Студопедия.Орг Главная | Случайная страница | Контакты | Мы поможем в написании вашей работы!  
 

Что выбрать?



Универсальных рецептов тут нет. Все зависит от тех целей, которые ставит перед собой руководитель организации или ИТ-отдела. Можно привести только некоторые общие рекомендации. Во-первых, затраты на обеспечение информационной безопасности не должны превышать стоимость защищаемого объекта или величину ущерба, который может возникнуть вследствие атаки на защищаемый объект. Основная проблема - правильно оценить возможную стоимость такого ущерба.

В зависимости от масштаба компании можно выделить три основных класса сетей:

· IECO (International Enterprise Central Office) - центральная сеть международной распределенной компании, которая может насчитывать сотни и тысячи узлов;

· ROBO (Regional Office / Branch Office) - сеть регионального филиала, насчитывающего несколько десятков или сотен узлов;

· SOHO (Small Office / Home Office), - сети небольших филиалов или домашние (мобильные) компьютеры, подключаемые к центральной сети.

Можно также выделить три основных сценария обеспечения информационной безопасности для этих классов сетей, различающихся различными требованиями по обеспечению защиты информации.

При первом сценарии минимальный уровень защищенности обеспечивается за счет возможностей, встроенных в сетевое оборудование, которое установлено на периметре сети (например, в маршрутизаторах). В зависимости от масштабов защищаемой сети эти возможности (защита от подмены адресов, минимальная фильтрация трафика, доступ к оборудованию по паролю и т. д.) реализуются в магистральных маршрутизаторах - например, Cisco 7500 или Nortel BCN, маршрутизаторах региональных подразделений - например, Cisco 2500 или Nortel ASN, и маршрутизаторах удаленного доступа - например, Cisco 1600 или 3Com OfficeConnect. Больших дополнительных финансовых затрат этот сценарий не требует.

Второй сценарий, обеспечивающий средний уровень защищенности, реализуется уже при помощи дополнительно приобретенных средств защиты, к которым могут быть отнесены несложные межсетевые экраны, системы обнаружения атак и т. п. В центральной сети может быть установлен межсетевой экран (например, CheckPoint Firewall -1), на маршрутизаторах могут быть настроены простейшие защитные функции, обеспечивающие первую линию обороны (списки контроля доступа и обнаружение некоторых атак), весь входящий трафик проверяется на наличие вирусов и т. д. Региональные офисы могут защищаться более простыми моделями межсетевых экранов. При отсутствии в регионах квалифицированных специалистов рекомендуется устанавливать программно-аппаратные комплексы, управляемые централизованно и не требующие сложной процедуры ввода в эксплуатацию (например, CheckPoint VPN -1 Appliance на базе Nokia IP330).

Третий сценарий, позволяющий достичь максимального уровня защищенности, предназначен для серверов e- Commerce, Internet-банков и т. д. В этом сценарии применяются высокоэффективные и многофункциональные межсетевые экраны, серверы аутентификации, системы обнаружения атак и системы анализа защищенности. Для защиты центрального офиса могут быть применены кластерные комплексы межсетевых экранов, обеспечивающих отказоустойчивость и высокую доступность сетевых ресурсов (например, CheckPoint VPN -1 Appliance на базе Nokia IP650 или CheckPoint VPN -1 с High Availability Module). Также в кластер могут быть установлены системы обнаружения атак (например, RealSecure Appliance).

Для обнаружения уязвимых мест, которые могут быть использованы для реализации атак, могут быть применены системы анализа защищенности (например, семейство SAFE - suite компании Internet Security Systems). Аутентификация внешних и внутренних пользователей осуществляется при помощи серверов аутентификации (например, CiscoSecure ACS). Ну и, наконец, доступ домашних (мобильных) пользователей к ресурсам центральной и региональных сетей обеспечивается по защищенному VPN -соединению. Виртуальные частные сети (Virtual Private Network - VPN) также используются для обеспечения защищенного взаимодействия центрального и региональных офисов. Функции VPN могут быть реализованы как при помощи межсетевых экранов (например, CheckPoint VPN -1), так и при помощи специальных средств построения VPN.

Казалось бы, после того как средства защиты приобретены, все проблемы снимаются. Однако это не так: приобретение средств защиты - это только верхушка айсберга. Мало приобрести защитную систему, самое главное - правильно ее внедрить, настроить и эксплуатировать. Поэтому финансовые затраты только на приобретении СЗИ не кончаются.

