Циплаков
А. С.
Національний гірничий
університет, Україна
Інформаційна
безпека підприємства: методи та засоби
Проблема інформаційної безпеки не може бути вирішена без впровадження нових ідей, знань, політики у сфері інформатизації.
Світові процеси глобалізації, формування інформаційного суспільства посилюють
важливість такої складової національної безпеки, як інформаційна безпека,
Інформаційні системи в сучасних умовах перетворюються на інструмент підвищення
ефективності управління і створення нових конкурентних переваг і тому займають
не останнє місце у всіх галузях бізнесу.
Невід'ємною
частиною будь-якої організації становляться інформаційні системи, що
забезпечують управління виробництвом, фінансами, персоналом, документами і т.
д. Все більше критично важливої для підприємства інформації зберігається і
обробляються в комп'ютерних системах.
Метою
даної роботи є аналіз методів та засобів забезпечення інформаційної безпеки
підприємства.
Питаннями проблем захисту інформації підприємств
займалися такі вчені як: Бармен С, Бузмаков В.Т., Галатенко В,А., Степанова О, М., Велігура А. В. та інші. Однак досі відсутній
надійний і разом з цим простий та доступний методичний інструмент створення
адекватної системи захисту інформації [1].
Інформаційна безпека підприємства - це набір
засобів, методів і робіт, орієнтованих на захист інформаційної інфраструктури
підприємства від будь-яких зовнішніх або внутрішніх загроз, які можуть
призвести до крадіжки, псування, або несанкціонованої зміни даних на серверах
або робочих станціях. Всі роботи орієнтовані на побудову, підтримку і розвиток
системи інформаційної безпеки переслідують основну мету звести до мінімуму
можливість заподіяння шкоди інформаційної інфраструктурі підприємства, а в
разі форс-мажорних обставин, зведення до мінімуму такої шкоди.
Динамічний
розвиток інформаційних систем в останні роки приводить до необхідності
використання стратегічного підходу в управлінні підприємством. Доведено, що
стратегія нерозривно пов'язана з архітектурою, оскільки, з одного боку, стратегія
визначає загальні напрями розвитку архітектури, а з іншого цільова архітектура
системи, що створюється для вирішення бізнес-завдань, неявно визначає безліч
стратегій, що реалізуються [2].
Стратегія
розвитку інформаційної системи може бути розроблена на основі схеми Захмана (табл. 1).
Табл. 1 Схема Захмана
|
Рівень |
Дані ЩО |
Функції ЯК |
Дислокація ДЕ |
Люди ХТО |
Час КОЛИ |
Мотивація ЧОМУ |
|
Намір (контекстний) |
Список Об'єктів |
Список процесів |
Список Місцеположень |
Список організацій |
Список подій |
Список бізнес-цілей |
|
Модель Підприємства (концептуальний) |
Семантична модель |
Моделі, бізнес процесів |
Логістична мережа |
Моделі, виробничих процесів |
Загальний графік |
Бізнес-план |
|
Системна модель (логічний) |
Логічна модель даних |
Архітектура додатку |
Архітектура системи розподілу |
Архітектура призначеного для користувача інтерфейсу |
Графік обробки |
Модель бізнес правил |
|
Технологічна модель (структурний) |
Проект даних |
Проект системи |
Системна архітектура |
Архітектура уявлення |
Структура управління |
Проект бізнес правил |
|
Деталізоване уявлення (фізичний) |
Визначення даних |
Програма Мережева архітектура |
Архітектура безпеки і доступу |
Архітектура безпеки і доступу |
Визначення графіка |
Специфікація правил |
|
Система (функціональний |
Дані |
Функція |
Мережа |
Організація |
Графік |
Стратегія |
Схема Захмана є простим, але
достатньо могутнім засобом, який використовується для створення цілісної
бізнес-системи, дозволяє будувати інтегровану систему управління і проводити
локальні поліпшення [3],
У схемі
Захмана, яка. зазвичай, зображується у вигляді таблиці, розрізняють декілька
рівнів представлення ітераційного процесу проектування інформаційної системи,
який визначається вимогами учасників проекту. Різні ділянки проекту, такі як
дані, функції, мережа, люди, час і мотиви, розглядаються в розрізі окремих
рівнів життєвого циклу проекту - контекстного, концептуального, логічного,
структурного, фізичного і функціонального. Але за цією моделлю передбачена
розробка архітектури інформаційної безпеки тільки на рівні програмної системи.
Таким чином, за
підходом Захмана елементи розробки підставляються в стовпці, а рівні
архітектури - в рядки. Кожен проект починається з єдиним задумом - поліпши і и
конкретний існуючий процес або створиш нові можливості. У міру розширення ідеї
початковий задум обростає новими подробицями - так утворюється план дій і
базова інфраструктура, покликані реалізувати ідею або задум. Схема Захмана
дозволяє зафіксувати розвиток і деталізацію задуму
Два верхні рядки відповідають самим
загальним уявленням і надають достатньо широкий опис існуючого оточення,
планів та цілей. Аналогічно у вживанні до діяльності підприємства верхній
рядок «Контекст» відповідає рівню інтересів вищої х) керівництва.
