к. т. н., доц. Азарова А. О., Мельник І. П.

Вінницький національний технічний університет, Україна

Розробка політики інформаційної безпеки з використанням корпоративних систем

Використання інформації, інформаційних систем та технологій за умов інтенсивного розвитку ринкових стосунків стає одним із найбільш важливих елементів ефективного управління. Підприємства все частіше вдаються до допомоги сучасних корпоративних інформаційних систем і технологій, аби стежити за зовнішніми і внутрішніми потоками інформації, що збільшуються, використовувати її для аналізу, прогнозування, ухвалення управлінських рішень.

Проблематика побудови комплексних управлінських систем виросла в окрему гілку науки про управління і стала причиною розвитку цілої галузі високих технологій. Нинішній інформаційний достаток продовжує розвиватися таким чином, що часто вводить в оману не тільки непідготовлених користувачів, але і самих фахівців у області управління. На підприємствах провадяться коштовні і часто невдалі досліди по адаптації існуючих рішень.

Важливою частиною успішної стратегії функціонування підприємства є захист інформації від несанкціонованого доступу.

Інформаційна безпека ─ це сукупність заходів, які забезпечують для охоплюваної ним інформації такі властивості: конфіденційність, цілісність та доступність. Проте більш вужчим поняттям, яке характеризує взаємопов’язану систему з чіткою структурою складових, є політика інформаційної безпеки [1].

Політика інформаційної безпеки є планом високого рівня, в якому описуються цілі та задачі заходів в сфері безпеки. Вона не являє собою ні директиву, ні норматив, ні інструкції, ні засоби управління, а лише описує безпеку в загальних термінах без специфічних деталей та забезпечує планування всієї програми інформаційної безпеки підприємства. Хоча політика не відповідає на запитання, як саме повинні досягатися технологічні цілі, все ж, визначивши певним чином, що саме потрібно захистити, ми тим самим забезпечуємо необхідне управління процесом. Правила інформаційної безпеки описують те, що повинно бути захищеним і які обмеження накладаються на управління.

Політика інформаційної безпеки, яка включає методики розроблення програмного забезпечення, буде стимулювати розробку більш захищених систем. Керуючись такими принципами і стандартами, розробник може працювати відповідно до встановлених нормативів, випробувачі систем будуть знати, які результати мають бути отримані, а адміністратори будуть розуміти, що вимагається від конкретного технологічного процесу. Розвиток підприємства за індивідуальним проектом завжди потребує більших матеріальних витрат і відповідного відношення до роботи. Шляхом розроблення і впровадження правил розроблення програмного забезпечення, а також надавши розробникам нормативи розроблення, ризик в бізнесі може бути значно меншим [2].

Існує три основних види моделей політики інформаційної безпеки: дискреційна,  мандатна та рольова, причому перші дві досить детально досліджені, а рольова є недавнім досягненням науки у сфері захисту інформації.  Дискреційна політика має відносно простий механізм реалізації, але не забезпечує надійний захист від усіх можливих загроз. Мандатна політика має набагато складніший механізм реалізації та потребує значних комп’ютерних ресурсів, однак вона стійкіша до різних видів атак краще забезпечує захист інформаційних потоків. Рольова політика базується на компромісі між гнучкістю керування доступом і жорсткістю правил контролю доступу. Вона дозволяє отримати прості і зрозумілі правила доступу до інформації, але не гарантує безпеку за допомогою формального доведення. Кожне підприємство самостійно обирає модель політики інформаційної безпеки, залежно від властивостей інформації, яку необхідно захищати [3].

Важливим етапом забезпечення комплексного захисту інформації є впровадження корпоративної інформаційної системи (КІС), розробленої самостійно або придбаної у постачальника. Часто це супроводжується перепроектуванням існуючих на підприємстві процесів бізнесу. Їх перебудовують під вимоги стандартів і логіку впроваджуваної системи. Важливим є те, що впровадження КІС вирішує ряд управлінських і технічних проблем, проте породжує проблеми, пов'язані з людським чинником.

КІС покликана спростити управління організацією, поліпшити процеси, підсилити контроль і забезпечити цим конкурентні вигоди. Тільки з такої точки зору можна оцінювати користь від її впровадження.

Загальноприйнятими критеріями порівняння КІС є повнота функціональних можливостей ІС; можливість швидкого переналаштування; необхідність додаткових капіталовкладень (наприклад, на придбання СУБД); вартість необхідного устаткування; адаптація до законодавства України; число підтримуваних операційних систем (ОС) для сервера; число підтримуваних СУБД; вартість. Однак, у процесі впровадження КІС постає цілий ряд питань, що не враховуються загальновизнаними критеріями ефективності. Виникає необхідність сформувати вимоги до уточненого критерію ефективності впровадження ІС [4].

Таким чином, розробка політики інформаційної безпеки може здійснюватись одночасно із впровадженням корпоративної інформаційної системи, що підвищить рівень захисту інформацій в цілому.

Література:

1.       Зубок М.І. Інформаційна безпека підприємства, банку // Бизнес и безопасность. – 2011. –  №3. – С.67-69.

2.       С. Бармен. Разработка правил информационной безопасности / Бармен С. [Пер. с англ.] — М.: Издательский дом "Вильямс", 2002. — 208 с.

3.       Ярочкин В.И. Информационная безопасность / Ярочкин В.И. – М.: Академический Проект. Мир. 2004. – 544 с.

4.       Назаренко В.М., Кошулько А.А., Назаренко Н.В. Оценка критериев оптимальности КИС производственных предприятий // Корпоративные системы. – 2007. - № 2. – С. 39-42.