Информационная безопасность бизнеса
В настоящее время в организационной структуре большинства российских компаний службы ИБ еще не сформированы в отдельные подразделения, а вопросами данной сферы занимаются специалисты по общей безоп
В настоящее время в организационной структуре большинства российских компаний службы ИБ еще не сформированы в отдельные подразделения, а вопросами данной сферы занимаются специалисты по общей безопасности. Как правило, они не обладают необходимыми знаниями во всех областях ИБ, а применяемые ими подходы основаны на правилах, действующих в государственных организациях повышенной степени секретности, где основное внимание уделяется защите информации от несанкционированного доступа (НСД). Методами решения данной задачи обычно служат простое ограничение использования тех или иных ИТ (например, Интернета или электронной почты) или их полный запрет.
Для коммерческих организаций такой подход неудобен, а зачастую и просто неприемлем — бизнес не может эффективно работать без интенсивной поддержки ИТ и активного взаимодействия с клиентами и партнерами. Очевидно, что цели и условия работы коммерческих организаций (например, оператора связи, нефтяного холдинга или крупной розничной сети) отличаются от специфики работы, например, военного ведомства. Для коммерческих организаций актуальна не только защита информации от НСД, но и обеспечение безопасности информации и установленного функционирования ИТ.
Под обеспечением безопасности информации обычно понимается сохранение ее конфиденциальности, целостности и доступности. Необходимость обеспечения установленного функционирования ИТ организации тесно связана с более общей задачей обеспечения непрерывности ее бизнеса.
Таким образом, обеспечение ИБ в коммерческих организациях имеет значительную специфику, и традиционные методы защиты информации от НСД не покрывают всех аспектов данной задачи.
В последние годы росло понимание того, что обеспечение ИБ организации должно строиться на комплексной основе, а именно в виде построения комплексной системы информационной безопасности, включающей как организационные, так и технические аспекты.
Среди множества существующих стандартов и нормативных документов в области ИБ можно выделить два документа, играющих ведущую роль в обеспечении методологической базы ИБ:
•ГОСТ Р 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;
•ISO/IEC 17799 вместе с BS7799-2.
•Положения стандарта ГОСТ Р 15408-2002 представляют собой унифицированный набор определений и правил, благодаря которому можно оценить достаточность используемых механизмов защиты в соответствии с установленными требованиями безопасности.
•Стандарты ISO/IEC 17799 и BS7799-2 предлагают обширный набор лучших практик обеспечения ИБ (ISO/IEC 17799), а также методологию организации управления ИБ на основе управления рисками (BS7799-2).
Угрозу для автоматизированных систем, важных для успешной работы предприятия, представляют не только хакеры или недобросовестные сотрудники, но и нештатные ситуации — пожар, природные катаклизмы, выход из строя оборудования. Каждое из этих событий потенциально может нанести организации ущерб. Обычно невозможно исключить все риски, поэтому основная задача состоит в организации управления рисками, т.е. идентификации, оценке, принятии решений по обработке, выбора защитных мер и осознанном принятии остаточных рисков.
Таким образом, целями обеспечения безопасности АС являются предупреждение угроз безопасности, приводящих к нарушению защищенности АС, рисков и минимизация ущерба для организации при возможной реализации угроз.
Компания «Открытые Технологии» применяет комплексный подход. Специалисты компании уже на стадии проектирования новой АС максимально полно прорабатывают вопросы построения КСИБ, чтобы избежать появления неучтенных уязвимостей, устранение которых в будущем потребует больших затрат. В компании «Открытые Технологии» используют максимально эффективный набор защитных мер — как организационных, так и технических. Такое «сокращение площади поражения» позволяет свести к минимуму риск нарушения и безопасности информации, и непрерывности бизнеса в целом.
Следует отметить, что состав мер, рекомендуемых для обеспечения информационной безопасности, может быть определен по так называемым моделям зрелости. Существует достаточно много подходов к классификации зрелости. В качестве примера может быть приведена модель компании Gartner (см. таблицу).
Комплексный подход компании «Открытые Технологии» успешно использовался в широком спектре проектов, связанных с ИБ. В настоящее время компания выполняет порядка 15 проектов в данной области, в том числе для крупных корпоративных заказчиков, например в рамках построения ERP-системы ОАО «Связьинвест».