Необходимо заранее заложить в бюджет такие позиции, как обновление программного обеспечения, поддержку со стороны производителя или поставщика и обучение персонала правилам эксплуатации приобретенных средств. Без соответствующего обновления система защиты со временем перестанет быть актуальной и не сможет отслеживать новые и изощренные способы несанкционированного доступа в сеть компании.

Авторизованное обучение и поддержка помогут быстро ввести систему защиты в эксплуатацию и настроить ее на технологию обработки информации, принятую в организации. Примерная стоимость обновления составляет около 15-20% стоимости программного обеспечения. Стоимость годовой поддержки со стороны производителя, которая, как правило, уже включает в себя обновление ПО, составляет около 20-30% стоимости системы защиты. Таким образом, каждый год нужно тратить не менее 20-30% стоимости ПО на продление технической поддержки средств защиты информации.

Стандартный набор средств комплексной защиты информации в составе современной ИС обычно содержит следующие компоненты:

· средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System - FES);

· средства авторизации и разграничения доступа к информационным ресурсам, а также защиту от несанкционированного доступа к информации с использованием систем биометрической авторизации и технологии токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.);

· средства защиты от внешних угроз при подключении к общедоступным сетям связи (Internet), а также средства управления доступом из Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection);

· средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики;

· средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии защищенных виртуальных частных сетей (VPN);

· средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружения атак (Intrusion Detection);

· средства обеспечения централизованного управления системой информационной безопасности в соответствии с согласованной и утвержденной "Политикой безопасности компании".

В зависимости от масштаба деятельности компании методы и средства обеспечения ИБ могут различаться, но любой квалифицированный CIO или специалист IT-службы скажет, что любая проблема в области ИБ не решается односторонне - всегда требуется комплексный, интегральный подход.

Приобретение и поддержка средств защиты - это не бесполезная трата финансовых средств. Это инвестиции, которые при правильном вложении окупятся с лихвой и позволят вывести бизнес на желаемый уровень!

Контрольные вопросы и задания

1. Кто разрабатывает стратегию информационной безопасности и защиты управленческой информации?

2. Какие современные средства защиты информации применяются в корпоративных информационных системах?

3. Что включает в себя понятие "модель информационной безопасности предприятия"?

4. Перечислите внешние и внутренние угрозы для информационных потоков и систем компании.

5. Что такое "политика информационной безопасности" и какие элементы она содержит?

6. Перечислите ключевые вопросы обеспечения информационной безопасности.

7. Какие программно-аппаратные средства применяются при обеспечении информационной безопасности предприятия?

Лекция 14

Мир изменился - окончательно и бесповоротно! С внедрением персонального компьютера практически во все виды деятельности человека решающей силой стали не только недвижимость или производственный капитал, но в большой степени сам человек, его знания, информация, которой он обладает. В начале XXI века около 65% доходов в развитых странах люди получают за счет интеллектуальной деятельности. И если в 60-х годах ХХ века средний менеджер в силу своих профессиональных обязанностей должен был запомнить 25-30 имен или названий фирм в течение карьеры, то сейчас - столько же ежемесячно! И более половины из них - на иностранных языках. Информация, знания и развитые коммуникации дают свободу и уверенность в своих силах, в правильности выбранной стратегии, являются непременным фактором успеха.

Популярное онлайн -издание Brandchannel реализовало масштабный проект - выявить наиболее популярные бренды последнего десятилетия. Изучению подверглись более тысячи брендов популярных компаний во всем мире. Исследование популярности брендов проходило под лозунгом "Кто оказал влияние на историю!". Первую тройку составили бренды компаний Apple, Microsoft и Google. Корпорацию Apple воспринимают как творца революции в компьютерном мире. Также велики заслуги Билла Гейтса, на много лет вперед определившего пути развития и применения информационных технологий. Один из часто повторяемых отзывов о деятельности компании Google: "Они изменяют историю с их приверженностью к свободному распространению и использованию информации!".

Подводя итоги, укажем на важнейшие потенциальные эффекты применения современных информационных технологий и построенных на их основе информационных систем и на основные принципы их эффективного использования.

