Слайд 13. SAR (Security Architecture Review / обзор архитектуры безопасности): процесс архитектурного контроля

Блок 3. Выбор и оценка архитектуры SAR (Security Architecture Review / обзор архитектуры безопасности): процесс архитектурного контроля Слайд 13 / 15

Запрос на изменение / Новая система (Change Request / New System)

→

Проверка триггера (Trigger Check), оценка масштаба изменений

Ветвь 1: Типовое изменение

Добавление рабочего места в существующую конфигурацию

Самопроверка SC (Security Champion / чемпион безопасности): чемпион безопасности проверяет по чеклисту, без архитектора

Ветвь 2: Нетипичное изменение

Новая интеграция с внешним сервисом

Лёгкий SAR (Light SAR): 2-3 дня, один архитектор ИБ

Ветвь 3: Критичное изменение

Новая система, публичная функциональность, миграция в облако

Полный SAR (Full SAR): 2-4 недели, команда (архитекторы ИБ + бизнес + юристы + экономбез)

ADR (Architectural Decision Record / запись архитектурного решения) Одобрено С условиями Отклонено

→

Реализация (Implementation)

→

Пост-реализационный обзор (Post-Implementation Review), проверка соответствия одобренному

% изменений через SAR

Цель: 100% критичных, 80% нетипичных

Находок на SAR

Целевое: 3-5 (процесс находит реальные проблемы)

Время запрос → решение

Цель: Light ≤ 5 дней, Full ≤ 20 дней

Шаблон SAR: 10 вопросов

1. Какие данные обрабатывает система?

2. Какова классификация этих данных?

3. Какие пользователи имеют доступ?

4. Как обеспечена аутентификация и MFA (Multi-Factor Authentication / многофакторная аутентификация)?

5. Где данные хранятся и в каком виде (шифрование)?

6. Как контролируются исходящие данные (DLP — Data Loss Prevention / предотвращение утечек данных)?

7. Как логируются действия?

8. Как обеспечивается доступность (резервное копирование / backup, отказоустойчивость)?

9. Какие регуляторные требования применимы?

10. План реагирования на инцидент по этой системе?

Ваша роль в SAR

Быть стейкхолдером в Full SAR. Без вашего присутствия архитектурные решения могут не учитывать экономические и репутационные риски.

Без SAR

Каждое новое изменение увеличивает технический долг безопасности. Через 2-3 года инфраструктура, неуправляемый клубок.

SAR, корень архитектурной гигиены. Без SAR каждое новое изменение увеличивает технический долг безопасности. С SAR каждое изменение, шаг в нужном направлении. Ваша роль: быть стейкхолдером в Full SAR.