Александр Кузнецов,
Ведущий системный аналитик по ИБ,
Компания «Открытые Технологии»
Представительство компании «Открытые Технологии» в Уральском федеральном округе:
г. Екатеринбург, ул. Красноармейская, 10, бизнес-центр «Антей», офис 1209,
тел.: (343) 379-58-35, факс: (343) 379-58-36,
тел. службы технической поддержки: (343) 269-09-11 ,
e-mail: all@ekb.ot.ru, www.ot.ru
Классификация зрелости предприятий по обеспечению информационной безопасности, модель компании Gartner
|
Уровень зрелости |
Отношение руководства |
Финансирование |
Средства обеспечения ИБ |
|
0 |
Не осознает важности проблем с ИБ |
Нет |
штатные средства ОС, СУБД и прикладного ПО |
|
1 |
Воспринимается как техническая проблема |
Общий ИТ бюджет |
+ средства резервного копирования, антивирусы, firewall, VPN |
|
2 |
Комплекс организационных и технических мер, программа развития системы ИБ |
Отдельный бюджет |
+ аутинтефикация, IDS, SSO, PKI, ОРД, внутренний и внешний аудиты |
|
3 |
Часть корпоративной культуры |
Отдельный бюджет |
+ системы управления ИБ, SLA, CSIRT |
Используемые сокращения:
ОС — операционная система
СУБД — система управления базами данных
ПО — программное обеспечение
Firewall — межсетевой экран (средство защиты сетевого уровня)
VPN — virtual private network (виртуальная частная сеть)
IDS — система обнаружения атак
SSO — средство однократной регистрации
PKI — public key infrastructure (инфраструктура открытых ключей)
ОРД — организационно-распорядительная документация
SLA — service level agreement (соглашение о качестве сервиса)
CSIRT — группа реагирования на инциденты ИБ
досье
Компания «Открытые Технологии» — один из ведущих системных интеграторов России, основана в 1994 г. Компания обеспечивает полный жизненный цикл создания, развития и сопровождения комплексных информационных систем любого уровня сложности. Компания динамично развивается, оборот в 2004 г. составил $230 млн.
Направления:
Компания «Открытые Технологии» предлагает полный спектр решений, позволяющих оптимизировать бизнес-процессы и повысить эффективность деятельности предприятия. Особое внимание уделяется банковской сфере деятельности. Компания имеет богатый опыт и зарекомендовала себя как высокопрофессионального и надежного партнера в таких направлениях, как:
• аудит информационных систем, ИТ-консалтинг;
• построение комплексных систем информационной безопасности, полный цикл работ по защите информации на объектах заказчика;
• построение вычислительных центров, центров обработки данных, резервных центров, организация систем хранения данных;
• создание локальных и территориально распределенных сетей;
• построение сетей следующего поколения NGN;
• внедрение платформ предбиллинга/mediation;
• базовые корпоративные информационные сервисы: создание корпоративных служб, каталогов, электронная почта, системы коллективной работы;
• внедрение систем управления ИТ-инфраструктурой;
• построение систем IP-телефонии;
• внедрение ERP-систем, систем бюджетирования и финансового анализа;
• построение корпоративных порталов;
• интеграция приложений;
• разработка заказного ПО и встроенных систем;
• техническая поддержка и сервис сложных программно-аппаратных комплексов.
В выборе оптимальной конфигурации «Открытые Технологии» гарантируют квалифицированную помощь Центров компетенции IBM по программным и аппаратным решениям (IBM Solution Center) и Oracle по системам высокой готовности (Oracle Certified Advantage Partner). В планах компании на 2005 г. — открытие Центра компетенции Novell в Екатеринбурге.
При построении информационной инфраструктуры предприятий «Открытые Технологии» используют высокотехнологичные решения мировых фирм-производителей:
APC, Aprisma, Check Point Software, Cisco Systems, EMC, Enterasys Networks, Fujitsu-Siemens Computers, Hewlett-Packard, IBM, Microsoft, Oracle, Sun Microsystems, Veritas Software.
Высокий технический уровень компании обеспечивают более 300 технических специалистов, обладающие многочисленными сертификатами, более 20 из них имеют ученые степени и звания.
Высокий уровень компетенции компании «Открытые Технологии» способствует стабильности партнерских отношений. Со многими предприятиями у компании «Открытые Технологии» сложились долгосрочные отношения: компания сопровождает и в дальнейшем будет сопровождать построенные системы.
Заказчиками компании являются крупные и средние предприятия России и СНГ из различных секторов экономики: банки и финансовые институты, телекоммуникационные компании, предприятия топливно-энергетического комплекса и промышленные предприятия, государственные и научные организации.
Крупнейшие заказчики компании «Открытые Технологии» на Урале:
ГУ ЦБ РФ по Пермской, Оренбургской и Челябинской областям, Сургутнефтегазбанк, «Уралсвязьинформ», Западно-Уральское Производственно-Техническое Управление Связи (ЗУ ПТУС) ОАО «Связьтранснефть», «Лукойл Информ-Пермь», «Тюмень Руском», «Уралвестком», «Уралтел», Уральский GSM, Пермский научный центр УРО РАН, «Тюменьнефтегеофизика», «Хантымансийскгеофизика», «Хантымансийскнефтегаз-геология», «Метафракс», Центр рационального недропользования им. В.И. Шпильмана ХМАО и др.
Могут ли власти заморозить вклады россиян? — Евгений Коган 
В центре Екатеринбурга построят 30-этажный отель. Это проект бизнес-партнера Дацюка 
Уволены гендиректор «Яковлева» и управляющий директор «Туполева» 
Старый смартфон на новый холодильник: ритейлеры посмотрели на трейд-ин по-новому