Другий рівень відповідає
інтересам бізнес менеджерів і власників процесів. Третій рівень - той, на якому
бізнес - менеджери, бізнес-аналітики і менеджери, що відповідають за ІТ ,мають
працювати разом. Рівні з четвертого і далі описують деталі, які надають інтерес
для ІТ-менеджерів, проектувальників, розробників. Важливо розуміти, що схема
Захмана не є алгоритмом дій. а лише дозволяє зрозуміти, як має бути
спроектована і розроблена інформаційна система не тільки в термінах методів
проектування і розробки, але і в термінах на. бору елементів системи.
Головнішим принципом
цієї моделі є необхідність
послідовного переходу при поглибленні деталізації розгляду. Пропуск окремих
елементів, наприклад, прямий перехід від опису моделі бізнес процесу до
фізичної реалізації системи, майже завжди призводить до невдачі. На практиці це
часто трапляється при спробі розробки програми на підставі тільки усного опису
вимог користувача [3].
Слід зазначити, що з іншого боку,
концепція інформаційної безпеки орієнтована на підтримку цілісності та
захищеності описаною пронесу розвитку інформаційної системи.
Стратегія розвитку інформаційної
системи, яка побудована на моделі Захмана, дозволяє визначити бачення
наступного стану інформаційної системи, що надає змогу визначити шляхи побудови
комплексу інформаційної безпеки.
Основою побудови комплексу інформаційної
безпеки підприємства є виявлення суб'єктів інформаційних відносин і іх
інтересів, пов'язаних із використанням інформаційних систем» Залежно від категорій
суб'єктів вимоїн до інформаційної безпеки можуть істотно розрізнятися. Як
приклад подібних відмінностей можна навести режимні підприємства Міністерства
оборони і навчальні заклади. Крім того, інформаційна безпека не обмежується
виключно захистом інформації, вона представляє ширше поняття.
В системі інформаційної безпеки
підприємства можна виділити три рівні: адміністративний, процедурний і програмно-технічний[4].
Для побудови захищеної інформаційної системи необхідно опрацювати всі аспекти
інформаційної безпеки на всіх її рівнях
На адміністративному рівні
необхідним є створення концепції інформаційної безпеки
Детальніше опрацьовування питання
забезпечення інформаційної безпеки відбувається на процедурному рівні.
Виділяються такі групи заходів, направлених на
забезпечення інформаційної безпеки :
-
управління
персоналом;
-
фізичний
захист;
-
підтримка
працездатності;
-
реагування на порушення
режиму безпеки,
-
планування відновних робіт.
На цьому рівні мають
бути визначені конкретні заходи і
способи підвищення інформаційної
безпеки, закріплені у вказівках, посадових інструкціях.
Користувачі інформаційних ресурсів підприємства
мають проходити необхідне навчання,
інструктаж. Відповідальність за порушення режиму
інформаційної безпеки має бути
сірого регламентована і відома користувачам
систем.
Базова інформація для здійснення
робіт даного рівня міститься у
третьому рядку схеми Захмана,
ї найдальший від керівника
— програмно
технічний рівень. На цьому рівні
доводиться вирішувати величезну кількість
питань, починаючи з вибору апаратного
забезпечення і операційних систем і
закінчуючи установкою систем крипто
захисту і між мережевого екранування.
Четвертий і п'ятий
рядки схеми фактично містять дані
щодо архітектури програмної системи,,
У цьому
питанні пропонується покластися
па фахівців
[3].
Після побудови інформаційної системи виникає питання перевірки
її якості і надійності функціонування. Найбільш перспективним способом розв'язання цієї проблеми
є проектування
тестової системи у відповідності з шостим рядком таблиці Захмана.
Таким чином, на основі
проведеного аналізу методів та засобів
забезпечення інформаційної безпеки підприємства, стає зрозумілим, що ця
тема є складною і актуальною
проблемою. Для забезпечення захисту інформації
підприємства ми рекомендуємо використати комплексний
підхід, що опрацьовує аспекти інформаційної безпеки на адміністративному, процедурному і програмно-технічному рівнях,, Для
цього найкраща схема Захмана, тому
що ця схема ґрунтується на застосуванні
архітектурного підходу.
Список літератури
1. Живко М.О. Захист інформації: правовий аспект і проблемати
ка/Інформаційна безпека. — 2010.
— №1.
2. Степанова О.М. Розвиток інформащйної системи шдприсмства//Вісник
Східноукрашоького національного
університету ім. В. Даля. 2008.
- №20.
- С.
47-43.
3. Ігнатьєна ОЛЗ. Інформаційна безпека носіїв і загрози захисту комп'ютерів //- Інформаційна
безпека . — 2010, -
№2.
4. Галатенко В„Л, Основы шіформационной безопасности, М.: Изд-но «Иігтернет
-угниверситет Шіформащюнньїх технологий - ИІПУИТ-ру», 2003. —280 с:
ил.