- •Тема 3. Системный подход обеспечения информационной безопасности Системы и системный подход
- •Системность и комплексность защиты информации
- •Комплексные системы защиты информации
- •Территориально единый объект информатизации
- •Корпоративное предприятие как объект информатизации
- •2. Динамика структуры корпорации и проблема наследования функциональных it-приложений бизнес-процессов.
- •3. Тенденция изменения текущей корпоративной информационно-технологической архитектуры.
- •4. Вектор перехода к экономичной и эффективной организации it-процессов.
- •5. Объекты защиты и области решения задач информационной безопасности.
- •6. Территориальная разбросанность площадок размещения объектов защиты.
- •7. Доверенная среда функционирования информационных технологий.
- •Система обеспечения информационной безопасности корпоративного предприятия
Корпоративное предприятие как объект информатизации
Обеспечение ИБ многократно усложняется для предприятий, имеющих корпоративную форму организации и управления.
Это обусловлено сущностью системы корпоративного управления – регулирование деловых, имущественных, информационных взаимоотношений между входящими в корпорацию компаниями, их владельцами, согласование целей заинтересованных сторон для эффективного функционирования всех компаний.
При этом – являясь объединяющим юридическим лицом и обеспечивая системный менеджмент, корпорация функционирует независимо от этих компаний (самоуправляемо) при любых выбранных моделях объединения.
Принципиальные факторы влияния на решение проблемы информационной безопасности:
1. Наличие единого информационного пространства.
При этом необходимо обеспечить:
• равные возможности доступности к информации независимо от архитектуры информационных ресурсов, форм и способов её представления в различных базах данных АС и IT-комплексов;
• единую политику информационной безопасности при наличии многообразия фактических владельцев информации в информационных ресурсах корпорации и с учётом принципа равных возможностей её доступности.
2. Динамика структуры корпорации и проблема наследования функциональных it-приложений бизнес-процессов.
Состав входящих в корпорацию компаний меняться: один бизнес приобретается или масштабируется, другой исключается из сфер интересов.
Присоединяемые компании вливаются в корпорацию со своим информационно-технологическим обеспечением на базе созданной IT-инфраструктуры. АС и IT-комплексы становятся наследуемыми системами и средствами, имеющими свои решения по обеспечению информационной безопасности.
При перепрофилировании деятельности компаний исходные решения по обеспечению ИБ являются нулевыми, а влияние на корпоративную информационную безопасность может быть критичным.
3. Тенденция изменения текущей корпоративной информационно-технологической архитектуры.
Эволюция корпорации в соответствии с изменениями в структуре «размывает» целостное и единое представление текущей корпоративной информационно-технологической архитектуры, порождает неоднородности IT-инфраструктур, технических средств, информационных технологий, средств обеспечения информационной безопасности АС и IT-комплексов входящих компаний.
Как следствие, появляются новые уязвимости информационной безопасности, которые необходимо устранить или обеспечить новое качество регулирования отношений доступа.
4. Вектор перехода к экономичной и эффективной организации it-процессов.
Увеличение объёма бизнеса и изменяемость сущности бизнес-приложений в ходе эволюции корпорации увеличивает масштабность и разнообразие использования информационных технологий, усложняет их. Соответственно повышаются затраты на средства реализации и последующую эксплуатацию АС и IT-комплексов – увеличивается совокупная стоимость информационных технологий на этапах жизненного цикла систем.
Это вынуждает корпорации обращаться к более экономичным и эффективным организациям IT-процессов (аутсорсинг при эксплуатации, интеграция информационно-технологической инфраструктуры и информационных ресурсов, применение «облачных» технологий аутсорсинг при эксплуатации и т.д.).
В свою очередь новые схемы функционирования и эксплуатации АС и IT-комплексов, режимы и регламенты реализации IT-процессов порождают принципиально новые уязвимости информационной безопасности, которые, как правило, требуют существенного уточнения или даже принципиального изменения политики информационной безопасности.