Архитектура ИБ — статья в ДИС

Эту статью постигла непростая судьба. Она была отослана в издательство более полугода назад 😉  Но ввиду ее размера с ней была произведена операция обрезания и она сократилась примерно втрое (изначально было около 30-ти страниц). Посвящена она архитектуре информационной безопасности — теме нечастно возникающей в прессе и на конференциях.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    "Вот некоторые из следствий отсутствия архитектуры ИБ…"
    в добавление…

    Основное следствие с которым я сталкиваюсь — это заход в тупик и потери временных и финансовых ресурсов из за отсутствия представлений о жизненном цикле ИБ в связке с бизнес процессами.

    Компании решают сиюминутные задачи не представляя с чем придется столкнуться на следующем этапе ЖЦ. Из за этого теряют кучу денег и времени на постановку "вагона опять на рельсы"…

    Ответить
  2. Анонимный

    Доходит до того, что на этапе построения системы в целом включаются элементы, которые не позволяют построить целевую систему на последних этапах…

    Ну а свойство "адаптивности ИБ" вообще мало где рассматривается…

    Ответить
  3. Анонимный

    Ваши слова, да нашему руководству в уши..
    В российской действительности для крупных компаний имеет место быть лишь коррупционное "освоение" денег, которые выделяются на ИБ по остаточному принципу.

    Ответить
  4. Алексей Т.

    Статья в целом неплохая. Но за кучей красивых фраз не разглядеть, что же такое "архитектура". Из википедии "Архитекту́ра — структура, наиболее наглядная форма представления объектов реальности (модулей) для субъекта управления" (на мой взгляд примерно подойдет, хотя и необходимо свое определение архитектуры ИБ). А Вы, вместо объяснения людям, что такое архитектура ИБ и как ее правильно построить и что в нее включить (конечно что-то из этого в статье есть), опять про проблемы и что все рушится, гидротурбины и т.д. Не совсем понятно, чем плоха иерархия политик безопасности (или положений по ЗИ), в которых все это можно отлично отобразить. Интересно, что же там было на 30 страницах??? 🙂 В общем статья отличная для запугивания некомпетентных специалистов по ИБ.

    Ответить
  5. AndrewZ

    Думаю, что в России темы архитектуры ИБ (как и стратегии) являются высокими материями, сферическим конем в вакууме. Реальное предприятие имеет уже сложившуюся ИТ-инфраструктуру, которая может быть какой угодно неадекватной с точки зрения безопасности, но превосходной с точки зрения предоставления ИТ-сервисов. Можно поправить кое-какие детали в локальном масштабе (для чего люди заказывают аудит ИБ), как-то условно увязать их с целями бизнеса (защита интересов компании при широком использовании ИТ), но ни на архитектуру ни на стратегию это не тянет. Красивые слова, конструкции — не более. Стратегия и архитектура ИБ могут быть только там, где ожидается создание с нуля или радикальная перетряска ИТ вслед за автоматизацией/оптимизацией бизнес-процессов.

    Ответить
  6. Алексей Лукацкий

    AndrewZ: А также там, где текущее состояние ИБ не устраивает ни ИТ, ни руководство, ни саму ИБ.

    Ответить
  7. AndrewZ

    Вот как раз в этих случаях заказывают аудит и выполняют выданные рекомендации в т.ч. по реализации защитных мер. Но это не архитектура (стратегия) ИБ. Последнюю еще могут заказывать в двух случаях:
    1) Нужно как то обосновать бюджеты на ИБ в среднесрочной и долгосрочной перспективе, упорядочить работу.
    2) Идет перетряска бизнес-процессов/ИТ, нужно не забыть про ИБ, особенно имея горький опыт.

    Ни одно руководство не будет заказывать разработку архитектуры (стратегии) ИБ, если огромные деньги вбуханы на реализацию стратегии ИТ. ИБ всегда была в контексте. Если о ней забыли — дальше будут местечковое латание/выполнение отраслевых стандартов. Архитектуры (стратегии)ИБ не потребуется до следующей смены технологий.

    Ответить
  8. Алексей Лукацкий

    Стоп, стоп, стоп… Как вы реализуете стратегию, если у вас нет архитектуры? Архитектура отвечает на вопрос КУДА, а стратегия — КАК. Если вы не знаете КУДА, то как будете реализовывать КАК?

    Ответить
  9. UzbekRus

    Стоп, стоп, стоп тоже.
    Стратегия это куда
    Тактика это как

    Архитектура = стратегия
    Мероприятия = тактика

    Ответить
  10. Алексей Лукацкий

    Это ошибочно 😉 Архитектура и стратегия — это понятия одного порядка. В отличие от тактики.

    Ответить