Академический Документы
Профессиональный Документы
Культура Документы
АРХИТЕКТУРЫ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Сегодня многие компании решают задачи создания системы
информационной безопасности (системы ИБ), которая
соответствовала бы «лучшим практикам» и стандартам в
области ИБ и отвечала современным требованиям защиты
информации по параметрам конфиденциальности,
целостности и доступности. Причем, этот вопрос важен не
только для «молодых» компаний, развивающих свой бизнес с
использованием современных информационных технологий
управления. Не менее, а скорее и более важной эта проблема
является для предприятий и организаций, давно работающих
на рынке, которые приходят к необходимости
модернизировать существующую у них систему ИБ.
С одной стороны, необходимость повышения эффективности системы ИБ связана
с обострением проблем защиты информации. Здесь можно упомянуть, во-первых,
растущую потребность обеспечения конфиденциальности данных. Компании,
вслед за своими западными коллегами, приходят к необходимости учитывать так
называемые репутационные риски, ответственность по обеспечению
конфиденциальности данных своих клиентов, субподрядчиков, партнеров.
Вместе с тем, в большинстве компаний организационная составляющая системы
ИБ проработана слабо. Например, данные как таковые зачастую не
классифицированы, то есть компания не имеет четкого представления о том,
какие у нее есть типы данных с позиций их конфиденциальности, критичности
для бизнеса. А это влечет за собой целый ряд проблем, начиная от сложностей в
обосновании адекватности мероприятий по защите информации и заканчивая
невозможностью при возникновении инцидента использовать правовые методы
их расследования.
ПРОБЛЕМА №1
Еще одна острая проблема в сфере защиты данных связана с обеспечением
непрерывности функционирования информационных систем. Для многих
современных компаний, прежде всего, финансовых организаций,
производственных холдингов, крупных дистрибьюторов бесперебойная работа
информационных систем, поддерживающих основной бизнес, и доступность
данных становятся критичным вопросом. Сбои в работе систем ведут к
прерыванию бизнес-процессов и, соответственно, к недовольству клиентов,
штрафам и другим потерям. А в обеспечении доступности данных немаловажную
роль играют системы защиты, предотвращающие злонамеренные атаки на
информационную систему (атаки типа «отказ в обслуживании» и др.).
ПРОБЛЕМА №2
С другой стороны, в большинстве крупных компаний имеет место
унаследованная «лоскутная» автоматизация. Развитие корпоративной
информационной системы (ИС) осуществляется довольно хаотично; немногие
компании опираются на продуманную ИТ-стратегию или планы развития ИС.
Обычно используется политика «латания дыр», новые ИТ-сервисы добавляются
без привязки к уже существующим и без учета их взаимосвязи. И точно так же
отсутствует продуманная архитектура системы ИБ, мало кто до настоящего
времени определял, насколько система ИБ полная, насколько она покрывает
риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно –
система ИБ редко бывает обоснованной экономически.
ПРОБЛЕМА №3 «ОПРАВДАНИЯ»
Опыт работы большинства компанийй свидетельствует, что построение
эффективной системы ИБ должно опираться на анализ рисков (в том числе анализ
возможного ущерба), который является основой при выборе технических
подсистем, их экономическом обосновании. Плюс комплекс организационных
мер и создание системы управления ИБ (системы управления информационными
рисками). И, наконец, соблюдение выверенных на практике принципов
построения системы ИБ, например, принципа «много-эшелонированной» защиты.
ОБЩЕСТВЕННОЕ МНЕНИЕ
Таким образом, при построении (модернизации)
системы ИБ целесообразно реализовывать цикл
работ (рис. 1), включающий обязательный этап
диагностического обследования с оценкой
уязвимостей информационной системы и угроз,
на основе которого производится проектирование
системы и ее внедрение.
ДИАГНОСТИЧЕСКОЕ ОБСЛЕДОВАНИЕ /
АУДИТ СИСТЕМЫ ИБ
Таким образом, построение системы ИБ компании целесообразно начинать с
комплексного диагностического обследования основных бизнес-процессов и
информационной системы компании, а также существующих средств контроля
ИБ. Обследование (аудит) существующей системы информационной
безопасности позволит установить, соответствует ли уровень безопасности
информационно-технологических ресурсов компании выдвигаемым требованиям,
то есть обеспечиваются ли необходимые параметры конфиденциальности,
целостности и доступности ресурсов информационной системы. В ходе
диагностического обследования проводится анализ рисков. Для проверки
способности информационной системы противостоять попыткам
несанкционированного доступа и воздействия на информацию иногда
целесообразно выполнять тесты на проникновение.
ДИАГНОСТИЧЕСКОЕ
ОБСЛЕДОВАНИЕ / АУДИТ СИСТЕМЫ
ИБ
ВИДЫ ОБСЛЕДОВАНИЯ:
ПРОЕКТИРОВАНИЕ СИСТЕМЫ ИБ
Следующим этапом построения системы ИБ является ее проектирование,
включая систему управления ИБ.
ПРОЕКТИРОВАНИЕ СИСТЕМЫ ИБ
ИНТЕГРИРОВАННАЯ АРХИТЕКТУРА СИСТЕМ ИБ
ВКЛЮЧАЕТ В СЕБЯ НАБОР СЛЕДУЮЩИХ
ПОДСИСТЕМ: