Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Metodyka SABSA. Biznesowe ujęcie kwestii bezpieczeństwa w przedsiębiorstwie

Printer Friendly and PDF

lead.jpgPowszechne podejście do kwestii bezpieczeństwa

Wyniki dziesiątego badania Annual Global Information Security Survey1 wskazują, że najważniejszym czynnikiem motywującym do inwestycji w bezpieczeństwo informacji jest zapewnienie zgodności z regulacjami prawnymi – aż 64% ankietowanych dokonało takiego wyboru. Na kolejnych miejscach znalazły się konieczność zapewnienia prywatności i ochrony przetwarzanych danych (58%) oraz dążenie do osiągnięcia celów biznesowych (45%).

Zmieniające się regulacje prawne powodują, że wymagania wobec przedsiębiorstw są coraz ostrzejsze. Każda firma pragnąca uniknąć sankcji nakładanych przez regulatora podejmuje nowe inicjatywy, aby zarządzać bezpieczeństwem informacji w sposób kompleksowy. Najbardziej popularną techniką podejścia do zapewnienia bezpieczeństwa informacji w przedsiębiorstwie jest stosowanie standardów i norm bezpieczeństwa informacji, takich jak: BS 7799, ISO/IEC 17799, ISO/IEC 27001, ISO/IEC 20000, AS 8018 czy COBIT.

Standardy bezpieczeństwa informacji wdrożyło lub planuje wdrożyć w najbliższym czasie ponad 50% biorących udział w ww. badaniu przedsiębiorstw na świecie.
Stały rozwój tych wytycznych zapewnia pokrycie coraz większego obszaru działalności przedsiębiorstw. Proces wypracowywania zmian i formalnego uaktualniania istniejących standardów nie jest jednak w stanie nadążyć za ciągłymi zmianami biznesowymi czy technologicznymi. Coraz więcej obszarów nie jest objętych działaniami struktur bezpieczeństwa albo wymagania wobec nich nie są adekwatne do wykorzystywanych rozwiązań informatycznych, a przede wszystkim do potrzeb biznesu.

Architektura bezpieczeństwa

Wszelkie standardy i normy idealnie sprawdzają się jako narzędzie audytorskie, stosowane w celu zweryfikowania, czy obszary bezpieczeństwa zostały objęte odpowiednimi działaniami. Sytuacja przedstawia się znacznie gorzej w przypadku próby wdrażania mechanizmów bezpieczeństwa w przedsiębiorstwie w oparciu o te wytyczne. Zawierają one wymagania odnośnie obszarów, które mają zostać objęte zakresem wdrażania, natomiast nie mówią nic o samym sposobie ani podejściu do ich implementacji. Wynika z nich, co ma lub może być zrobione, natomiast brakuje wskazówek, jak tego dokonać.

Właściwe wdrożenie mechanizmów bezpieczeństwa wymaga podejścia gwarantującego całościowe i szersze spojrzenie na bezpieczeństwo w przedsiębiorstwie. Takie spojrzenie uwzględniać powinno stosowane mechanizmy ochrony wraz z określeniem ich wzajemnych powiązań biznesowych. Dodatkowo koncepcja wdrożenia musi pozwalać na zanalizowanie kwestii bezpieczeństwa przez pryzmat biznesu oraz zmuszać do odpowiedzi na podstawowe pytanie: czym jest bezpieczeństwo dla przedsiębiorstwa, czyli co to znaczy, że „jest bezpiecznie”? Jednocześnie musi być to kompleksowe podejście, które pomoże wyodrębnić wszystkie obszary działalności przedsiębiorstwa, które mogą mieć wpływ na jego bezpieczeństwo.

Przedstawione wymagania są możliwe do spełnienia przez spójną metodykę, która będzie w stanie zapewnić wdrożenie oraz zarządzanie architekturą bezpieczeństwa. Próby poszukiwań takiego rozwiązania podjęli się John Sherwood, David Lynas i Andrew Clark. Wynikiem ich prac była metodyka SABSA (ang. Sherwood Applied Business Security Architecture), która z czasem okazała się efektywnym narzędziem do kompleksowego podejścia do architektury bezpieczeństwa, gdyż może być dostosowana do specyficznych wymagań każdego przedsiębiorstwa.

