SABSA (Sherwood Applied Business Security Architecture ) - это структура и методология для предприятий архитектура безопасности и управление услугами. Он был разработан независимо от Zachman Framework, но имеет аналогичную структуру.
SABSA - это модель и методология для разработки корпоративных архитектур информационной безопасности, ориентированных на риски, и для предоставления решений инфраструктуры безопасности, поддерживающих важные бизнес-инициативы. Основная характеристика модели SABSA состоит в том, что все должно быть выведено из анализа бизнес-требований к безопасности, особенно тех, в которых безопасность выполняет вспомогательную функцию, с помощью которой могут развиваться и использоваться новые бизнес-возможности.
Процесс анализирует бизнес-требования с самого начала и создает цепочку прослеживаемости через стратегию и концепцию, проектирование, внедрение и текущие этапы «управления и измерения» жизненного цикла для обеспечить сохранение бизнес-мандата. Рамочные инструменты, созданные на основе практического опыта, дополнительно поддерживают всю методологию.
Модель многоуровневая, причем верхний уровень является этапом определения бизнес-требований. На каждом нижнем уровне разрабатывается новый уровень абстракции и детализации, проходящий через определение концептуальной архитектуры, архитектуры логических сервисов, архитектуры физической инфраструктуры и, наконец, на самом нижнем уровне выбор технологий и продуктов (компонентная архитектура).
Сама модель SABSA является общей и может быть отправной точкой для любой организации, но, пройдя через процесс анализа и принятия решений, подразумеваемых ее структурой, она становится специфичной для предприятия и, наконец, в высшей степени адаптированы к уникальной бизнес-модели. В действительности она становится архитектурой безопасности предприятия и играет центральную роль в успехе стратегической программы управления информационной безопасностью в организации.
SABSA - это частный пример методологии, которую можно использовать как в среде IT (информационные технологии), так и в среде OT (операционные технологии).
Активы (что) | Мотивация (почему) | Процесс (как) | Люди (кто) | Местоположение (Где) | Время (Когда) | |
---|---|---|---|---|---|---|
Контекстное | Бизнес | Модель бизнес-риска | Модель бизнес-процесса | Бизнес-организация и отношения | Бизнес-география | Деловые временные зависимости |
Концептуальные | Профиль бизнес-атрибутов | Цели управления | Стратегии безопасности и архитектурные уровни | Модель объекта безопасности и структура доверия | Модель домена безопасности | Срок службы и сроки, связанные с безопасностью |
Логические | Модель бизнес-информации | Политики безопасности | Службы безопасности | Схема объекта и профили привилегий | Определения и ассоциации домена безопасности | Безопасность цикл обработки |
Физическая | Модель бизнес-данных | Правила, практики и процедуры безопасности | Механизмы безопасности | Пользователи, приложения и пользовательский интерфейс | Платформа и сетевая инфраструктура | Выполнение структуры управления |
Компонент | Подробные структуры данных | Стандарты безопасности | Продукты и инструменты безопасности | Идентификаторы, функции, действия и ACL | Процессы, узлы, адреса и протоколы | Время и последовательность шагов безопасности |
Операционные | Обеспечение непрерывности работы | Управление операционными рисками | Управление и поддержка служб безопасности | Управление и поддержка приложений и пользователей | Безопасность сайтов и платформ | График операций по обеспечению безопасности |
Примечание. Выше приведена исходная матрица SABSA, которая действует и сегодня, но она была расширена за счет комплексной матрицы управления услугами и обновлена в некоторых деталях. и области терминологии. По словам Дэвида Линаса, автора SABSA, «Матрица SABSA и Матрица управления услугами SABSA не обновлялись с конца 90-х годов. Мы переработали их, чтобы внести улучшения, о которых вы просили за последние годы. Мы принципиально не изменились. структура или принципы матриц (очень немногие элементы изменили свое положение), но основное внимание уделяется обновлению терминологии и согласованности ". Новые версии могут быть загружены (вместе с редакцией официального документа SABSA 2009 г. и другими важными документами, такими как план сертификации SABSA) на веб-сайте участников SABSA.