Обеспечение безопасности корпоративных информационных систем

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Понятие, структура и использование КИС

1.1.Понятие и особенности КИС

1.2.Принципы построения КИС

1.3.Сферы применения КИС

1.4.Классификация КИС

2. Обеспечение безопасности КИС

2.1. Анализ методов и средств защиты информации в КИС

2.2. Концепция информационной безопасности КИС

2.3. Подсистемы, входящие в систему комплексной защиты информации КИС

Заключение

Список использованной литературы



Введение

Создание корпоративной информационной системы (КИС) предприятия всегда связано с удовлетворением требований четко очерченной нормативно-правовой базы, жестко прописанной в проектных документах по ее созданию. Часто первым документом заказчика, определяющим пути создания или развития КИС, является Концепция информатизации (автоматизации) его организационно-штатной структуры. Она может быть создана как заказчиком, так и любым предприятием, выигравшим соответствующий конкурс. На основании этого документа может быть написано подробное техническое задание (ТЗ), выполнение которого и является обязанностью системного или проектного интегратора. Порядок утверждения и согласования ТЗ на информационную систему и ее подсистемы установлен в ГОСТ 34.602-89, который является неотъемлемой частью упомянутой нормативно-правовой базы.

Как видно, вопрос о том, как создавать КИС, достаточно изучен и даже стандартизован. Это относится прежде всего к ее функциональному наполнению и к работе прикладных процессов.

Однако не менее важным моментом в решении вопроса функционирования будущей КИС является проблема обеспечения ее информационной безопасности. Создание защищенной информационной системы заключается в выполнении совокупности мероприятий, направленных на разработку и/или практическое применение таких информационных технологий, которые бы реализовали функции по защите информации в соответствии с требованиями стандартов и нормативных документов, как во вновь создаваемых, так и в действующих системах. Процесс создания такой КИС должен начинаться также с реализации научного подхода к построению подсистемы информационной безопасности, т.е. с разработки Концепции информационной безопасности, являющейся наряду с Концепцией автоматизации вторым основополагающим документом.

Целью данной работы является рассмотрение понятия корпоративных информационных систем и обеспечение безопасности функционирования КИС.



1. Понятие, структура и использование КИС

1.1 Понятие и особенности КИС

Корпоративные информационные системы (КИС) - это интегрированные системы управления территориально распределенной корпорацией, основанные на углубленном анализе данных, широком использовании систем информационной поддержки принятия решений, электронных документообороте и делопроизводстве. КИС призваны объединить стратегию управления предприятием и передовые информационные технологии.

Корпоративная информационная система -- это совокупность технических и программных средств предприятия, реализующих идеи и методы автоматизации.

Комплексная автоматизация бизнес процессов предприятия на базе современной аппаратной и программной поддержки может называться по-разному. В настоящее время наряду с названием Корпоративные информационные системы (КИС) употребляются, например, следующие названия:

1. Автоматизированные системы управления (АСУ);

2. Интегрированные системы управления (ИСУ);

3. Интегрированные информационные системы (ИИС);

4. Информационные системы управления предприятием (ИСУП).

Главная задача КИС - эффективное управление всеми ресурсами предприятия (материально- техническими, финансовыми, технологическими и интеллектуальными) для получения максимальной прибыли и удовлетворения материальных и профессиональных потребностей всех сотрудников предприятия.

КИС по своему составу - это совокупность различных программно-аппаратных платформ, универсальных и специализированных приложений различных разработчиков, интегрированных в единую информационно-однородную систему, которая наилучшим образом решает в некотором роде уникальную задачу каждого конкретного предприятия. То есть, КИС - человеко-машинная система и инструмент поддержки интеллектуальной деятельности человека, которая под его воздействием должна:

· Накапливать определенный опыт и формализованные знания;

· Постоянно совершенствоваться и развиваться;

· Быстро адаптироваться к изменяющимся условиям внешней среды и новым потребностям предприятия.

Комплексная автоматизация предприятия подразумевает перевод в плоскость компьютерных технологий всех основных деловых процессов организации. И использование специальных программных средств, обеспечивающих информационную поддержку бизнес-процессов, в качестве основы КИС представляется наиболее оправданным и эффективным. Современные системы управления деловыми процессами позволяют интегрировать вокруг себя различное программное обеспечение, формируя единую информационную систему. Тем самым решаются проблемы координации деятельности сотрудников и подразделений, обеспечения их необходимой информацией и контроля исполнительской дисциплины, а руководство получает своевременный доступ к достоверным данным о ходе производственного процесса и имеет средства для оперативного принятия и воплощения в жизнь своих решений. И, что самое главное, полученный автоматизированный комплекс представляет собой гибкую открытую структуру, которую можно перестраивать на лету и дополнять новыми модулями или внешним программным обеспечением.

