SABSA ang. Sherwood Applied Business Security Architecture

SABSA
Metodyka
Zarządzanie bezpieczeństwem
Logo SABSA
WłaścicielSABSA Institute
RozpowszechnianieSABSA Institute
Powstanielata 1995-1996
TwórcaJohn Sherwood
CertyfikacjaSABSA Certification
SpołecznośćSABSA Institute
Model 6-warstw SABSA

SABSA Institute Oficjalna strona internetowa


SABSAmetodyka służąca opracowaniu bezpieczeństwa informacji przedsiębiorstwa zorientowanego na ryzyko oraz architektury zapewniania bezpieczeństwa informacyjnego (ang. information assurance), a także dostarczeniu rozwiązań z zakresu infrastruktury bezpieczeństwa, które wspierają kluczowe inicjatywy biznesowe. Prezentuje biznesowe podejście do kwestii bezpieczeństwa w organizacji i jest używana do kompleksowego zarządzania usługami oraz architekturą bezpieczeństwa. W spójny sposób pozwala wykorzystać powszechnie znane standardy jako składniki architektury, które wspólnie tworzą kompleksowy model, oparty na wymaganiach biznesowych. Jest wykorzystywana przez wiele organizacji na świecie, w szczególności przez administrację publiczną.

Spis treści

Zastosowanie

Metodyka SABSA powstała niezależnie od siatki Zachmana jest jednak z nią spójna. SABSA koncentruje się na architekturze bezpieczeństwa, podczas gdy siatka Zachmana opisuje całościową architekturę korporacyjną. Jest to otwarty standard, obejmujący określoną liczbę architektur, modeli, metod i procesów, umożliwiający wszystkim nieodpłatne korzystanie z niego - licencja nie jest wymagana w przypadku organizacji, które używają standardu w opracowywaniu i implementacji struktur i rozwiązań i są jednocześnie użytkownikiem końcowym. Mimo tego, że metodyka SABSA powstała dla zapewnienia bezpieczeństwa informacyjnego, obecnie jest powszechnie rozpoznawana jako wiodąca metodyka opartego na architekturze opracowywania ryzyka operacyjnego w ogóle.

SABSA vs. inne standardy

SABSA jest frameworkiem wybranym przez Open Group do integracji z TOGAF, nie tylko aby zaspokoić zapotrzebowanie na standard architektury bezpieczeństwa, ale, co ważniejsze, aby zastosować metodę SABSA Business Attributes Profiling w odniesieniu do całej architektury firmy jako środka do poradzenia sobie z wymaganiami interesariuszy i z zarządzaniem działalnością. Dodaje to wartość do TOGAF ADM poprzez zapewnienie solidnego, powtarzalnego i spójnego procesu wyrównania wymagań biznesowych w stosunku do rozwoju zdolności operacyjnych osób, procesów i rozwiązań technologicznych. SABSA wniesie do TOGAF zdefiniowaną metodę „zarządzania wymaganiami” – coś, czego dotychczas brakowało w TOGAF, włącznie z wersją 9 TOGAF.

SABSA nie zastępuje ani nie konkuruje z innymi standardami i metodami bazującymi na ryzyku. Dostarcza natomiast obejmujący całość framework, który sprawia, że wszystkie pozostałe istniejące standardy mogą być zintegrowane. W ten sposób normy serii ISO 27000, COBIT, ISF SoGP, ITIL, itd. oraz standardy branżowe takie jak ETSI, Basel III i Solvency II mogą być wszystkie połączone w zintegrowany framework oparty na SABSA.

Pod względem filozofii ryzyka, SABSA łączy się w pełni z ISO 31000, COSO i M o R. Wszystkie one traktują ryzyko jako niewiadomą, która może zmaterializować się zarówno pozytywnie, jako możliwości, jak i negatywnie, jako zagrożenia.



Rys.1. Możliwości i zagrożenia w modelu SABSA[1]


Charakterystyka standardu

Działalność biznesowa wymaga ustawicznego podejmowania ryzyka, które jest równoważone przez związaną z nim nagrodę. Równocześnie jego poziom musi odpowiadać apetytowi na ryzyko, z którym podejmujący je jest w stanie się skonfrontować. Zgodnie z tą filozofią wszystkie decyzje biznesowe są decyzjami ryzykownymi, tzn. wymagają zarządzania ryzykiem. Właśnie taką perspektywę przyjmuje SABSA.

Ryzyko jest dobre dla biznesu tak długo, jak długo mieści się w normie apetytu na ryzyko danej organizacji. SABSA to pierwsza metodyka rozwoju architektury, która dostarcza niezawodną metodę pomiaru apetytu na ryzyko i monitorowania wydajności na podstawie tego apetytu. Jest to możliwe dzięki zastosowaniu techniki Business Attributes Profiling, która jako dane wyjściowe generuje wykonaną na zamówienie zbilansowaną kartę wyników.

Model SABSA

Model SABSA pokrywa cały cykl życia zdolności operacyjnych (rys.2) i opiera się na sześciu warstwach (rys.3).



Rys.2. Cykl życia zdolności operacyjnych SABSA[2]




Rys.3. Sześć warstw SABSA[3]


Każda warstwa reprezentuje punkt widzenia graczy uczestniczących w procesie opracowania systemu bezpieczeństwa. Warstwa kontekstowa (ang. Contextual Architecture) zawiera wymagania biznesowe, z których wynika rola oraz umiejscowienie bezpieczeństwa w organizacji. Każda następna warstwa stanowi uszczegółowienie poprzedniej warstwy rozpoczynając od określenia wysokopoziomowej strategii bezpieczeństwa (ang. Conceptual Architecture) poprzez politykę bezpieczeństwa (ang. Logical Architecture), mechanizmy bezpieczeństwa (ang. Physical Architecture), infrastrukturę (ang. Component Architecture) aż po wykorzystywane narzędzia i protokoły (ang. Service Management Architecture). Szósta warstwa, czyli warstwa zarządzania usługami (operacyjna), przecina pozostałe pięć warstw i jest dalej analizowana wertykalnie, tworząc Macierz Zarządzania Usługami SABSA (ang. SABSA Service Management Matrix).

