- •Тема 3. Системный подход обеспечения информационной безопасности Системы и системный подход
- •Системность и комплексность защиты информации
- •Комплексные системы защиты информации
- •Территориально единый объект информатизации
- •Корпоративное предприятие как объект информатизации
- •2. Динамика структуры корпорации и проблема наследования функциональных it-приложений бизнес-процессов.
- •3. Тенденция изменения текущей корпоративной информационно-технологической архитектуры.
- •4. Вектор перехода к экономичной и эффективной организации it-процессов.
- •5. Объекты защиты и области решения задач информационной безопасности.
- •6. Территориальная разбросанность площадок размещения объектов защиты.
- •7. Доверенная среда функционирования информационных технологий.
- •Система обеспечения информационной безопасности корпоративного предприятия
5. Объекты защиты и области решения задач информационной безопасности.
При решении проблемы обеспечения информационной безопасности корпорация, входящие в неё компании, структурные подразделения компаний и корпорации рассматриваются в качестве объектов защиты. При этом они представляются не только как административные, управляющие, функциональные, производственные структурные компоненты, обеспечивающие реализацию бизнес-процессов и управление ими. Объекты защиты включают в себя компоненты автоматизации/информатизации бизнес-процессов (ИТИ, эксплуатируемые АС и IT-комплексы, эксплуатационные и технологические IT-службы и т.д.), а также компоненты инженерно-строительной инфраструктуры (ИСИ), предназначенные для размещения средств реализации информационных технологий, включая и инженерно-технические системы, обеспечивающие функционирование этих средств.
Это позволяет, наряду с традиционными областями решения задач защиты информации от НСД и сетевых компьютерных атак, обеспечить решение задач защиты информации от утечки по техническим каналам, предотвращения физического воздействия на информацию из окружающей среды и создания условий доверенной обработки информации в технологических и эксплуатационных зонах.
Такое комплексное представление объекта, выделяемого как ландшафтная часть предприятия, в разделе защиты информации соответствует нормативному понятию объекта информатизации [9].
Объект информатизации – «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров».
6. Территориальная разбросанность площадок размещения объектов защиты.
Корпорация, как правило, имеет значительную территориальную разбросанность площадок размещения офисов, производственных объектов, других объектов сфер деятельности. Функционирование объектов должно быть обеспечено информационно-технологической поддержкой в условиях равнопрочной информационной безопасности в соответствии с единой политикой безопасности корпорации.
7. Доверенная среда функционирования информационных технологий.
Увеличение масштабности и сложности программно-технической и телекоммуникационной среды в корпорациях постоянно усложняет решение проблемы обеспечения информационной безопасности, в том числе и ввиду отсутствия в России собственных разработок и производства необходимого отечественного вычислительного и телекоммуникационного оборудования, программных продуктов общесистемного и прикладного назначения (доверенных средств).
Практически, разработка АС, их функциональное наполнение и адаптация для конкретных бизнес-потребностей осуществляются посредством выбора и настройки, в основном, импортных технических изделий и программных продуктов.
Поэтому чрезвычайно важными решениями становятся не только эффективное применение встроенных в изделия или разрабатываемых наложенных средств и технологий обеспечения информационной безопасности непосредственно в средах программно-технического обеспечения и телекоммуникационной сети.
Необходимо создание на объектах защиты доверенных условий для эксплуатации и функционирования средств ИТИ, ТКС, АС и IT -комплексов, а также системно организованного и эффективного управления информационной безопасностью. В качестве средств создания доверенных условий используются системы инженерно-технической защиты (ИТЗ) и организационно-технические мероприятия по защите информации, современные средства специально ориентированного мониторинга и аудита процессов обработки и передачи информации, контроля состояния информационной безопасности.