Система обеспечения информационной безопасности корпоративного предприятия.

    Обеспечение информационной безопасности корпораций – это достаточно сложный организационно-технологический, программно-технический процесс, требующий системной организации и системного управления.

    Далее будем рассматривать информационную безопасность в условиях, когда в основу целевой корпоративной информационно-технологической архитектуры положены интегрированная информационно-технологическая инфраструктура (ИИТИ) и предназначенная для информационного взаимодействия в корпорации телекоммуникационная сеть (ТКС). Так как корпорация является одной из организационно-правовых форм предприятия, будем использовать в общем случае термин «предприятие», если нет необходимости обозначить особенности, связанные с корпоративным управлением и организацией.

    Компоненты архитектуры обеспечения ИБ. Для определения структурных компонентов архитектуры обеспечения ИБ вернёмся к архитектуре корпоративного предприятия, к той её части, которая представляет информационную сферу обеспечения бизнес-процессов и управления.     

    Базовыми компонентами архитектуры предприятия в информационной сфере являются базовые объекты (ЦОД, КСА) и обеспечивающие объектовые компоненты (КЦУ, КТЦ, ЦСиТ, КУЦ и УЦ) ИИТИ – объекты информационной индустрии корпорации, которые являются функционально целостными объектами обеспечения информатизации.

    Первая группа объектов может включать в себя как прикладные функциональные сервисы (АС и IT-комплексы), так и прикладные общесистемные или специальные сервисы (системы). Вторая группа объектов, предназначенная для реализации информационных технологий определённого целевого назначения в информационной индустрии, обеспечивает функционирование, в основном, целевых общесистемных сервисов. В архитектуре корпорации они являются, как правило, структурными подразделениями компаний или корпорации, могут быть отдельными физическими объектами или размещаться на объектах офисов и производств (в особенности КСА). Но в любом случае при решении проблемы обеспечения ИБ они должны рассматриваться как объекты информатизации вместе с инженерно-строительной инфраструктурой.

    Исходя из этого, базовым структурным компонентом архитектуры обеспечения ИБ корпорации является комплексная система защиты информации (КСЗИ) для объектов информационной индустрии корпорации.

    Комплексная система защиты информации предприятия – это система, разрабатываемая для базовых и обеспечивающих объектовых компонентов ИИТИ и представляющая собой «совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации».

    Комплексность системы определяется тем, что она:

– во-первых, создаётся в интересах всех информационных ресурсов (входящей и исходящей, обрабатываемой и хранимой информации) объектов информационной индустрии корпорации;

– во-вторых, включает в себя объекты защиты прикладного и инфраструктурного уровня;

– в-третьих, организуется как единая и управляемая система;

– в-четвёртых, функционирует во взаимодействии с ПТК и ТКС, прикладными функциональными и общесистемными сервисами, а также с учётом объектовых средств инженерно-технической защиты (ИТЗ) и организационно-технических мер, предназначенных для создания на объекте условий работы с конфиденциальной информацией.

    Таким образом, в КСЗИ в качестве объектов защиты рассматриваются, прежде всего, прикладные функциональные, общесистемные и специальные сервисы, которые, как правило, являются системами или функционально-технологическими комплексами ИТО (прикладные АС, корпоративные хранилища данных, СУБД, система НСИ, CRM-системы, ERP-системы и т.д.). Среди них следует выделить системы корпоративного назначения, базовые ресурсы которых являются частью программно-технической среды ЦОД, но они функционируют в интересах всего корпоративного информационного пространства и используют ресурсы вне ЦОД (СЭД, ЕИП, СУ ИВР, ТКС как информационно-технологическая система и др.). В указанных системах задачи обеспечения информационной безопасности решаются, прежде всего, на уровне технологических процессов (обеспечение состояния информационной безопасности), а совокупность средств и технологий обеспечения ИБ является подсистемами этих систем (подсистемы информационного обеспечения– ПОИБ).

    На инфраструктурном уровне описания архитектуры в качестве объектов защиты рассматриваются, в основном, средства и компоненты (комплексы, системы) программно-технической и телекоммуникационной среды, организационно-технологические структуры, обеспечивающие инженерные системы, системы и объекты инженерно-строительной инфраструктуры.

    Таким образом, совокупность средств, технологий и подсистем обеспечения ИБ при архитектурном описании обеспечения ИБ могут быть представлены обобщёнными блоками (компонентами) КСЗИ прикладного и инфраструктурного уровней.

    Интеграция обеспечения ИБ осуществляется в рамках объектов обеспечения информатизации корпорации (ЦОД, офисные и производственные КСА, центры информационно-технологического назначения и др.) и на корпоративном уровне.

    Интегрированными структурными компонентами архитектуры обеспечения ИБ являются системы обеспечения информационной безопасности (СОИБ) объектов обеспечения информатизации и система обеспечения информационной безопасности корпорации (СОИБ-К).

    Консолидация обеспечения информационной безопасности на основе принятой политики информационной безопасности осуществляется Корпоративной системой управления информационной безопасности (КС УИБ).

    СОИБ-К является интегрированным объектом управления КС УИБ.

    СОИБ объектовых компонентов КЦ УИБ и КУЦ рассматривается особо, так как функционал их основной деятельности является инструментом реализации специальных сервисов обеспечения ИБ корпорации. Такой особый статус они приобретают, являясь головными объектами корпоративных систем КСУ ИБ и СУЦ.

    Соотношения и структурная организация взаимодействия. Таким образом, соотношения и структурная организация взаимодействия архитектурных компонентов по обеспечению ИБ корпорации определяются следующими положениями:

1. КСЗИ объектов информационной индустрии корпорации (ЦОД, офисные КСА, центры информационно-технологического назначения и др.) – базовый структурный компонент архитектуры обеспечения ИБ корпорации.

1. ПОИБ – часть конкретного проекта систем (функциональных и общесистемных сервисов), которая обеспечивает адаптацию этих систем для выполнения политики информационной безопасности конкретных объектов информатизации, в которых они размещены и функционируют.

2. Система обеспечения информационной безопасности ЦОД, офисных и других КСА (СОИБ ЦОД, КСА) включает в себя информационные ресурсы, как предмет защиты, и КСЗИ объекта.

3. Система обеспечения информационной безопасности корпорации (СОИБ-К) – совокупность СОИБ объектов информационной индустрии корпорации иСОИБ ТКС, как информационно-технологической системы.

4. На прикладном уровне (ИТО) обеспечивается информационная безопасность в функциональных, общесистемных и специальных сервисах, размещённых на базе ИИТИ объекта, а также осуществляется управление процессами обеспечения ИБ в ходе обработки информации функциональными приложениями.

5. На инфраструктурном уровне обеспечивается защита той части ИИТИ, которая относится к данному объекту информатизации, а также осуществляется управление ИБ на объекте в целом.

6. Политика информационной безопасности обеспечивается в целом на корпоративном уровне корпоративной системой управления ИБ (КСУ ИБ), при этом функция управления ИБ реализуется в ПОИБ, КСЗИ и СОИБ объектов, в средствах и технологиях обеспечения ИБ.

    Схема архитектуры обеспечения ИБ корпоративного предприятия представлена на рисунке ниже.

ОСНОВНЫЕ НАПРАВЛЕНИЯ РЕШЕНИЯ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОГО ПРЕДПРИЯТИЯ:

• организационная и инженерно-техническая защита объектов информатизации в интересах информационной безопасности;
• секретное и конфиденциальное делопроизводство;
• защита информации от несанкционированного доступа к информации и ресурсам АС (защита от НСД);
• криптографические методы и средства защиты информации в компьютерной и телекоммуникационной среде;
• защита от скрытого внедрения в программно-техническую среду компьютерных и телекоммуникационных систем;
• защита информации от утечки по техническим каналам;
• нормативно-правовое обеспечение информационной безопасности.