Macierz Główna SABSA

Każdą poziomą warstwę przecina pionowa analiza bazująca się na sześciu pytaniach: Co (zasoby)? Dlaczego (motywacja)? Jak (proces i technologia)? Kto (ludzie)? Gdzie (lokalizacja)? Kiedy (czas)? W ten sposób powstaje macierz sześć na sześć komórek nazywana Macierzą Główną SABSA (ang. SABSA Master Matrix).

zasoby

(co?)
motywacja

(dlaczego?)
proces i technologia

(jak?)
ludzie

(kto?)
lokalizacja

(gdzie?)
czas

(gdzie?)
architektura kontekstowa decyzje biznesowe ryzyko biznesowe procesy biznesowe ład biznesowy geografia binzesu biznesowe zależności czasowe
architektura konceptualna wiedza biznesowa i strategia ryzyka cele zarządzania ryzykiem strategie zapewniania procesu role i obowiązki framework dziedziny ramy zarządzania czasem
architektura

logiczna
zasoby informacyjne polityka zarządzania ryzykiem mapy procesów i usługi schemat podmiotów i zaufania mapy dziedziny kalendarz i terminarz
architektura

fizyczna
zasoby danych praktyki zarządzania ryzykiem mechanizmy procesów interfejs personelu infrastruktura ICT harmonogram zarządzania
architektura komponentowa komponenty ICT narzędzia i standardy zarządzania ryzykiem narzędzia i standardy procesowe narzędzia i standardy zarządzania personelem narzędzia i standardy lokalizacyjne chronometraż kroków i narzędzia sekwencjonowania
architektura zarządzania usługami zarządzanie dostarczaniem usług zarządzanie ryzykiem operacyjnym zarządzanie dostarczaniem procesów zarządzanie personelem zarządzanie środowiskiem zarządzanie czasem


Adresaci metody

CIO (ang. Chief Information Officer), CRO (ang. Chief Risk Officer), stratedzy i planiści IT, architekci IT, menedżerowie rozwoju IT i liderzy projektów, menedżerowie i architekci oprogramowania, menedżerowie i architekci sieci, menedżerowie bezpieczeństwa informacji, doradcy, konsultanci i praktycy, audytorzy.

Wady i zalety

SABSA jest ogólnym schematem rozwoju architektury, który może być stosowany w przypadku rozwoju opartego na ryzyku operacyjnym, jak również do utrzymania zdolności operacyjnych w organizacji dowolnego rodzaju.

Mocne strony

Model SABSA jest ogólny i może stanowić punkt wyjściowy dla każdej organizacji, jednak przez przejście procesu analizy i podejmowania decyzji, narzuconego przez strukturę modelu, SABSA staje się czymś specyficznym dla danego przedsiębiorstwa i ostatecznie jest w wysokim stopniu dostosowany do niepowtarzalnego modelu biznesowego. Staje się architekturą zarządzania ryzykiem danego przedsiębiorstwa. SABSA nie jest książką kucharską pełną gotowych przepisów – jest raczej szkicem wskazówek dla tych, którzy chcieliby stać się szefami kuchni, aby mogli opracować własne przepisy w celu zaspokojenia apetytów swoich klientów.

Ograniczenia

Aby organizacja mogła osiągnąć pełne korzyści z SABSA, musi wdrażać model sukcesywnie. Należy zacząć od projektu o małym zakresie, typu proof-of-concept i zmierzać w stronę przyjęcia modelu SABSA w całym przedsiębiorstwie. To oczywiście wymaga akceptacji oraz wsparcia większości dyrektorów wykonawczych wyższego szczebla, co może stanowić wyzwanie dla tych, którzy opowiadają się za wdrożeniem frameworku.

Kluczowe cechy SABSA

  • Właścicielem SABSA IPR, który jednocześnie zarządza nim i chroni go jest The SABSA Institute.
  • Framework SABSA nie jest związany z żadnym dostawcą rozwiązań IT lub innym typem dostawcy i jest całkowicie neutralny wobec sprzedawców.
  • Framework SABSA jest skalowalny, tzn, że może być wprowadzony w małym zakresie, a następnie rozbudowany do kolejnych obszarów i systemów, stąd może być wdrażany stopniowo.
  • Framework SABSA może być używany w dowolnej branży i w dowolnej organizacji. Mogą go posiadać organizacje prywatne i publiczne, łącznie z organizacjami komercyjnymi, przemysłowymi, wojskowymi, czy charytatywnymi.
  • Framework SABSA może być wykorzystywany w celu rozwoju architektury i rozwiązań na dowolnym poziomie ziarnistości zakresu, od projektu o ograniczonym zakresie po cały schemat architektoniczny przedsiębiorstwa.
  • Framework SABSA jest nieustannie utrzymywany i rozwijany; zaktualizowane wersje są systematycznie publikowane.


Linki zewnętrzne

Bibliografia

Znaki towarowe

  • COBIT® is protected by copyright under U.S. and other national/international laws. ISACA owns all rights, title and interest in COBIT;
  • IT Infrastructure Library®, ITIL® are registered trade marks of the Cabinet Office;
  • TOGAF®, TOGAF® 9.1 are registered trade marks of The Open Group in the United States and other countries;
ostatnia modyfikacja 20 sierpnia 2016 r.