Система обеспечения информационной безопасности корпоративного предприятия

Наличие перечисленных факторов показывает, что обеспечение информационной безопасности корпораций – это достаточно сложный организационно-технологический, программно-технический процесс, требующий системной организации и системного управления.

Далее будем рассматривать информационную безопасность в условиях, когда в основу целевой корпоративной информационно-технологической архитектуры положены интегрированная информационно-технологическая инфраструктура (ИИТИ) и предназначенная для информационного взаимодействия в корпорации телекоммуникационная сеть (ТКС). Так как корпорация является одной из организационно-правовых форм предприятия, будем использовать в общем случае термин «предприятие», если нет необходимости обозначить особенности, связанные с корпоративным управлением и организацией.

Компоненты архитектуры обеспечения ИБ. Для определения структурных компонентов архитектуры обеспечения ИБ вернёмся к архитектуре корпоративного предприятия, к той её части, которая представляет информационную сферу обеспечения бизнес-процессов и управления. Базовыми компонентами архитектуры предприятия в информационной сфере являются базовые объекты (ЦОД, КСА) и обеспечивающие объектовые компоненты (КЦУ, КТЦ, ЦСиТ, КУЦ и УЦ) ИИТИ – объекты информационной индустрии корпорации, которые являются функционально целостными объектами обеспечения информатизации.

Первая группа объектов может включать в себя как прикладные функциональные сервисы (АС и IT-комплексы), так и прикладные общесистемные или специальные сервисы (системы). Вторая группа объектов, предназначенная для реализации информационных технологий определённого целевого назначения в информационной индустрии, обеспечивает функционирование, в основном, целевых общесистемных сервисов. В архитектуре корпорации они являются, как правило, структурными подразделениями компаний или корпорации, могут быть отдельными физическими объектами или размещаться на объектах офисов и производств (в особенности КСА). Но в любом случае при решении проблемы обеспечения ИБ они должны рассматриваться как объекты информатизации вместе с инженерно-строительной инфраструктурой.

Исходя из этого, базовым структурным компонентом архитектуры обеспечения ИБ корпорации является комплексная система защиты информации (КСЗИ) для объектов информационной индустрии корпорации.

Комплексная система защиты информации – это система, разрабатываемая для базовых и обеспечивающих объектовых компонентов ИИТИ и представляющая собой «совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации» [10].

Комплексность системы определяется тем, что она:

– во-первых, создаётся в интересах всех информационных ресурсов (входящей и исходящей, обрабатываемой и хранимой информации) объектов информационной индустрии корпорации;

– во-вторых, включает в себя объекты защиты прикладного и инфраструктурного уровня;

– в-третьих, организуется как единая и управляемая система;

– в-четвёртых, функционирует во взаимодействии с ПТК и ТКС, прикладными функциональными и общесистемными сервисами, а также с учётом объектовых средств инженерно-технической защиты (ИТЗ) и организационно-технических мер, предназначенных для создания на объекте условий работы с конфиденциальной информацией.

Таким образом, в КСЗИ в качестве объектов защиты рассматриваются, прежде всего, прикладные функциональные, общесистемные и специальные сервисы, которые, как правило, являются системами или функционально-технологическими комплексами ИТО (прикладные АС, корпоративные хранилища данных, СУБД, система НСИ, CRM-системы, ERP-системы и т.д.). Среди них следует выделить системы корпоративного назначения, базовые ресурсы которых являются частью программно-технической среды ЦОД, но они функционируют в интересах всего корпоративного информационного пространства и используют ресурсы вне ЦОД (СЭД, ЕИП, СУ ИВР, ТКС как информационно-технологическая система и др.). В указанных системах задачи обеспечения информационной безопасности решаются, прежде всего, на уровне технологических процессов (обеспечение состояния информационной безопасности), а совокупность средств и технологий обеспечения ИБ является подсистемами этих систем (подсистемы информационного обеспечения – ПОИБ).