Под корпоративной информационной системой будем понимать информационную систему организации, отвечающую следующему минимальному перечню требований:

1. Функциональная полнота системы

2. Надежная система защиты информации

3. Наличие инструментальных средств адаптации и сопровождения системы

4. Реализация удаленного доступа и работы в распределенных сетях

5. Обеспечение обмена данными между разработанными информационными системами и др. программными продуктами, функционирующими в организации.

6. Возможность консолидации информации.

7. Наличие специальных средств анализа состояния системы в процессе эксплуатации.

Функциональная полнота системы:

- выполнение международных стандартов управленческого учета MRP II, ERP, CSRP

- автоматизация в рамках системы решения задач планирования, бюджетирования, прогнозирования, оперативного (управленческого) учета, бухгалтерского учета, статистического учета и финансового-экономического анализа

- формирование и ведение учета одновременно по российским и международным стандартам

- количество однократно учитываемых параметров деятельности организации от 200 до 1000, количество формируемых таблиц баз данных - от 800 до 3000.

Система защиты информации:

- парольная система разграничения доступа к данным и реализуемым функциям управления

- многоуровневая система защиты данных (средства авторизации вводимой и корректируемой информации, регистрация времени ввода и модификации данных)

Инструментальные средства адаптации и сопровождения системы:

- изменение структуры и функций бизнес-процессов

- изменение информационного пространства

- изменение интерфейсов ввода, просмотра и корректировки информации

- изменение организационного и функционального наполнения рабочего места пользователя

- генератор произвольных отчетов

- генератор сложных хозяйственных операций

- генератор стандартных форм

Возможность консолидации информации:

- на уровне организации - объединение информации филиалов, холдингов, дочерних компаний и т.д.

- на уровне отдельных задач - планирования, учета, контроля и т.д.

- на уровне временных периодов - для выполнения анализа финансово-экономических показателей за период, превышающий отчетный

Специальные средства анализа состояния системы в процессе эксплуатации:

- анализ архитектуры баз данных

- анализ алгоритмов

- анализ статистики количества обработанной информации

- журнал выполненных операций

- список работающих станций серверов

- анализ внутрисистемной почты

Наиболее развитые корпоративные ИС (КИС) предназначены для автоматизации всех функций управления корпорацией: от научно-технической и маркетинговой подготовки ее деятельности до реализации ее продукции и услуг. В настоящее время КИС имеют в основном экономическую и производственную направленность.[7]

1.2 Принципы построения КИС

Принципы построения корпоративных информационных систем, т.е. информационных систем в масштабе всей организации:

1. информационная модель - представляющая собой отражение реальной информационной базы предприятия и описывающая все существующие информационные потоки, совокупность правил и алгоритмов функционирования информационной системы;

2. техническое обеспечение (суперкомпьютеры, имеющие перспективные архитектуры и технологии организации вычислительного процесса);

3. средства коммуникации (сетевые компьютерные технологии, технологии Internet/Intranet, технологии клиент - сервер);

4. системное и сетевое программное обеспечение, обеспечивающее работу коммуникационных средств;

5. прикладное программное обеспечение, необходимое для выполнения прикладных задач в каждом подразделении банка;

6. средства обеспечения безопасности (разграничение доступа к ресурсам, обеспечение надежности функционирования корпоративной системы в целом).

1. КИС создается на длительный срок эксплуатации, поэтому, как любая информационная система с продолжительным циклом жизни, она должна удовлетворять очевидному требованию: информационная среда должна быть гибкой, легко модифицируемой, расширяемой, простой в управлении и сопровождении.

2. КИС должна быть открытой и постоянно пополняться свежей информацией, идеями и т.д. из внешних источников.

3. КИС должна базироваться на централизованной сетевой базе данных, способствующей внутренней структуризации корпоративного информационного ресурса. В свою очередь, сетевые средства телекоммуникаций должны обеспечивать всем структурным подразделениям быстрый и эффективный распределенный доступ к корпоративному хранилищу данных.

4. Логическая модель данных должна обеспечивать всестороннюю структуризацию, упорядочивание и классификацию сохраняемой в базе данных информации, для чего разработчики КИС должны использовать самые разные групповые и семантические классификационные признаки, например, принадлежность информации подразделению, пользователю, другим содержательным атрибутам.

