Следите за новостями

Цифра дня

17,8% казахстанцев совершали покупки в интернете

Разработка стратегии и архитектуры информационной безопасности предприятия

Разработка ИТ-архитектуры позволяет рассмотреть конечное состояние как взаимосвязь всех элементов общей системы с различных перспектив, сформировав, таким образом, ее целостное видение.

7 октября 2011 14:30, Левков Ярослав, ИТ-архитектор

Левков Ярослав, ИТ-архитекторВ своей ежедневной работе я часто встречаю руководителей департаментов, на которых возложена ответственность за разработку стратегии информационной безопасности предприятия. В поисках решения поставленной задачи многие из них, к сожалению, ориентируются на возможности продуктов и технологий, присутствующих на рынке ИТ-безопасности. Причиной данного подхода зачастую является агрессивный маркетинг со стороны продавцов оборудования, а также отсутствие у заказчиков необходимых знаний и комплексного подхода к проблеме. Сужая проблематику лишь до уровня технологий, заказчики обычно оставляют за бортом проблемы, связанные с видением руководства, политиками безопасности, персоналом и соответствием нормативным требованиям — т.е.  все то, что комплексно влияет на разрабатываемую стратегию информационной безопасности.

С точки зрения бизнеса, ИТ является инструментом, поддерживающим существующие бизнес-процессы, соответственно, на конечное состояние информационной безопасности, в первую очередь, влияет бизнес-стратегия предприятия. Поглощение других компаний, выход на новые рынки, сокращение расходов приводят к изменению бизнес процессов и создаваемой в результате информации. Это, в свою очередь, будет требовать видоизменения поддерживающей ИТ-инфраструктуры, прежде всего — программных приложений, инфраструктуры приложений и инженерной инфраструктуры (рис.1). Не имея информации о бизнес стратегии предприятия на выбранный промежуток времени, невозможно разработать соответствующую стратегию ИТ-безопасности предприятия, как бы вас ни уверяли в обратном. Логика достаточна прозрачна — не имея представления о том, как изменится обрабатываемая информация, и как это повлияет на имеющиеся у предприятия ценности, обеспечить ее безопасность можно только условно.

Зоны интересов в архитектуре предприятия

Рис.1 Зоны интересов в архитектуре предприятия

Ниже приведены основные вопросы, которые обычно стоят перед руководителем предприятия:
Каким образом можно сформировать конечное состояние информационной системы через определенное время?
Как описать характеристики и качества, которыми она должна обладать?
Как уменьшить неопределенность относительно составляющих ее компонентов?
Как объединить потребности бизнеса с возможностями ИТ, если они говорят на «разных языках»?

Ответ на эти вопросы можно дать только применяя системный подход, например, методологию по разработке ИТ-архитектуры. По аналогии с классической архитектурой, данный метод позволяет рассмотреть конечное состояние как взаимосвязь всех элементов общей системы с различных перспектив, сформировав, таким образом, ее целостное видение. Инженерный подход обычно основывается на анализе, когда единое целое разделяется на составляющие части. Это подходит при решении четко определенных проблем и не подходит в случае, когда задача не имеет четкого определения. Основной ошибкой многих компаний является применение инженерных подходов и слишком углубленное погружение в детали на этапе разработки стратегии, а также — отсутствие методики, позволяющей объединить различные точки зрения на конечное состояние системы.

ИТ-архитектура  — это молодая дисциплина зародившаяся в середине 80-х годов прошлого столетия. Прежде всего, архитектура понадобилась разработчикам программного обеспечения, которые столкнулись с необходимостью каким-то образом описывать взаимодействие между компонентами все более усложняющихся информационных систем. Компания HP стояла у истоков данной дисциплины и уже более 20 лет применяет уникальную методологию для разработки ИТ-стратегии и архитектуры предприятий - HPGM for ITSA (Hewlett-Packard Global Method for IT Strategy and Architecture), а также является участником архитектурных комитетов и организаций по стандартизации, включая IEEE и Open Group.

В конечном итоге, индустрия начала разрабатывать дизайн-шаблоны, лучшие практики и даже стандарты (ISO/IEC 42010:2007), которые влияют на практическое применение ИТ-архитектуры сегодня.

Методология НP позволяет, абстрагируясь от деталей реализации, быстро находить возможные проблемы и оценивать риски, с учетом разных точек зрения, и является крайне эффективным инструментом для принятия решений.

ИТ-Архитектура — «мост» между бизнесом и ИТ

ИТ-Архитектура  — «мост» между бизнесом и ИТ

Основной идеей методологии НР является возможность уменьшить сложность и неопределенность конечного состояния разрабатываемой стратегии, например в области ИТ-безопасности, с помощью системного подхода, включающего точки зрения представителей различных уровней. Одновременно с этим согласовать потребности бизнеса с возможностями ИТ — найти «общий язык» (рис.2). Мнение спонсоров проекта, которые выделяют бюджет, конечных пользователей, разработчиков, а также представителей департаментов эксплуатации и внедрения на разрабатываемую систему существенно различаются по понятным причинам. Объединение всех этих точек зрения, представляющих различные архитектурные проекции, в одну полноценную систему позволяет определить конечное состояние системы ИТ-безопасности и определить «дорожную карту», описывающую ее эффективную реализацию в заданные сроки.

Консалтинговое подразделение компании HP готово помочь разработать уникальную концепцию ИТ-архитектуры и стратегии ИТ-безопасности вашего предприятия с использованием методологии HPGM for ITSA (Hewlett-Packard Global Method for IT Strategy and Architecture), что позволит оценить риски и возможные инициативы на начальном этапе принятия решения, избежав потерь времени и финансов на последующих этапах проекта.

Комментарии