На инфраструктурном уровне описания архитектуры в качестве объектов защиты рассматриваются, в основном, средства и компоненты (комплексы, системы) программно-технической и телекоммуникационной среды, организационно-технологические структуры, обеспечивающие инженерные системы, системы и объекты инженерно-строительной инфраструктуры.

Таким образом, совокупность средств, технологий и подсистем обеспечения ИБ при архитектурном описании обеспечения ИБ могут быть представлены обобщёнными блоками (компонентами) КСЗИ прикладного и инфраструктурного уровней.

Интеграция обеспечения ИБ осуществляется в рамках объектов обеспечения информатизации корпорации (ЦОД, офисные и производственные КСА, центры информационно-технологического назначения и др.) и на корпоративном уровне.

Интегрированными структурными компонентами архитектуры обеспечения ИБ являются системы обеспечения информационной безопасности (СОИБ) объектов обеспечения информатизации и Система обеспечения информационной безопасности корпорации (СОИБ-К).

Консолидация обеспечения информационной безопасности на основе принятой политики информационной безопасности осуществляется Корпоративной системой управления информационной безопасности (КС УИБ).

СОИБ-К является интегрированным объектом управления КС УИБ.

СОИБ объектовых компонентов КЦ УИБ и КУЦ рассматривается особо, так как функционал их основной деятельности является инструментом реализации специальных сервисов обеспечения ИБ корпорации. Такой особый статус они приобретают, являясь головными объектами корпоративных систем КСУ ИБ и СУЦ.

Соотношения и структурная организация взаимодействия. Таким образом, соотношения и структурная организация взаимодействия архитектурных компонентов по обеспечению ИБ корпорации определяются следующими положениями:

1. КСЗИ объектов информационной индустрии корпорации (ЦОД, офисные КСА, центры информационно-технологического назначения и др.) – базовый структурный компонент архитектуры обеспечения ИБ корпорации.

1. ПОИБ – часть конкретного проекта систем (функциональных и общесистемных сервисов), которая обеспечивает адаптацию этих систем для выполнения политики информационной безопасности конкретных объектов информатизации, в которых они размещены и функционируют.

2. Система обеспечения информационной безопасности ЦОД, офисных и других КСА (СОИБ ЦОД, КСА) включает в себя информационные ресурсы, как предмет защиты, и КСЗИ объекта.

3. Система обеспечения информационной безопасности корпорации (СОИБ-К) – совокупность СОИБ объектов информационной индустрии корпорации и СОИБ ТКС, как информационно-технологической системы.

4. На прикладном уровне (ИТО) обеспечивается информационная безопасность в функциональных, общесистемных и специальных сервисах, размещённых на базе ИИТИ объекта, а также осуществляется управление процессами обеспечения ИБ в ходе обработки информации функциональными приложениями.

5. На инфраструктурном уровне обеспечивается защита той части ИИТИ, которая относится к данному объекту информатизации, а также осуществляется управление ИБ на объекте в целом.

6. Политика информационной безопасности обеспечивается в целом на корпоративном уровне корпоративной системой управления ИБ (КСУ ИБ), при этом функция управления ИБ реализуется в ПОИБ, КСЗИ и СОИБ объектов, в средствах и технологиях обеспечения ИБ.

Схема архитектуры обеспечения ИБ корпоративного предприятия

ОСНОВНЫЕ НАПРАВЛЕНИЯ РЕШЕНИЯ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

• организационная и инженерно-техническая защита объектов информатизации в интересах информационной безопасности;

• секретное и конфиденциальное делопроизводство;

• защита информации от несанкционированного доступа к информации и ресурсам АС (защита от НСД);

• криптографические методы и средства защиты информации в компьютерной и телекоммуникационной среде;

• защита от скрытого внедрения в программно-техническую среду компьютерных и телекоммуникационных систем;

• защита информации от утечки по техническим каналам;

• нормативно-правовое обеспечение информационной безопасности.