SABSA nie jest kolejną metodyką, która powstała w oderwaniu od istniejących standardów i norm. Pierwotnie sporządzono ją na podstawie międzynarodowego standardu ISO 7498-2 1989: „Systemy przetwarzania informacji. Współdziałanie systemów otwartych (OSI). Podstawowy Model Odniesienia. Architektura zabezpieczeń”. Standard ten przedstawia oderwany od biznesu model składający się z trzech warstw: logicznej (opisującej usługi bezpieczeństwa), fizycznej (przedstawiającej mechanizmy bezpieczeństwa) oraz operacyjnej (wskazującej, jak zarządzać bezpieczeństwem). Zespół Johna Sherwooda dodał dwie górne warstwy (kontekstową i koncepcyjną), aby stworzyć model powiązany z biznesem, a także najniższą warstwę komponentową, pozwalającą na pokazanie związku z rzeczywistymi narzędziami.

Równolegle w Stanach Zjednoczonych opracowany został Model Ram Architektonicznych, stworzony przez zespół Johna Zachmana, który służy do całościowego spojrzenia na architekturę przedsiębiorstwa. Zapewnienie spójności metodyki SABSA z Modelem Zachmana wymagało kosmetycznych zmian. John Sherwood wraz z zespołem wprowadził je do swojej metodyki, jednakże oryginalna koncepcja SABSA pozostała prawie niezmieniona.

Koncepcja metodyki SABSA

Jedną z najistotniejszych różnic między metodyką SABSA a powszechnie stosowanymi koncepcjami bezpieczeństwa jest całkowita zmiana filozofi i myślenia o bezpieczeństwie, ze zmianą definicji bezpieczeństwa informacji włącznie. SABSA podważa kompletność jednego z fundamentów bezpieczeństwa informacji – zestawu atrybutów zdefiniowanych w normie BS 7799: poufności, integralności i dostępności. Te trzy atrybuty swoim zakresem pokrywają wiele aspektów bezpieczeństwa, ale są zbyt ogólne, przez co istnieje ryzyko zachwiania kompletności podejścia. Twórcy SABSA na swojej drodze do stworzenia metodyki brali udział w wielu projektach w obszarze bezpieczeństwa, podczas których wypracowali listę atrybutów odzwierciedlającą potrzeby przedsiębiorstwa w tym obszarze. Na podstawie swoich doświadczeń opracowali listę 85 atrybutów, które precyzyjnie opisują bezpieczeństwo firmy, a jednocześnie prezentują kontekst biznesowy. Ponadto istnieje możliwość uzupełniania tej listy o kolejne atrybuty charakterystyczne dla poszczególnych przedsiębiorstw.

SABSA ułatwia zrozumienie kwestii bezpieczeństwa poprzez odniesienie ich do faktycznych problemów, z którymi boryka się przedsiębiorstwo i użytkownicy. Robi to, wychodząc od zrozumienia specyfiki działalności przedsiębiorstwa i zachodzących w nim procesów biznesowych oraz wskazując, które spośród zdefiniowanych w SABSA atrybutów są dla przedsiębiorstwa najistotniejsze. Tworzy to płaszczyznę porozumienia pomiędzy biznesem a bezpieczeństwem i pozwala przedstawić wymagania bezpieczeństwa w formie zrozumiałej dla zarządu przedsiębiorstwa. Dzięki spójnemu obrazowi, na którym łączą się ze sobą aspekty biznesu i bezpieczeństwa, członkowie zarządu widzą kontekst biznesowy całego przedsięwzięcia. Pozwala to precyzyjnie określić kluczowe dla przedsiębiorstwa aspekty bezpieczeństwa oraz znaleźć optymalne rozwiązania.