5. Корпоративный банк данных должен обслуживаться дистанционно средствами распределенного административного интерфейса КИС. Это позволяет, с одной стороны, сохранить локальный характер управления информацией, с другой стороны, направить кооперативные усилия всего коллектива на формирование единого непротиворечивого информационного ресурса.

6. КИС включает механизмы обратной связи, которые обеспечивают резонансный, положительный эффект от кооперативных усилий всех структурных подразделений по созданию и сопровождению корпоративного информационного ресурса.[5]

1.3 Сферы применения КИС

1. Бухгалтерский учет - классическая и наиболее часто реализуемая на сегодняшний день область применения информационных технологий. Ошибка бухгалтера может стоить очень дорого, поэтому очевидна выгода автоматизации бухгалтерии. Задача бухгалтерского учета довольно легко формализуется, так что разработка систем автоматизации бухгалтерского учета не представляет технически сложной проблемы.

2. Управление финансовыми потоками. Неправильно построив систему расчетов с поставщиками и потребителями, можно спровоцировать кризис наличности даже при налаженной сети закупки, сбыта и хорошем маркетинге.

3. Управление складом, ассортиментом, закупками. Теперь можно автоматизировать процесс анализа движения товара, тем самым отследив и зафиксировав те двадцать процентов ассортимента, которые приносят 80% прибыли. Это же позволит ответить на главный вопрос - как получать максимальную прибыль при постоянной нехватке средств?

4. Управление производственным процессом. Автоматизированное решение подобной задачи дает возможность грамотно планировать, учитывать затраты, проводить техническую подготовку производства, оперативно управлять процессом выпуска продукции в соответствии с производственной программой и технологией.

5. Управление маркетингом подразумевает сбор и анализ данных о фирмахконкурентах, их продукции и ценовой политике, а также моделирование параметров внешнего окружения для определения оптимального уровня цен, прогнозирова¬ния прибыли и планирования рекламных кампаний.

6. Документооборот является очень важным процессом деятельности любого предприятия. Хорошо отлаженная система учетного документооборота отражает реально происходящую на предприятии текущую производственную деятельность и дает управленцам возможность воздействовать на нее.

7. Системы поддержки принятия решений, системы интеллектуального анализа данных. Сегодня успех в управлении предприятием во многом определяется оперативностью принятия решений, данные для которых и предоставляет КИС. В этом случае на помощь приходит оперативная обработка данных (OnLine Analitical Processing, OLAP). OLAP формирует запросы на основе жестко заданных форм, а с помощью гибких нерегламентированных подходов. OLAP обеспечивает выявление ассоциаций, закономерностей, трендов, проведение классификации, обобщения или детализации, составление прогнозов, т. е. предоставляет инструмент для управления предприятием в реальном времени.

8. Предоставление информации о предприятии. Практически каждое уважающее себя предприятие сейчас имеет свой вебсервер (создание имиджа предприятия; максимальная разгрузка справочной службы компании путем предоставления потенциальным и уже существующим абонентам возможности получения необходимой информации о фирме, предлагаемых товарах, услугах и ценах).[4]

1.4 Классификация КИС

Корпоративные информационные системы можно также разделить на два класса: финансово-управленческие и производственные.

1. Финансово-управленческие системы включают подкласс малых интегрированных систем. Такие системы предназначены для ведения учета по одному или нескольким направлениям (бухгалтерия, сбыт, склад, кадры и т.д.)- Системами этой группы может воспользоваться практически любое предприятие.

Системы этого класса обычно универсальны, цикл их внедрения невелик, иногда можно воспользоваться «коробочным» вариантом, купив программу и самостоятельно установив ее на ПК.

Финансово-управленческие системы (особенно системы российских разработчиков) значительно более гибкие в адаптации к нуждам конкретного предприятия. Часто предлагаются «конструкторы», с помощью которых можно практически полностью перестроить исходную систему, самостоятельно или с помощью поставщика установив связи между таблицами БД или отдельными модулями.

2. Производственные системы (также называемые системами производственного управления) включают подклассы средних и крупных интегрированных систем. Они предназначены в первую очередь для управления и планирования производственного процесса. Учетные функции, хотя и глубоко проработаны, играют вспомогательную роль, и порой невозможно выделить модуль бухгалтерского учета, так как информация в бухгалтерию поступает автоматически из других модулей.

