результат EISA - это набор документов, связывающих бизнес - драйверы с техническим руководством по внедрению. Эти документы разрабатываются последовательно через несколько уровней абстракции.
Три ключевых измерения структуры EISA заключаются в следующем:
Измерение Рамочная информация
Бизнес Представляет аспекты организации и процесса информационной безопасности. Эта точка зрения отражает «бизнес безопасности» в том смысле, что она отражает то, как информационная безопасность практикуется в организации, а также то, как «бизнес безопасности» взаимодействует с остальной частью предприятия через процессы, роли, обязанности и организационные структуры.
Информационный Представляет информацию, необходимую для выполнения функции информационной безопасности. Он представляет собой информационные модели, используемые группой безопасности, а также модели, используемые для захвата требований безопасности к корпоративной информации.
Технический Представляет архитектуры инфраструктуры безопасности. Он захватывает модели, которые используются для абстрактного определения различных требований к безопасности в руководстве для требуемых конфигураций аппаратного и программного обеспечения.
 
EISA должна описывать, как безопасность вплетается в ткань бизнеса. Процесс EISA должен допускать ввод данных из точек взаимодействия и сопряжения с компонентами проектирования из других дисциплин планирования. Затем, по мере развития архитектуры и процессов обеспечения безопасности, EISA может иметь более симбиотические отношения с архитектурой предприятия, позволяя легко интегрировать дальнейшие изменения.
Процесс EISA должен сводиться к дискретным компонентам информационных технологий, которые включают организационные схемы, виды деятельности и потоки процессов функционирования ИТ-организации. Эти диаграммы могут быть сконфигурированы в виде организационных циклов, включающих периоды и сроки, соответствующие поставщикам технологического оборудования, программного обеспечения и услуг. Приложения EISA, инвентаризация программного обеспечения и диаграммы также должны быть включены в эти диаграммы, чтобы обеспечить всестороннее понимание архитектуры.
События, сообщения и потоки данных также должны учитываться в структуре EISA, поскольку они относятся к интерфейсам между приложениями. Классификации данных, базы данных и вспомогательные модели данных также должны быть разработаны в стратегии, поскольку они относятся к оборудованию, платформам и компонентам хостинга. Это гарантирует, что организация понимает сложность своих серверов, сетевых компонентов и устройств безопасности, а также то, где они хранятся в случае нарушения данных. 
EISA состоит из трех уровней документов (требования, принципы и модели). Требования - это документы, которые определяют, чего пытается достичь архитектура. На стадии разработки идеи это представляет собой бизнес - требования (например, стратегические планы продуктов или нормативные требования). На этапе внедрения он представляет собой технические характеристики технологического продукта.
Принципы - это те документы, которые содержат утверждения, определяющие принятие решений в процессе проектирования. Это помогает руководить организациями в разработке, соблюдении требований и отслеживании их прогресса без замедления каких-либо процессов. Эта общекорпоративная перспектива принятия решений имеет большую долгосрочную ценность из-за гибкости, позволяющей предприятию планировать и управлять своими данными в соответствии со своей бизнес-стратегией.
Эффективная EISA требует комплексного подхода, при котором ИТ-команда организации внедряет политику, процессы, поведение и технологии во все бизнес - процессы, приложения, технологическую инфраструктуру и людей.
Для обеспечения масштабируемости и повторяемости такого решения группа безопасности должна определить и реализовать стратегические процессы обеспечения безопасности. Структура такой программы должна быть построена на соответствующей политике, которая обеспечивается эффективным сочетанием операционных процессов, культурного поведения и технологии. Весь персонал и организационные подразделения должны оставаться в соответствии с основными целями и стратегическим направлением организации, пока EISA находится на своей нынешней траектории.
Структура EISA должна быть направлена на то, чтобы помочь предприятию создавать, передавать и совершенствовать свои ключевые требования безопасности, принципы, правила и модели, способствующие развитию предприятия. Развивая структуру EISA таким образом, организация может повысить свою способность поддерживать позитивные изменения по мере того, как в будущем возникнут различные условия и условные проблемы для проблем безопасности.