Model SABSA

Całościowe podejście do zarządzania architekturą bezpieczeństwa w przedsiębiorstwie SABSA opiera się na sześciu warstwach (patrz: warstwy modelu SABSA):

  • kontekstowej, obejmującej umiejscowienie bezpieczeństwa i jego roli w biznesie;
  • koncepcyjnej, zawierającej wysokopoziomowy opis bezpieczeństwa – strategię bezpieczeństwa;
  • logicznej, zawierającej model organizacji, model przepływu informacji i politykę bezpieczeństwa;
  • fizycznej, opisującej procedury, mechanizmy, platformę i infrastrukturę sieciową;
  • komponentowej, obejmującej bezpośrednie narzędzia wdrożenia bezpieczeństwa – standardy, protokoły, certyfikaty;
  • operacyjnej, wspierającej pozostałe warstwy w codziennym funkcjonowaniu przedsiębiorstwa – bezpieczeństwo aplikacji, sieci, pomoc techniczną.
rys1.gif
Rys. 1. Warstwy modelu SABSA

Projektując architekturę bezpieczeństwa zgodnie z metodyką SABSA, należy odpowiedzieć na pytania dotyczące sześciu fundamentalnych aspektów każdej z powyższych warstw.

1. Co?

Trzeba zastanowić się, co próbujemy chronić, czyli jakie aktywa są najważniejsze dla naszego biznesu. Może najważniejsza jest marka, reputacja, znaki towarowe, a może budynki i linie produkcyjne, fl ota samochodowa. Czy dla naszej organizacji ważne są posiadane informacje i ich źródła?

2. Dlaczego?

Dopiero wówczas, gdy powyższe kwestie są jednoznacznie sprecyzowane, można zastanawiać się, jakie rodzaje ryzyka biznesowego kryją się za zidentyfikowanymi aktywami i celami przedsiębiorstwa. Czy chcemy chronić się przed nadużyciami ze strony klientów? A może to regulator narzuca i egzekwuje pewne formy działania?

3. Jak?

Wiedząc, dlaczego musimy inwestować w bezpieczeństwo, możemy zastanawiać się, w które ważne procesy biznesowe chcemy wpisać idee bezpieczeństwa, jakie działania w obszarze bezpieczeństwa chcemy podejmować, jak chcemy usankcjonować bezpieczeństwo w firmie.

4. Kto?

Rozstrzygnięcie powyższych kwestii pozwoli nam określić rozmieszczenie odpowiedzialności za funkcję bezpieczeństwa w strukturze firmy oraz realizację działań związanych z zapewnieniem bezpieczeństwa. Czy tworzymy dedykowaną strukturę organizacyjną? Czy zlecamy odpowiedzialność za bezpieczeństwo firmie outsourcingowej? A może przenosimy odpowiedzialność na klientów?

5. Gdzie?

Kolejnym krokiem jest podjęcie decyzji, gdzie zamierzamy rozmieścić struktury odpowiadające za bezpieczeństwo, czy tworzymy jedno centrum kompetencji dla całej firmy, czy może przypisujemy zadania związane z zapewnieniem bezpieczeństwa wszystkim jednostkom organizacyjnym.

6. Kiedy?

Następnie należy zdecydować, w jaki sposób zintegrować funkcje bezpieczeństwa z przyjętym modelem biznesowym firmy, kiedy przeprowadzać działania kontrolne tak, żeby były one możliwie transparentne i nie zakłócały funkcjonowania przedsiębiorstwa.

Warstwowy model architektury bezpieczeństwa oraz odpowiedzi na powyższe pytania dla każdej z warstw tworzą macierz przedstawiającą wszystkie aspekty bezpieczeństwa w przedsiębiorstwie – macierz SABSA.

rys2.gif
Rys. 2. Macierz SABSA

Proces projektowania architektury bezpieczeństwa polega na rozważeniu poszczególnych aspektów dla każdej z wyżej wymienionych warstw macierzy SABSA oraz wypracowaniu rozwiązań bezpieczeństwa adresujących poszczególne obszary. Należy jednak mieć na uwadze to, że opracowanie i wdrożenie architektury bezpieczeństwa nie może pozostać celem samym w sobie. Istotne jest bowiem, aby wdrożone rozwiązania bezpieczeństwa utrzymywać operacyjnie. Służy do tego warstwa operacyjna, która dekomponowana jest na osobną macierz SABSA – operacyjną macierz SABSA.

