【企业安全架构】强大的分析技术(7) - 风险,安全和合规性分析

Chinese, Simplified

强大的分析技术



在本博客系列的最后一部分中,我想谈谈风险,安全性和合规性领域,这是建筑师,流程设计师和其他人日益重要的领域。 例如,在之前的一些博客中,我已经概述了新的欧盟通用数据保护法规(GDPR)及其影响。 在我的一篇文章中,我使用了一个简单的数据分类示例,以及如何使用它来评估您的应用程序环境。 但是我在那里展示的并没有实际证明我们在Enterprise Studio中实现的分析技术的全部功能。 从如下图所示的数据分类开始,这种分类可以在整个架构模型中传播,其中各种元素和关系的含义被认为是一种合理有用的结果。

Classification of your data

快速评估隐私和安全的影响



如果应用程序可以访问多个数据对象,则基础分析算法将这些对象的最高级别分类作为该应用程序的标准。 因此,如果它同时使用高保密和中保密数据,则会获得最高分类。 如果在业务流程中使用此应用程序和其他应用程序,则该流程将再次获得最高分类; 如果某个业务角色执行此过程和其他过程,并且如果某个角色执行多个角色,则最高级别将再次计算。 这甚至适用于ArchiMate 3.0中新的关系 - 关系功能,例如,您可以在其中模拟与两个应用程序之间的流相关联的数据:如果这两个应用程序交换高度敏感的数据,则需要至少具有 相同的安全分类。

Model what data is associated with a flow between two applications

使用此分析为您提供快速方法,以初步评估隐私,安全性和类似问题的影响。它有助于首席信息安全官,首席风险官,数据保护官员和其他人放大高风险领域,优先考虑在最需要的地方加强安全性,并解决设计安全性,数据隐私影响评估和其他法规要求。 GDPR。

尝试不同的方案来分析您的漏洞



另一个甚至更高级的例子是我们作为企业风险和安全管理功能的一部分实施的风险评估方法。这是基于ArchiMate,Open FAIR和SABSA等标准的组合,并在The Open Group和之前的一些博客(1,2)的白皮书中进行了描述。使用此方法,您可以使用体系结构模型来分析您的漏洞是什么,内部和外部威胁可能产生的影响,以及如何减轻这些威胁。下图显示了此类分析的示例。

Risk assessment method

此图中的所有“交通信号灯”都是互连的:例如,如果您增加了可以缓解漏洞的措施的控制强度(CS),您的漏洞级别(Vuln)会下降,丢失事件频率(LEF)也会降低 减少,因此你的风险下降。 这些结果也可以通过下面的热像图以更加“管理友好”的方式呈现。

Heatmaps

有关您在此处看到的内容或本博客系列中所示的任何先前分析的完整说明,请预订此功能的演示!

原文:

https://bizzdesign.com/blog/powerful-analysis-techniques-7-risk-security-compliance-analyses/

本文:

讨论: 加入知识星球【首席架构师圈】

SEO Title
【Enterprise Security Architecture】Powerful Analysis Techniques (7) – Risk, Security & Compliance Analyses