Защита информации при внедрении CALS

5.7 Защита информации при внедрении CALS [3]

Внедрение методов CALS нацелено на совместное использование информации в электронном виде. Некоторая часть такой информации может попадать под действие нормативных актов РФ о защите информации, поскольку связана с коммерческой и государственной тайнами.

 Здесь рассмотрены основные этапы работ на конкретном предприятии по защите информации.

Тесные связи с внешними участниками, развитие партнерских отношений  увеличивают риски нарушения информационной   безопасности и требуют активного контроля и гарантии целостности и надежности используемой информации.

Это требует проведения работ по управлению рисками в области информационной безопасности, а именно:

- определение масштаба защитных мероприятий;

- определение и классификация информации, предоставляемой для совместного использования;

- определение угроз безопасности и требований к безопасности;

- выбор мер защиты информации;

Рекомендуемые материалы

- документирование политики безопасности.

Поскольку для обеспечения информационной безопасности необходимы определенные затраты, меры защиты должны быть соразмерны уровню существующих рисков. Ниже описаны шаги, которые необходимо предпринять для определения потенциальных рисков, их возможного воздействия на бизнес и выбора мер противодействия, чтобы затем эти меры включить в политику и план обеспечения информационной безопасности.

Определение рамок системы информационной безопасности.

Необходимо провести инвентаризацию аппаратных средств, операционных систем, сетей и прикладных программных средств, которые будут использоваться для доступа к информации и задокументировать все это в виде схемы.

Документирование информационных потоков и оценка чувствительности информации к несанкционированному доступу.

Определите по всем ключевым бизнес - процессам, какая информация подлежит совместному использованию, с какими информационными потоками она связана. Проведите классификацию информации по степени ее закрытости. Для информации каждого типа потребуется своя форма защиты целостности, конфиденциальности, доступа. Если ряд организаций пользуется единым виртуальным хранилищем данных о продукте, в котором имеется большой объем коммерческой информации и интеллектуальной собственности, то всегда существует вполне обоснованная озабоченность тем, что именно и в какой мере можно показать различным партнерам и заказчику. Широкий и всеобъемлющий характер такого хранилища данных может сделать доступной конфиденциальную информацию, законного права доступа к которой заказчики, партнеры, поставщики и другие члены организации могут и не иметь. Кроме того, партнер по одному проекту может стать конкурентом в другом проекте. Во избежание каких - либо недоразумений важно точно определить и согласовать, какая информация относится к информации общего пользования, зафиксировать это в ведомости используемых данных и принять меры по защите данных и прикладных программных средств ограниченного доступа. При электронном обмене данными нужно установить, какие наборы данных подлежат обмену, а также те действия, которыми должен сопровождаться каждый случай обмена.

Определение источников угрозы и требований безопасности.

Зная о том, какая информация подлежит совместному использованию, определив степень ее конфиденциальности и соответствующие информационные потоки, следует определить вероятные риски в области информационной безопасности. Основную угрозу в среде CALS могут представлять:

- нарушение непрерывности работы системы;

- несанкционированный доступ к системам или данным;

- несанкционированное изменение данных;

- несанкционированное раскрытие данных;

- недостаточность ресурсов системы.

Кроме того, при электронном обмене данными существует опасность отказа от совершенного действия как со стороны отправителя, так и со стороны получателя.

Возможность реализации каждой из перечисленных угроз следует сопоставить со стоимостью защиты от нее и, исходя из этого, определить объем мер защиты.

Выбор мер защиты информации. Весьма важно обеспечить, чтобы CALS-система была должным образом защищена, и одновременно избежать ненужных расходов на излишние меры безопасности. Задача заключается в том, чтобы выбрать наиболее подходящие меры из широкого набора потенциальных решений, таких как:

- физические методы обеспечения безопасности за счет ограничения доступа персонала в помещения;

- процедурная безопасность, начиная от проверки служащих, имеющих дело с закрытой информацией, до контроля их подготовки к процедурам выполнения работ;

- использование сетевых экранов, способных изолировать сети и хранилища данных компаний от внешних коммуникационных сетей;

- внедрение виртуальных частных сетей (VPN);

- антивирусная защита;

- введение жесткого контроля за всей пересылкой файлов путем назначения лица, выполняющего роль «библиотекаря данных»;

- введение функции «только для чтения» как фактического стандарта на доступ к данным;

- специальная защита коммерческих и других закрытых данных;

- методы аутентификации по установлению правильности и идентификации инициаторов сообщений, включая применение паролей доступа, смарт - карт, криптографии и т.д.;

- должное планирование на случай аварийных ситуаций с хорошо документированными и апробированными процедурами резервирования;

- набор методов для обеспечения целостности сообщений, включая проверку транзакций, подтверждения сообщений, шифрование;

- надежные процессы контроля версий и конфигурации.

Документирование мер политики безопасности.

После проведения оценки рисков и принятия решения по типу и объему внедряемых мер безопасности, необходимо утвердить согласованный подход к документу «Политика безопасности». Документ может распространяться на всю организацию, отдельный проект или систему. В развитие политики безопасности должны быть разработаны «Правила информационной безопасности», которые следует довести до всех сотрудников. Всех работников необходимо проинструктировать о согласованных мероприятиях по обеспечению информационной безопасности и их личной ответственности за ее обеспечение.

Факторы, влияющие на результативность внедрения ИТ. [4]. По мере освоения новых информационных технологий, сдвигов в конкуренции, изменения стратегий развития предприятия приоритетность различных приложений меняется. Поэтому в процессе внедрения ИТ должны учитываться некоторые конкретные предпосылки, касающиеся природы и роли технологической эволюции.

Затраты ресурсов на планирование. Финансовые и людские ресурсы, вовлеченные во внедрение ИТ, отвлекаются от других видов деятельности, в частности, от разработки новых систем. В какой степени целесообразно отвлекать ресурсы из других сфер деятельности предприятия — это всегда вопрос.

Соответствие ИТ организационной культуре предприятия. Важный аспект внедрения ИТ состоит в том, что оно реализуется в рамках определенной культурной среды на предприятии. Так, если инновации активно поддерживаются высшим звеном управления, такой же внутренний климат устанавливается и в подразделениях пользователей.

Стратегическое влияние ИТ. На одних предприятиях ИТ играют стратегичес­кую роль, в то время как на других — полезную, но все же второстепенную. В последнем случае трудно ожидать, что высшее звено управления будет уделять ИТ много времени.

Недооценка роли ИТ. Выбор подхода к внедрению ИТ часто усложняется несоответствием между мнением руководителей различных подразделений и реальным значением ИТ в текущей и, что особенно важно, в будущей деятельности предприятия. В этом случае важна роль высшего руководства для обоснованного принятия стратегических решений.

Часто возникают две проблемы:

- планы и стратегии, разработанные для ИТ, технически оправданы и отвечают потребностям пользователей, как они их понимают сегодня, но могут оказаться непродуктивными и даже контрпродуктивными, если ИТ не соответствуют стратегии развития предприятия;

- планы, которые разрабатываются «наверху», могут быть далеки от реалистичных подходов к внедрению новых ИТ. Это может вызвать разнообразные затруднения и даже стать причиной невыполнимых ожиданий.

Слишком часто высшее звено управления считает, что нет смысла особенно беспокоиться о планировании ИТ. Специалисты, понимая его стратегическую значимость, нередко неспособны донести свое мнение до лиц, принимающих окончательные решения.

Понимание важности и статуса руководителя подразделения ИТ. Статус руководителя подразделения ИТ должен соответствовать той роли, которую играют или должны играть ИТ в операционной деятельности и в процессе формирования стратегии фирмы. Если при стратегической важности ИТ статус руководителя невысок, ему трудно будет получать от верхнего звена управления информацию, необходимую для успешного планирования.

Близость руководителя подразделения ИТ к руководителям высшего звена управления. На предприятиях, где многие важные решения принимаются неформально и где ИТ играют важную роль, руководитель подразделения ИТ  должен в буквальном смысле находиться близко к руководству — «в соседнем кабинете», рядом с руководи­телями высшего звена. Даже обладая высоким статусом, трудно быть активным членом управленческой команды, если непосредственно не участвовать в ней.

Размер и сложность организации. По мере роста размера и сложности предприятия, расширения приложений ИТ, плановый процесс поможет обеспечить широкий диалог, очень важный для выработки единого мнения, ибо рекомендации общего характера о том, как планировать ИТ, почти всегда бессмысленны в конкретной ситуации. Даже на одном предприятии может существовать различная практика планирования в его подразделениях.

Проблемы внедрения ИТ. Для того, чтобы разработать разумную стратегию управления ИТ, необходимо учитывать основные проблемы, связанные с их внедрением.

Молодость ИТ. В своей современной форме ИТ существуют совсем недавно. Поэтому в отличие от таких дисциплин как управленческий учет, финансы, управление производством, которые уже имеют развитую теорию и длительную практику их применения, теория ИТ находится в стадии становления. В упомянутых дисциплинах за время их существования произошли существенные изменения, но эти изменения всегда были эволюционными, а не революционными. В отличие от них прогресс в области ИТ носит лавинообразный характер, и неудивительно, что «период полураспада» знаний в этой области очень короткий.

Непрерывное развитие ИТ. Как и все технологии, ИТ когда-нибудь достигнут зрелости, но до этого пока далеко. Поэтому практически для всех предприятий характерен значительный и непрерывный рост издержек, связанных с развитием ИТ.

Координация конечных пользователей ИТ. Специализированные подразделения ИТ имеют трудности во взаимодействии с пользователями. Это одна из основных проблем управления ИТ в течение многих лет. Хотя распространение новых технологий изменило форму диалога, проблемы технократичности и общедоступности остаются по-прежнему актуальными.

Любые специалисты используют профессиональную лексику. Специалисты в области ИТ для общения друг с другом употребляют специальные термины (типа «байт», «бит» и т.п.), понятные далеко не всем специалистам функциональных подразделений. В то же время пользователи имеют свой язык, совершенно другой, включающий такие слова как ликвидность, маржа и активы — термины, непонятные для специалистов в области информационных технологий. Конечно, постоянное развитие ИТ на предприятии помогает установлению связей между специалистами в области ИТ и конечными пользователями, но значительные сложности все же остаются. Даже новые подходы к интеграции ИТ и бизнеса не устранили эту проблему.

Специализация. Возросшая сложность современных информационных технологий вызвала необходимость специализации сотрудников подразделений ИТ в различных узких областях. По мере развития ИТ число специалистов, управляющих широкой областью разработки прикладных программ, подходов к систематизации данных, средств теле­коммуникаций, возрастает, что, в свою очередь, увеличивает сложность координации их усилий.

Изменение характера разрабатываемых приложений. Первые приложения ИТ были направлены на автоматизацию отдельных функциональных задач. Основное внимание уделялось структурированным проблемам, например таким, как обработка сделок, связанных с оплатой и выполнением заказов. Выгода от автоматизации поддавалась точному учету.

В настоящее время использование современных информационных технологий все более направлено на решение слабо структурированных проблем. Поэтому провести объективный анализ преимуществ применения ИТ чрезвычайно трудно. Часто решения основываются на таких суждениях специалистов, которые трудно выразить количественно. Хотя эти приложения создают потенциал для радикальной перестройки предприятий и отраслей, их внедрение весьма затруднительно.

Завершая характеристику проблем в области разработки и применения ИТ, приведем перечень вопросов, которые руководители различных подразделений предприятия должны периодически задавать себе и своим подчиненным. Эти вопросы вытекают из предыдущего обсуждения и являются полезным его дополнением.

Если Вам понравилась эта лекция, то понравится и эта - 3 - Гипотеза патогенеза кариеса.

1. Соответствует ли стратегия развития предприятия возможностям подразделения ИТ и пользователей информационных технологий?

2. Способно ли предприятие выявлять, оценивать и внедрять новые информационные технологии?

3. Развиты ли в должной мере управленческий контроль и управление проектами?

4. Являются ли системы безопасности, приоритетов и контроля операций ИТ такими, какими они должны быть для полноценного выполнения своей роли?

5. Существуют ли организационная структура и координирующие механизмы, гарантирующие нужное равновесие потребностей фирмы?

Контроль со стороны руководства за этими параметрами позволит эффективно внедрять и развивать ИТ на предприятии.