Dlaczego SABSA?

Model SABSA sam w sobie jest ogólny i może być użyty jako metoda zapewnienia bezpieczeństwa każdemu przedsiębiorstwu. Jednakże poprzez analizę i dostosowywanie modelu do procesów biznesowych i łańcucha wartości staje się on charakterystyczny dla danego przedsiębiorstwa. Mamy wówczas do czynienia z korporacyjną architekturą bezpieczeństwa, która umożliwia funkcjonowanie biznesu na podstawie proponowanych usług bezpieczeństwa. Architektura bezpieczeństwa gwarantuje, że potrzeby przedsiębiorstwa zostaną całkowicie spełnione i że usługi bezpieczeństwa są zaprojektowane, wdrożone i wspierane jako integralna część biznesu i infrastruktury zarządzania IT.

Dodatkową zaletą metodyki SABSA jest fakt, że nie jest ona komercyjnym produktem, lecz otwartą metodyką, którą można dowolnie wykorzystywać dla potrzeb bezpieczeństwa korporacyjnego.
Warto nadmienić, że SABSA została użyta do wdrożenia i zarządzania architekturą bezpieczeństwa w wielu organizacjach i przedsiębiorstwach na świecie, m.in. przez Ministerstwo Obrony Narodowej Wielkiej Brytanii do stworzenia Architektury Zapewnienia Bezpieczeństwa Informacji. Metodyka ta jest stopniowo rozpowszechniana i rozwijana od czasu jej opracowania w 1995 roku. Obecnie SABSA jest traktowana przez wiele organizacji jako „najlepsza praktyka” służąca do dostarczenia spójnej architektury bezpieczeństwa, m.in. w sektorach bankowości, usług ubezpieczeniowych, administracji rządowej, obronności, chemii, farmacji, cywilnego przemysłu lotniczego, mediów, rozrywki i telekomunikacji.

Polsce dwie spośród największych spółek na rynku rozpoczęły, we współpracy z Ernst & Young Business Advisory, działania zmierzające do wdrożenia architektury bezpieczeństwa w oparciu o metodykę SABSA2. W przypadku obu przedsiębiorstw głównym motywem podjęcia takiej decyzji było dążenie do wkomponowania bezpieczeństwa w model działalności biznesowej, czyli zmiana sposobu myślenia o bezpieczeństwie – odejście od koncepcji zabezpieczania biznesu na rzecz budowy biznesu bezpiecznego.

Dla osób chcących pogłębiać swoją znajomość zagadnień związanych z metodyką SABSA dostępne są szkolenia prezentujące koncepcję oraz informacje nt. szczegółów stosowania metodyki. Dostępna jest również trzystopniowa certyfikacja SABSA. W Polsce do tej pory jedynie pięć osób zdało wszystkie wymagane egzaminy i uzyskało certyfikat SABSA Chartered Foundation (SCF), potwierdzający znajomość metodyki SABSA3.

Mirosław Ryba, Łukasz Ślęzak
Ernst & Young Business Advisory

  1. Coroczne światowe badanie bezpieczeństwa przeprowadzane przez firmę Ernst & Young
  2. Przedsiębiorstwami tymi są Polski Koncern Naftowy ORLEN oraz bank PKO BP – na podstawie Harvard Business Review, nr 63, maj 2008.
  3. Bez uwzględnienia wyników egzaminu certyfi kacyjnego, który odbył się w Warszawie w październiku 2008 r. w ramach szkolenia przygotowującego do certyfi katu SABSA Chartered Foundation  (SCF), prowadzonego przez Davida Lynasa. Kolejne szkolenie SABSA w Polsce planowane jest na październik 2009 roku. Szczegóły na stronie http://www.sabsa.org.pl 

Zabezpieczenia 2/2009

 

 

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony