Корпоративное предприятие как объект информатизации.
Обеспечение ИБ многократно усложняется для предприятий, имеющих корпоративную форму организации и управления.
Это обусловлено сущностью системы корпоративного управления – регулирование деловых, имущественных, информационных взаимоотношений между входящими в корпорацию компаниями, их владельцами, согласование целей заинтересованных сторон для эффективного функционирования всех компаний.
При этом – являясь объединяющим юридическим лицом и обеспечивая системный менеджмент, корпорация функционирует независимо от этих компаний (самоуправляемо) при любых выбранных моделях объединения.
Принципиальные факторы влияния на решение проблемы информационной безопасности:
1. Наличие единого информационного пространства.
При этом необходимо обеспечить:
• равные возможности доступности к информации независимо от архитектуры информационных ресурсов, форм и способов её представления в различных базах данных АС и IT-комплексов;
• единую политику информационной безопасности при наличии многообразия фактических владельцев информации в информационных ресурсах корпорации и с учётом принципа равных возможностей её доступности.
2. Динамика структуры корпорации и проблема наследования функциональных it-приложений бизнес-процессов.
Состав входящих в корпорацию компаний меняться: один бизнес приобретается или масштабируется, другой исключается из сфер интересов.
Присоединяемые компании вливаются в корпорацию со своим информационно-технологическим обеспечением на базе созданной IT-инфраструктуры. АС и IT-комплексы становятся наследуемыми системами и средствами, имеющими свои решения по обеспечению информационной безопасности.
При перепрофилировании деятельности компаний исходные решения по обеспечению ИБ являются нулевыми, а влияние на корпоративную информационную безопасность может быть критичным.
3. Тенденция изменения текущей корпоративной информационно-технологической архитектуры.
Эволюция корпорации в соответствии с изменениями в структуре «размывает» целостное и единое представление текущей корпоративной информационно-технологической архитектуры, порождает неоднородности IT-инфраструктур, технических средств, информационных технологий, средств обеспечения информационной безопасности АС и IT-комплексов входящих компаний.
Как следствие, появляются новые уязвимости информационной безопасности, которые необходимо устранить или обеспечить новое качество регулирования отношений доступа.
4. Вектор перехода к экономичной и эффективной организации it-процессов.
Увеличение объёма бизнеса и изменяемость сущности бизнес-приложений в ходе эволюции корпорации увеличивает масштабность и разнообразие использования информационных технологий, усложняет их. Соответственно повышаются затраты на средства реализации и последующую эксплуатацию АС и IT-комплексов – увеличивается совокупная стоимость информационных технологий на этапах жизненного цикла систем.
Это вынуждает корпорации обращаться к более экономичным и эффективным организациям IT-процессов (аутсорсинг при эксплуатации, интеграция информационно-технологической инфраструктуры и информационных ресурсов, применение «облачных» технологий аутсорсинг при эксплуатации и т.д.).
В свою очередь новые схемы функционирования и эксплуатации АС и IT-комплексов, режимы и регламенты реализации IT-процессов порождают принципиально новые уязвимости информационной безопасности, которые, как правило, требуют существенного уточнения или даже принципиального изменения политики информационной безопасности.
5. Объекты защиты и области решения задач информационной безопасности.
При решении проблемы обеспечения информационной безопасности корпорация, входящие в неё компании, структурные подразделения компаний и корпорации рассматриваются в качестве объектов защиты. При этом они представляются не только как административные, управляющие, функциональные, производственные структурные компоненты, обеспечивающие реализацию бизнес-процессов и управление ими. Объекты защиты включают в себя компоненты автоматизации/информатизации бизнес-процессов (ИТИ, эксплуатируемые АС и IT-комплексы, эксплуатационные и технологические IT-службы и т.д.), а также компоненты инженерно-строительной инфраструктуры (ИСИ), предназначенные для размещения средств реализации информационных технологий, включая и инженерно-технические системы, обеспечивающие функционирование этих средств.
Это позволяет, наряду с традиционными областями решения задач защиты информации от НСД и сетевых компьютерных атак, обеспечить решение задач защиты информации от утечки по техническим каналам, предотвращения физического воздействия на информацию из окружающей среды и создания условий доверенной обработки информации в технологических и эксплуатационных зонах.
Такое комплексное представление объекта, выделяемого как ландшафтная часть предприятия, в разделе защиты информации соответствует нормативному понятию объекта информатизации.
Объект информатизации – «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров».
6. Территориальная разбросанность площадок размещения объектов защиты.
Корпорация, как правило, имеет значительную территориальную разбросанность площадок размещения офисов, производственных объектов, других объектов сфер деятельности. Функционирование объектов должно быть обеспечено информационно-технологической поддержкой в условиях равнопрочной информационной безопасности в соответствии с единой политикой безопасности корпорации.
7. Доверенная среда функционирования информационных технологий.
Увеличение масштабности и сложности программно-технической и телекоммуникационной среды в корпорациях постоянно усложняет решение проблемы обеспечения информационной безопасности, в том числе и ввиду отсутствия в России собственных разработок и производства необходимого отечественного вычислительного и телекоммуникационного оборудования, программных продуктов общесистемного и прикладного назначения (доверенных средств).
Практически, разработка АС, их функциональное наполнение и адаптация для конкретных бизнес-потребностей осуществляются посредством выбора и настройки, в основном, импортных технических изделий и программных продуктов.
Поэтому чрезвычайно важными решениями становятся не только эффективное применение встроенных в изделия или разрабатываемых наложенных средств и технологий обеспечения информационной безопасности непосредственно в средах программно-технического обеспечения и телекоммуникационной сети.
Необходимо создание на объектах защиты доверенных условий для эксплуатации и функционирования средств ИТИ, ТКС, АС и IT -комплексов, а также системно организованного и эффективного управления информационной безопасностью. В качестве средств создания доверенных условий используются системы инженерно-технической защиты (ИТЗ) и организационно-технические мероприятия по защите информации, современные средства специально ориентированного мониторинга и аудита процессов обработки и передачи информации, контроля состояния информационной безопасности.