Эти системы функционально различны: в одной может быть хорошо развит производственный модуль, в другой - финансовый. Сравнительный анализ систем такого уровня и их применимости к конкретному случаю может вылиться в значительную работу. А для внедрения системы нужна целая команда из финансовых, управленческих и технических экспертов. Производственные системы значительно более сложны в установке (цикл внедрения может занимать от 6 - 9 месяцев до полутора лет и более). Это обусловлено тем, что система покрывает потребности всего предприятия, и это требует значительных совместных усилий сотрудников предприятия и поставщиков программ.

Производственные системы часто ориентированы на одну или несколько отраслей и/или типов производства: серийное сборочное (электроника, машиностроение), мелкосерийное и опытное (авиация, тяжелое машиностроение), дискретное (металлургия, химия, упаковка), непрерывное (нефтедобыча, газодобыча).

Специализация отражается как в наборе функций системы, так и в существовании бизнес - моделей данного типа производства. Наличие встроенных моделей для определенного типа производства отличает производственные системы друг от друга. У каждой из них есть глубоко проработанные направления и функции, разработка которых только начинается или вообще не ведется.

Производственные системы по многим параметрам значительно более жестки, чем финансово-управленческие. Основное внимание уделяется планированию и оптимальному управлению производством. Эффект от внедрения производственных систем проявляется на верхних эшелонах управления предприятием, когда становится видна вся картина его работы, включая планирование, закупки, производство, сбыт, запасы, финансовые потоки и другие аспекты. информационный программный корпоративный

При увеличении сложности и широты охвата функций предприятия системой возрастают требования к технической инфраструктуре и программно-технической платформе. Все производственные системы разработаны с помощью промышленных баз данных. В большинстве случаев используются технология клиент-сервер или Internet-технологии.

Для автоматизации больших предприятий в мировой практике часто используется смешанное решение из классов крупных, средних и малых интегрированных систем. Наличие электронных интерфейсов упрощает взаимодействие между системами и позволяет избежать двойного ввода данных.

Также различают виды КИС, такие как заказные (уникальные) и тиражируемые КИС.

Заказные КИС

Под заказными КИС обычно понимают системы, создаваемые для конкретного предприятия, не имеющего аналогов и не подлежащие в дальнейшем тиражированию.

Подобные системы используются либо для автоматизации деятельности предприятий с уникальными характеристиками либо для решения крайне ограниченного круга специальных задач.

Заказные системы, как правило, либо вообще не имеют прототипов, либо использование прототипов требует значительных его изменений, имеющих качественный характер. Разработка заказной КИС характеризуется повышенным риском в плане получения требуемых результатов.

Тиражируемые (адаптируемые) КИС.

Суть проблемы адаптации тиражируемых КИС, т.е. приспособления к условиям работы на конкретном предприятии в том, что в конечном итоге каждая КИС уникальна, но вместе с тем ей присущи и общие, типовые свойства. Требования к адаптации и сложность их реализации существенно зависят от проблемной области, масштабов системы. Даже первые программы, решавшие отдельные задачи автоматизации, создавались с учетом необходимости их настройки по параметрам.

Разработка КИС на предприятии может вестись как “от нуля”, так и на основе референционной модели.

Референционная модель представляет собой описание облика системы, функций, организованных структур и процессов, типовых в каком-то смысле (отрасль, тип производства и т.д.).

В ней отражаются типовые особенности, присущие определенному классу предприятий. Ряд компаний - производителей адаптируемых (тиражируемых) КИС совместно с крупными консалтинговыми фирмами в течение ряда лет ведет разработку референционных моделей для предприятий автомобильной, авиационной и других отраслей.

Адаптации и референционные модели входят в состав многих систем класса MRP II / ERP, что позволяет значительно сократить сроки их внедрения на предприятия.

Референционная модель в начале работы по автоматизации предприятия может представлять собой описание существующей системы (как есть) и служит точкой отсчета, с которой начинаются работы по совершенствованию КИС.

Используется также следующая классификация. КИС делятся на три (иногда четыре) большие группы:

1) простые (“коробочные”);

2) среднего класса;

3) высшего класса

Простые (“коробочные”) КИС реализуют небольшое число бизнес-процессов организации. Типичным примером систем подобного типа являются бухгалтерские, складские и небольшие торговые системы наиболее широко представленные на российском рынке. Например, системы таких фирм как 1С, Инфин и т.д.

Отличительной особенностью таких продуктов является относительная легкость в усвоении, что в сочетании с низкой ценой, соответствием российскому законодательству и возможностью выбрать систему “на свой вкус” приносит им широкую популярность. Системы среднего класса отличаются большей глубиной и широтой охвата функций. Данные системы предлагают российские и зарубежные компании. Как правило, это системы, которые позволяют вести учет деятельности предприятия по многим или нескольким направлениям:

- финансы;

- логистика;

- персонал;

- сбыт.

Они нуждаются в настройке, которую в большинстве случаев осуществляют специалисты фирмы-разработчика, а также в обучении пользователей. Эти системы больше всего подходят для средних и некоторых крупных предприятий в силу своей функциональности и более высокой, по сравнению с первым классом, стоимости. Из российских систем данного класса можно выделить, например, продукцию компаний Галактика, ТБ.СОФТ. К высшему классу относятся системы, которые отличаются высоким уровнем детализации хозяйственной деятельности предприятия. Современные версии таких систем обеспечивают планирование и управление всеми ресурсами организации (ERP-системы).

Как правило, при внедрении таких систем производится моделирование существующих на предприятии бизнес-процессов и настройка параметров системы под требования бизнеса.

Однако значительная избыточность и большое количество настраиваемых параметров системы обуславливают длительный срок ее внедрения, и также необходимость наличия на предприятии специального подразделения или группы специалистов, которые будут осуществлять перенастройку системы в соответствии с изменениями бизнес-процессов.

На российском рынке имеется большой выбор КИС высшего класса, и их число растет. Признанными мировыми лидерами являются, например, R/3 фирмы SAP, Oracle Application компании Oracle.[6]

2. Обеспечение безопасности КИС

2.1 Анализ методов и средств защиты информации в КИС

Объем информации, хранимой в электронном виде, вырос в тысячи раз. С массовым внедрением компьютеров во все сферы деятельности человека разнообразие несанкционированных способов доступа в корпоративную информационную сеть (КИС) увеличилось. Это подтверждают следующие методы несанкционированного проникновения:

1. Подмена IP адреса или спуфинг (spoofing)

2. Перехват пакетов или снифинг (sniffing)

3. Использование перехватчиков ввода с клавиатуры (keystroke grabbers)

4. Подбор или расшифровка пароля

5. Методы социальной инженерии (social engineering)

6. Атака типа «отказ в обслуживании»

7. Подмена системных утилит

8. Использование слабостей и ошибок системных утилит

9. Использование особенностей и недостатков сетевых протоколов.

10. Применение сетевых вирусов

11. Использование программно-аппаратного контроля и настройки сети

12.Другие методы.

Более подробное описание этих методов и средств защиты при их использовании приведено ниже.

Спуфинг, или подмена IP адреса.

Методом защиты от такого рода преступлений служит фильтрация пакетов, поступающих из Интернет на маршрутизатор, их задержка и нераспознание IP адреса без пароля. Наибольший вред может нанести данный метод в том случае, если в системе разрешены соединения без пароля. Отрицательной стороной системы аутентификации является её слабость, она позволяет провести только идентификацию IP адреса. Такую атаку весьма сложно обнаружить.

Снифинг, или перехват пакетов. Аппаратный перехватчик пакетов физически подключается к сети, а программный - способен работать на компьютерах, подключенных к сети через модем. От программных перехватчиков защищаются не только шифрованием и частой сменой паролей, но и аппаратными средствами, такими, как сетевые адаптеры.

Использование перехватчиков ввода с клавиатуры. Код нажатия клавиши на клавиатуре компьютера передается по сети по заданному адресу, либо сохраняется в заданном файле. Следует защищаться от таких нападений, запретив администратору пользоваться любыми компьютерами, за исключением специально выделенного.

И еще необходимо в целях профилактики отслеживать любую установку или удаление ПО, т. е. проводить мониторинг компонентов.

Подбор или расшифровка пароля. Защитой от перехвата пароля пользователя могут служить специальные программы-дешифраторы паролей. Эффективный способ защиты заключается в сравнении зашифровки настоящего пароля и зашифрованных ключевых слов с помощью одного и того же алгоритма.

Методы социальной инженерии. Действие таких методов основано на психологическом доверии пользователей. Предотвратить применение этих методов можно организационным путем: установкой локальной телефонной сети на рабочих местах, строгим регламентом полномочий и правил общения с провайдером или с любыми представителями внешних служб.

Атака типа «отказ в обслуживании». Проводится в сети путем засорения линии связи или загрузкой серверов ненужной работой. С целью контроля атак такого типа используется анализатор сети или перехватчик пакетов, а в Windows NT используется команда NetStat.

Подмена системных утилит. Например, систему Unix другим самодельным компонентом под тем же названием. Угрозу в данном случае представляет условно бесплатное программное обеспечение, которое приобретается нелегально, либо выступает в качестве «подарка» через Интернет.

Использование слабых мест и ошибок системных утилит. Ошибки устраняются с выявлением. Можно сделать вывод, что надо чаще обновлять ОС, а также следить за хакерской информацией и их новинками.

Использование недостатков сетевых протоколов. Многопротокольные сети имеют «дыры», которые один протокол может создавать в другом. Неправильное конфигурирование администратором сети фильтров на маршрутизаторе является ошибкой. Например, в протоколе TCP/ IP содержится 150 «дыр», что оказывает большую услугу хакерам в целях несанкционированного проникновения в сеть.

Применение сетевых вирусов. Они могут быть программами, наносящими большой ущерб компьютерам сети. Это такие программы, как: «Черви» - по цепной реакции быстро распространяются, могут уничтожить все сетевые и компьютерные ресурсы и прекратить работу самой сети. «Троянские кони» - скрытая от пользователя программа, внешне безопасная, запускаясь, проникает в систему и вводит вирусы, перехватывает пакеты вместе с паролями, воспроизводит на сервере не установленные ранее службы или сервисы. Таким образом, защитой может быть проведение аудита сети, мониторинга, регулярного сканирования портов и проведения проверок на вирусы.

Использование программ аппаратного контроля и настройки. Такие программы могут использовать хакеры для начала атаки, делая хаос в сети. Штурм сервера пакетами со скоростью несколько тысяч пакетов в минуту неизбежно замедлит работу сети вплоть до «отказа в обслуживании». Для избежания атаки необходимо производить фильтрацию трафика протокола ICMP. [2]



2.2 Концепция информационной безопасности КИС

Любая КИС создается с учетом уже имеющейся или планируемой информационной инфраструктуры, включающей как телекоммуникационную составляющую, так и информационную часть, что вместе составляет инфокоммуникационную среду для будущей системы. Зачастую никто, даже сам заказчик - владелец ресурса, не имеет полного представления о том, чем же он владеет. Поэтому первым этапом на пути разработки Концепции является обследование объекта защиты или аудит, который проводится специалистами по информационной безопасности на всех или на выделенных типовых объектах заказчика. Смысл этой непростой и довольно длительной работы заключается в выявлении состава информационной инфраструктуры, на которую и будет опираться (или уже опирается) система.

Дальнейшие действия заказчика просты: необходимо определить, "что защищаем" и "от чего", т.е. составить реестр защищаемых ресурсов (серверов, файлов, папок, данных и пр.) и определить, какого класса защита должна быть установлена и настроена в информационной системе. Например, сегодня наиболее актуальна защита персональных данных. С правовой точки зрения эти вопросы освещены в федеральных законах, подзаконных актах, приказах и разъяснениях федеральных органов, содержащих требования и рекомендации по составу средств защиты информации (СЗИ), которые должны быть включены в подсистему информационной безопасности. Этим и нужно руководствоваться при разработке Концепции.

Результатом дальнейшего развития подходов к созданию Концепции информационной безопасности является формирование раздела ТЗ, в котором будут изложены требования к защите информации в КИС, либо будет сформировано частное техническое задание (ЧТЗ) на подсистему защиты информации:

· определение защищаемых ресурсов системы;

· исключение или существенное затруднение получения доступа к защищаемой информации злоумышленником не только о системе, но и об обрабатываемой в ней или являющейся ее продукцией;

· исключение или существенное затруднение несанкционированного и/или непреднамеренного воздействия на защищаемую информацию и ее носители.

Основные принципы и положения по созданию и функционированию защищенных систем изложены в требованиях ГОСТ 29339, ГОСТ Р 50543, ГОСТ Р 50739-95, ГОСТ Р 50972, ГОСТ Р 51275, ГОСТ РВ 50797 и других нормативных документах. Здесь имеется также ряд ограничений, сужающий круг предприятий, имеющих возможность работать в них. Кооперация исполнителей или единственный проектный интегратор должен иметь лицензии на осуществление работ в области защиты информации и использование средств защиты информации (СЗИ) в своей деятельности.

Работы по созданию, производству и эксплуатации информационной системы с использованием криптографических (шифровальных) средств для защиты информации ограниченного доступа ведутся согласно положениям нормативных актов Российской Федерации, определяющих порядок разработки, изготовления и обеспечения эксплуатации шифровальных средств на основании соответствующих лицензий ФСБ России. Если в системе обрабатывается информация, относящаяся к государственной тайне Российской Федерации, то необходимо наличие лицензии, подтверждающей возможность работы предприятия с этими сведениями.

Кроме того, ограничения касаются выбора разнообразных технических средств. Для создания КИС могут применяться как серийно выпускаемые, так и вновь разработанные программные, программно-аппаратные, технические, криптографические СЗИ, которые должны иметь сертификаты соответствия требованиям по защите информации, полученные в соответствующих системах сертификации по требованиям безопасности информации (ФСТЭК России, ФСБ России, Минобороны России). Именно эти средства и должны обсуждаться в Концепции информационной безопасности. Существенной частью в этом документе является также сформированная для конкретной системы модель нарушителя (угроз), которой должна быть противопоставлена модель защиты, а также проведено формальное доказательство ее полноты и непротиворечивости. Часто к Концепции предъявляются дополнительные требования по согласованию ее с органами, осуществляющими контроль в этой области.

Таким образом, вопросы информационной безопасности находятся под постоянным контролем и регулированием как со стороны государства, так и со стороны структур управления предприятий. Нормативно-методологической базой для решения вопросов безопасности в информационных системах являются в первую очередь требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа, в том числе и персональных данных граждан, всеми субъектами информационных отношений на всей территории Российской Федерации. Эти требования определяются в законах, детализируются и уточняются в руководящих документах Федеральной службы по техническому и экспортному контролю Российской Федерации, ФСБ России и других государственных учреждений, имеющих отношение к обеспечению безопасности информации и безопасному использованию информационных технологий. Они определяют мероприятия и виды технических и программных средств базового уровня безопасности, обязательного для безоговорочного выполнения всеми субъектами информационных отношений, которые используют информационные системы, обрабатывающие соответствующие виды информации ограниченного доступа.

Ответственность за несоблюдение указанных требований несет прежде всего руководитель распределенной структуры. Она определена в таких российских законодательных актах, как Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Уголовный кодекс Российской Федерации, Федеральные законы "О безопасности", "О государственной тайне", "Об информации, информатизации и защите информации", "О коммерческой тайне", "О связи", "Об участии в международном информационном обмене", "О техническом регулировании", "Об электронной цифровой подписи", "Об информации, информационных технологиях и о защите информации", указы Президента Российской Федерации, постановления Правительства Российской Федерации, Доктрина информационной безопасности Российской Федерации, международные договоры и соглашения, заключенные или признанные Российской Федерацией, а также в других нормативных правовых актах.[3]

2.3 Подсистемы, входящие в систему комплексной защиты информации КИС

Исходя из общих соображений можно определить ряд подсистем, которые должны входить в систему комплексной защиты информации КИС и практически обязательны к проектированию.

Подсистема авторизации. Данная подсистема обеспечивает доступ пользователя информационной системы (в том числе удаленного) к защищаемым ресурсам на основе анализа предъявляемых им своих учетных данных с использованием средств идентификации и аутентификации. Она строится на принципах реализации мандатного и дискреционного методов доступа, имеет возможность отказать пользователю в доступе, если его данные будут признаны неподлинными, сигнализировать об этом администратору безопасности и зарегистрировать неудачную попытку доступа для проведения расследования коллизий информационной безопасности.

Подсистема контроля целостности. Эта подсистема обеспечивает надлежащее функционирование прикладных процессов в информационной системе и неизменность программной среды на основе контроля за идентичностью необходимых файлов операционных систем, функционального и специального программного обеспечения. Кроме того, она позволяет контролировать целостность данных при их передаче по каналам связи посредством применения криптографических СЗИ (симметричное и несимметричное шифрование).

Подсистема межсетевого экранирования. С помощью этой подсистемы можно осуществлять защиту объектов от несанкционированного доступа и сетевых воздействий (атак) с целью вывода из строя отдельных функций защиты информации, узлов сети или нарушения функционирования информационной системы в целом. Она используется также для разграничения доступа по сети к защищаемой информации системы как на уровне адресов отдельных узлов, так и на уровне приложений.

Подсистема антивирусной защиты. Данная подсистема осуществляет защиту информационной системы при взаимодействии со смежными информационными комплексами и системами от вредоносных программ (вирусов, троянских коней, spyware и пр.).

Подсистема контентного анализа и защиты от нежелательной почты (спама). В подсистеме предусмотрена защита информационной системы при взаимодействии со смежными информационными комплексами и системами от нежелательной (рекламной) информации.

Подсистема обнаружения вторжений. Эта подсистема позволяет производить анализ сетевого трафика и передавать сообщения о возможном нападении на централизованную консоль управления, а также уведомлять администратора безопасности о несанкционированной сетевой активности, регистрировать эти сведения и блокировать доступ нежелательных источников к защищаемой информации в информационной системе.

Подсистема мониторинга уязвимостей и аудита информационной безопасности. Подсистема обеспечивает анализ настроек и оценку эффективности функционирования СЗИ, предоставляя администратору безопасности информацию о сбоях в работе СЗИ и наличии узких мест, которые могут быть использованы потенциальным злоумышленником для получения несанкционированного доступа к данным.

Подсистема управления информационной безопасностью. Подсистема предоставляет возможность централизованного управления конфигурацией всех служб и сервисов комплексной системы защиты КИС. Управление конфигурацией СЗИ позволяет администратору безопасности получать полный доступ к настройкам средств безопасности серверов, рабочих мест, баз данных и средств межсетевого экранирования с использованием защищенных протоколов передачи данных, методами, устойчивыми к пассивному и активному прослушиванию. Кроме того, система обеспечивает обнаружение и устранение причин неисправностей и ошибок авторизации и доступа к данным.

В любом случае интегратору и заказчику необходимо сформировать и утвердить обоснованную, интегрированную систему взглядов на вопросы обеспечения информационной безопасности на этапах проектирования, создания, ввода в действие, промышленной эксплуатации и модернизации КИС для реализации единой политики в этой области и выработки взаимосвязанных и согласованных мер организационного и инженерно-технического характера по созданию инфраструктуры информационной безопасности системы. Тогда можно говорить о создании защищенной информационной системы, когда в основе принятого технологического решения лежит полное и непротиворечивое решение всех вопросов информационной безопасности, которая является ее неотъемлемой функцией.

Вопросы реализации информационной безопасности в КИС станут неотъемлемыми ее частями, если будет решен главный вопрос - об архитектуре системы, т.е. о выборе того или иного технологического решения для ее построения. Разнородные СЗИ очень плохо сопрягаемы, управлять ими сложно, их эксплуатация связана с высокими издержками, поэтому внедрение комплексной защиты информации как в организационном, так и в техническом смысле считается распределенной по времени задачей, когда подсистемы могут внедряться постепенно - от насущных (антивирусная защита, межсетевое экранирование) к менее важным - аудит, спам и пр.

Для функционального обеспечения КИС особое значение имеет решение о единой архитектуре, в которую указанные подсистемы уже встроены. Практическая деятельность в течение многих лет доказательно убеждает, что только трехуровневая архитектура построения информационной системы с применением продуктов класса middleware в состоянии решить комплексную задачу информационной безопасности в описываемом здесь понимании. На наш взгляд, сегодня такой архитектурный подход является наиболее перспективным, обеспечивающим совместное функционирование разнородных подсистем, в том числе с точки зрения защиты информации. Он может явиться основой для построения КИС произвольной функциональной направленности, которая позволяет использовать в процессе ее создания различные сертифицированные средства, в том числе зарубежного производства. Используя технологию интеграции для любого общего, прикладного программного обеспечения и СЗИ, появляется возможность "правильного построения" защищенной информационной системы для решения задач информационной безопасности на произвольной территориально распределенной инфраструктуре заказчика. [1]



Заключение

Выбор КИС для внедрения является сложным и ответственным процессом, требующим тщательного анализа как текущих потребностей и финансовых возможностей предприятия, так и перспективных планов его развития. Правильный выбор компании - разработчика КИС, которая должна стать на долгие годы надежным партнером предприятия (в деле повышения эффективности его управления), является основой успеха внедрения КИС. Наибольший эффект от внедрения КИС достигается при ее комплексном развертывании и максимальной заинтересованности руководства предприятия в успехе всего проекта.

В данной работе были рассмотрены: что из себя представляет КИС и обеспечение безопасности КИС.



Список литературы

1. http://www.crmdaily.ru/450-postroenie-yeffektivnoj-sistemy-informacionnoj-bezopasnosti.html

2. Гусева Н.И. / Дис. канд. экон. наук : 08.00.13 : Москва, 2002 144 c.

3. Автоматизированные информационные технологии в экономике: Учебник/ Под ред. проф. Г.А.Титоренко. - М.: Компьютер, ЮНИТИ, 2005. - 400с.

4. Гагарский В.А. Проблемы внедрения корпоративных информационных систем // «Дело» - №12.-2006г.

5. Смирнова Г.Н., Сорокин А.А., Тельнов Ю.Ф. Проектирование экономических информационных систем, 2002г.

6. Филипенко И.А. Выбор ПО для автоматизации управления //“Корпоративные системы” -№3. - 2001г.

7. Информационные системы в экономике / Под ред. В.В. Дика. - М.: Финансы и статистика, 2006г.

Размещено на Allbest.ru

...