Сфера применения Потенциальный результат
Управление сокращение количества уровней управления и высвобождение работников среднего звена управления, упразднение ряда функций;
снижение административных расходов;
освобождение персонала от большой части рутинной работы, высвобождение времени для интеллектуальной деятельности;
рационализация решения управленческих задач за счет внедрения математических методов обработки данных и систем искусственного интеллекта;
создание современной динамичной организационной структуры, повышение гибкости и управляемости организации;
экономия времени на планирование деятельности и принятие решений;
повышение квалификации и информационной грамотности управленцев;
увеличение конкурентного преимущества.
Информационная среда совершенствование структуры потоков информации;
эффективность координации корпоративной деятельности;
обеспечение пользователей достоверной информацией;
прямой доступ к информационному продукту;
реализация информационных систем общего и специального назначений на базе новейших программно-аппаратных вычислительных и телекоммуникационных средств и методов;
интеграция информационных модулей для многопрофильных предприятий;
надежная защита информации.
Финансы и документы оптимальное планирование денежных ресурсов;
автоматизация обработки планово-финансовых документов и производства транзакций;
эффективный документооборот;
увеличение выручки, уменьшение издержек - увеличение прибыли.
Производство сокращение времени на проектирование и развертывание производства;
расширение полезных свойств продукта и сферы возможного применения; предоставление потребителю уникальных, в том числе и информационных услуг;
совершенствование системы качества предприятия, качества продуктов и услуг;
уменьшение совокупных затрат на производство продукта, услуги;
повышение производительности труда;
рационализация материально-технического снабжения, сокращение запасов;
уменьшение времени, затрат и количества труда на приемку, обработку и выполнение заказов.
Маркетинг создание новых возможностей по получению и распределению информации (наглядность, скорость передачи сообщений, достоверность);
информационная поддержка изучения рынка и поиска новых ниш;
более эффективное взаимодействие с потребителем - возможность идентификации и изучения потребителей конкретного продукта или услуги;
повышение способности гибко реагировать на спрос и оперативно удовлетворять новые желания потребителей.

В книге "Шесть принципов эффективного использования информационных технологий" [Дворак Р.Е., Холен Э., Марк Д., Михен В.Ф. Агентство исследований MCKinsey, Приложение к журналу " Компьютер -пресс", № 11, 1998] приведены шесть системных принципов, без учета и реализации которых компания будет испытывать нарастающие трудности при попытке внедрения и использования ИТ/ИС.

Принцип Верное решение Неверное решение
1. Развитие в области информационных технологий и информационных систем (ИТ) обусловливается "голосом рынка" и потребностями основной деятельности компании Высшее руководство компании, менеджеры по направлениям, производству и маркетингу принимают активное участие в выборе, приобретении, внедрении и оценке эффективности новых информационных технологий и приложений. ИТ охватывают практически всю деятельность компании. Департамент (отдел) ИТ руководит организацией инфраструктуры для эффективной и экономичной работы ИС- и ИТ-приложений Департамент (отдел) ИТ компании приобретает, разрабатывает и внедряет новые решения и приложения практически без участия руководителей, сотрудников других подразделений и потенциальных пользователей. Роль департамента (отдела) ИТ сведена к роли вычислительно органа, не участвующего в организации работы ИТ
2. Решения о финансировании в области ИТ принимаются так же, как и в остальных сферах деятельности - исходя из соображений финансовой выгоды и удовлетворения ожиданий потребителя Запрашивать и использовать информацию о реальном положении дел на рынке и в компании, моделировать ситуацию, строить прогнозы на основании проанализированных данных. Принимать решения по развитию ИС с точки зрения перспектив бизнеса, делать акцент на получении реальной отдачи Выбирать и утверждать ИТ-проекты и приложения с точки зрения дешевизны и быстроты исполнения без детальной экспертной проработки. Рассматривать ИТ как " черный ящик ", не требующий улучшений. В политике развития делать упор на постоянное сокращение затрат на ИТ
3. Информационная система компании является динамичной, имеет понятную и гибкую структуру, построена в соответствии с общими принципами построения сложных систем и управления ими, основана на применяемых международных стандартах Не спешить применять новейшие модные ИТ. Использовать устоявшиеся международные стандарты в области ИТ и разработки ПО, активно развивать систему внутренних стандартов и строго придерживаться их. Централизовать разработку и модификацию ПО сопровождения и эксплуатации Пробовать "на себе" все новинки ИТ. Позволить каждому пользователю выбирать свою технологию, модифицировать стандартное ПО под текущие задачи без учета работы этого ПО в интегрированной среде
4. Разработка и внедрение ИТ тщательно планируются. Внедрение происходит поэтапно, его проводит специально обученная команда, любые ИТ-разработки в компании начинают приносить практическую пользу с момента внедрения пилотного проекта Правильно выбирать стратегию разработки и внедрения ИТ: выделить и автоматизировать 20% функций, которые "отвечают" за 80% результатов деятельности компании. Внедрение проводится последовательно, при этом соблюдаются все контрольные отметки. Проводится предварительное обучение команды внедрения и менеджеров подразделений Все функции ИС разрабатывать самостоятельно, исходя только из текущих потребностей, без экспертной проработки. Внедрять модули ИТ эпизодически, использовать разные компании в качестве поставщиков без предварительного изучения. Доверять внедрение случайным людям, пусть даже хорошим специалистам
5. Проводятся планомерные и постоянные улучшения производительности ИС и ее экономической отдачи Вырабатывать количественные и качественные оценки (метрики) деятельности ИТ/ИТ подразделений. Изучать рынок ИТ. Планировать и проводить замену морально устаревших и потерявших эффективность приложений. Изменять архитектуру, инфраструктуру и конфигурацию ИС в соответствии с изменениями бизнес-правил и развитием компании Остановиться на достигнутом. Отводить подразделениям ИТ сугубо вспомогательную роль
6. Руководитель и менеджеры Департамента (отдела) ИТ хорошо разбираются в бизнесе и имеют четкое представление о стратегии развития компании, а высшее руководство компании и руководители подразделений имеют достаточно хорошее представление об информационных технологиях и методах построения ИС. Этот принцип распространяется по всей иерархии компании Привлекать к участию в ИТ-проектах высших руководителей компании, повышая тем самым их ответственность и компетентность. Привлекать руководителей департамента ИТ к разработке долгосрочных планов развития и деятельности компании. Повышать деловую, компьютерную и информационную "грамотность" персонала компании Вменить в обязанность руководителям информационно-технологических подразделений заниматься только технологическими вопросами, не привлекая их к участию в планировании основной деятельности. Полностью передать ведение проектов по приобретению, разработке и поддержке ИТ в компетенцию технического персонала, не принимающего ответственные решения

В заключение отметим, что информационные технологии при всей своей новизне и революционности не отменили базовых экономических законов, не упразднили производственный процесс, не ликвидировали конкурентов и не отняли у человека необходимости принимать решения. Объекты управления: фирма и ее деятельность, производственные процессы и персонал - не перестали существовать, даже если в некоторых случаях они стали виртуальными; внешнее окружение - государственные структуры, социальные институты, субъекты рыночных отношений - по-прежнему оказывают огромное влияние на бизнес. Осталась необходимость формировать решения слабоструктурированных задач на основе неформализованной информации. У руководителя предприятия по-прежнему главной головной болью являются вечные вопросы:

· Как найти свое место на рынке и заставить покупателя прийти за вашим товаром?

· Как организовать выпуск продукции мирового уровня?

· Как доказать инвесторам, что деньги они должны дать именно вам?

· Как отразить угрозы конкурентов?

· Как обеспечить высокую эффективность и известность вашей фирмы?

· Как преобразовать среднее предприятие в передовое?

В этом смысле скорее можно говорить об интенсификации всех процессов в информационную эпоху. Увеличился темп деятельности, возросла скорость принятия управленческих решений, изменился инструментарий управления - эти изменения стали настолько глубоки и необратимы, что они повлияли на все процессы, которые составляют суть деятельности менеджера: руководство, планирование, принятие решений, организация деятельности и контроль выполнения, совершенствование процессов и системы управления.

Наибольший эффект от применения современных ИТ могут получить компании, обладающие одним или несколькими из перечисленных ниже признаков:

· большое число рутинных операций с формализованными данными;

· сложная логистика;

· большое количество поставщиков;

· широкая номенклатура производства;

· территориальная распределенность компании;

· большое число клиентов;

· высокая интеллектуальная (нематериальная) составляющая продукта;

· непосредственное применение компьютерных вычислительных систем в производстве и управлении;

· высокая скорость производственного цикла.

Этим характеристикам в первую очередь отвечают компании из отраслей финансов, торговли, телекоммуникаций, транспорта, автомобиле- и авиастроения, энергоснабжения, информационных услуг, разработки программного обеспечения.

Однако любая компания, качество корпоративного управления которой приближается к уровню, необходимому для привлечения внешних инвестиций, будет заинтересована в использовании ИТ для улучшения процессов снабжения, маркетинга и продаж, послепродажного обслуживания, управления финансами, производством и персоналом. В этом залог ее дальнейшего развития и процветания!





Дата публикования: 2014-11-04; Прочитано: 941 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!



studopedia.org - Студопедия.Орг - 2014-2024 год. Студопедия не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования (0.007 с)...