Statusrapport Security Services Catalogue project

sabsa2

De Security Services Catalogue is een register dat helpt om in een security architectuur de logische security maatregelen in te vullen. Dit wordt in samenwerking tussen de SABSA Institute, The Open Group en de Open Security Architecture ontwikkeld, onder begeleiding van Pascal de Koning, senior security consultant bij i-to-i.

Waar gaat dit project over?

De Security Services Catalogue is een register dat helpt om in een security architectuur de logische security maatregelen in te vullen. Anders dan bestaande control frameworks, die voornamelijk eisen en doelstellingen bevatten, beschrijft de security services catalogue de bouwstenen die de bescherming leveren. Deze architectuurbenadering maakt integratie van informatiebeveiliging in een enterprise architectuur mogelijk.

De gestandaardiseerde benadering draagt bij aan professionalisering van security management en faciliteert een efficiënte en kosten-effectieve manier van werken. Eén van de belangrijkste voordelen van de catalogue is dat het een gemeenschappelijke terminologie bevat die betere samenwerking bevordert in het domein van informatiebeveiliging. Het project is een gezamenlijk initiatief van The SABSA Institute en The Open Group.

Projecthistorie en huidige status

De kick-off van het project was eind 2014, tijdens de SABSA World Conferentie op COSAC in Dublin. Tijdens die eerste workshop is een definitie opgesteld van de catalogus zelf. Hoe het zich verhoudt tot bestaande raamwerken, hoe een service moet worden gedefinieerd, etc. Besloten is dat, hoewel er veel informatie over een service kan worden verzameld en vastgelegd, de basis zou moeten liggen in een service taxonomie en een korte beschrijving per service. Het aantal projectleden groeide tot boven de 90 in 2015. In dat jaar zijn de eerste services in meer detail uitgewerkt en zijn klaar.

De ontwikkeling van de Security Service Catalogue is in een volgende fase gekomen.  Een deel ervan is concept gereed, het andere deel wordt via een agile ontwikkelmethode geschreven. Het project heeft een agile methode gekozen voor de ontwikkeling, om er wat meer snelheid in te krijgen. Het plan is om het eerste deel van de catalogus in de eerste helft van 2016 gereed voor publicatie te hebben.

Producten

Eén van de producten is de overzichtsplaat met het service-landschap. Dit is een manier om de hele service catalogus op een begrijpelijke manier weer te geven (zie onderstaand figuur).

pascal3

In dit service-landschap zijn de essentiële security services in het midden geplaatst. Aan de linkerkant staan de services die gewoonlijk in verband worden gebracht met de ontwikkel-en ontwerp-fase van een omgeving. De focus is daar sterk op het ontwerpen en bouwen van een IT-oplossing. Aan de rechterkant staan de services die te maken hebben met het operationeel maken en beheren van een omgeving. Hier is vooral aandacht voor mensen, organisatie en processen.

Een ander product is de projectbrief, dat informatie bevat over de projectdoelen, organisatie en conceptuele achtergrond. Klik hier voor de projectbrief.

Projectplan

In december 2015 heeft de projectorganisatie een belangrijke verandering ondergaan. De initiële community-benadering zorgde voor traagheid en veel overhead voor het organiseren van een grote groep mensen. Deze is daarom vervangen door een agile benadering om het proces van content-creatie te versnellen. Dit stelt het project in staat om meer te focussen op de inhoud. Het gevolg is dat er nu een kleine groep van circa 10 mensen bezig is de inhoud te schrijven. De hele voorgaande project-organisatie is daarmee komen te vervallen.

De toekomstige stappen zijn:

  1. Ontwikkeling van de inhoud van de Service Catalogue, door de kleine groep projectleden.
  2. Review en discussie over het werk door alle geïnteresseerde projectleden.
  3. Verwerking van de opmerkingen en afronding van het werk door de kleine groep. Deze groep beslist over de uiteindelijke inhoud.
  4. Publicatie van de eerste versie van de catalogus in juni 2016, bestaande uit de service-taxonomie en korte service-beschrijvingen. Deze publicatie bevat mogelijk nog niet de complete set van services.

 

 

Pascal de Koning is senior security consultant bij i-to-i en initiatiefnemer en projectleider van dit project. Hij is bereikbaar op p.de.koning@i-to-i.nl.

 

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten