Koleżeńska rekomendacja

Network Applications Consortium (NAC) zrzeszające użytkowników informatyki opracowało ''biblię bezpieczeństwa''.

Network Applications Consortium (NAC) zrzeszające użytkowników informatyki opracowało ''biblię bezpieczeństwa''.

Tak jak dla menedżerów specjalizujących się w problematyce wsparcia IT biblią jest ITIL (IT Infrastructure Library), tak dla specjalistów z zakresu bezpieczeństwa prawdziwym "wyznaniem wiary" może stać się ESA (Enterprise Security Architecture). Network Applications Consortium (NAC) wydało właśnie dokument "Enterprise Security Architecture: A Framework and Template for Policy-Driven Security". Głównym celem przyświecającym NAC było stworzenie dokumentu, który łączyłby definicje zawarte w polityce bezpieczeństwa z problematyką wdrożeniową oraz zagadnieniami związanymi z fizycznym zabezpieczaniem sieci.

Rady od praktyków

Wartość rekomendacji zawartych w ESA polega na tym, że zostały one stworzone nie przez dostawców, lecz przez użytkowników i praktyków w dziedzinie bezpieczeństwa. Do jego powstania przyczynili się specjaliści z największych korporacji, takich jak Boeing czy GlaxoSmithKline.

Najbardziej pracochłonnym elementem całego projektu, który zajął prawie 8 miesięcy, było stworzenie szczegółowego opisu zależności działań związanych z procesami, takimi jak wykrywanie luk, zarządzanie zasobami czy incydentami naruszeń bezpieczeństwa. NAC firmowało prace nad ESA, jednak w wypracowaniu ostatecznego kształtu dokumentu uczestniczyły także inne organizacje, m.in. DMTF czy Open Group, a także prominentni dostawcy technologii, m.in. Cisco Systems i Microsoft.

Są zalecenia, będą zmiany

Liczący 121 stron dokument opisuje techniczne i operacyjne modele polityki bezpieczeństwa rekomendowane przez NAC, wspierając się przy tym wskazówkami NIST (National Institute of Standards and Technology) i ISO. Dokument zawiera dokładny opis rekomendowanych działań, jakie powinno podjąć przedsiębiorstwo chcące wdrożyć spójny system bezpieczeństwa zawierający m.in. zasady tworzenia i formalizowania polityk bezpieczeństwa i dostosowany do istniejących już standardów.

Jak zapowiadają przedstawiciele NAC, rekomendacje zapisane w dokumencie mogą być rozwijane zgodnie z kierunkiem ewolucji podstawowych standardów bezpieczeństwa i wspólnie z organizacjami te standardy tworzącymi. "Już dziś można założyć, że wiele zapisów ulegnie daleko idącym zmianom" - mówi Harold Albrecht, jeden z szefów projektów ESA.

Wiedza pilnie potrzebna

Mimo zapowiedzi zmian w ESA, sam fakt pojawienia się jednolitych zaleceń odnośnie kształtowania polityki bezpieczeństwa został przyjęty bardzo pozytywnie przez firmy analityczne. "Dziś nie można już tak po prostu kupić nowego produktu i włączyć go do rozproszonego środowiska sieciowo-aplikacyjnego. Istnieje potrzeba, by każdy nowy element można było wbudować w pewną logiczną architekturę i by można było łatwo zintegrować go z już posiadanymi produktami" - mówi Daniel Blum, analityk z Burton Group, firmy współpracującej z NAC.