Разработка системы информационной безопасности для строительной компании

Размещено на http://www.allbest.ru/

РАЗРАБОТКА СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ СТРОИТЕЛЬНОЙ КОМПАНИИ

Стрункина М.С.^,

Воробьева А.В.²

В настоящее время уделяется большое внимание вопросам построения защищенных информационных систем, что связано с растущей необходимостью применения современных информационных технологий в тех областях, для которых основным требованием к автоматизированным системам обработки информации является обеспечение безопасности. Широко распространенные операционные системы (ОС) типа Linux или Windows не могут удовлетворить этому критерию. В то же время эти ОС обладают огромным количеством приложений для обработки информации и имеют привычный для пользователя интерфейс.

Наиболее полные исследования проблем обеспечения безопасности информации, использования незащищенных компонентов для безопасной обработки информации, подходов к построению защищенных информационных систем и моделей безопасности выполнены в работах В.А. Герасименко, С.П. Расторгуева, Л.М. Ухлинова, А.И. Толстого, С.Н. Смирнова, А.А. Грушо, А.Ю. Щербакова, Зегжды П.Д., а также зарубежных К. Лендвера, Д. МакЛина, Р. Сандху, П. Самарати, М. Бишопа, К. Брайса, П. Ньюмена, Т. Джегера и многих других.

На основе этих результатов для удовлетворения высоких требований к безопасности создаются специальные защищенные ОС (ЗОС), нацеленные в основном на обеспечение безопасности и сохранение целостности защищаемых информационных ресурсов.

Проблема защиты информации и обеспечения информационной безопасности уже давно является одним из главных приоритетов современных организаций.

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

В строительных компаниях разрабатывается огромное множество проектов.

Документация по разработанным проектам хранится в бумажном и электронном архивах. Таким образом, единого хранилища доступной информации не существует, что не позволяет эффективно использовать накопленный компанией опыт. Эту проблему можно решить с помощью базы данных, которая бы собрала воедино наиболее важные сведения о завершенных проектах. Однако в большей степени сведения о проекте необходимы компании непосредственно во время разработки. Здесь необходимо контролировать все стадии, начиная от эскизного проекта до выпуска рабочей документации.

Поэтому важно не только собрать информацию, но и поддерживать её в актуальном состоянии. Постоянное обновление и контроль требуют дополнительных средств, в том числе слежения программой за сроками выполнения работ, предоставление проектному менеджеру сведений о выполненных работах, об отклонениях от графика и т.д. Периодически необходимо формировать ответные и платежные документы на основе выполненных работ. Помимо этого может возникнуть необходимость в редактировании состава проекта, который является одним из основополагающих документов. Таким образом, возникает необходимость во внедрении системы, содержащей базу данных по проектам и обеспечивающей гибкое управление за счет перечисленных выше функций.

Сегодня на рынке информационной безопасности существует множество программ, который в той или иной степени поддерживают ведение проектов и обеспечивают защиту информации в строительных организациях. Однако большинство из них рассчитаны не на проектную деятельность (выпуск проектной документации в сфере строительства), а на проекты как метод управления компанией.

Схема реализации проекта по обеспечению безопасности в строительной организации представлена на рис.1. Вся схема должна работать четко и отлажено. Информационная защита данных должна происходить таким образом, чтобы не мешать сотрудникам компании заниматься повседневными задачами.

Для обеспечения информационной безопасности и управляемости сети в строительных предприятиях используются следующие приемы. Системный администратор сети имеет возможность добавлять, менять и уничтожать параметры учетных записей пользователей для самых разных платформ, операционных систем и приложений. Такой подход, называется «единой точкой регистрации».

Управление информационной безопасностью системы из единой точки позволяет объединить в единую базу данных контроля доступа к ресурсам. Хороший защитный сервер предприятия обеспечивает прозрачное представление информации обо всех доступных пользователю ресурсах.

Система информационной безопасности выявляет подозрительные действия со стороны как внутренних, так и внешних пользователей. Для этого используются программы специального назначения.

Внедрение DLP-системы. Данная система защиты от утечек данных призвана обеспечивать контроль над распространением конфиденциальной информации за пределы предприятия по доступным каналам передачи информации. DLP - решение предотвращает несанкционированные операции с конфиденциальной информацией (копирование, изменение и т.д.) и ее перемещение (пересылку, передачу за пределы организации и т.д.). Функционал DLP направлен в первую очередь на защиту от случайных утечек, которые, как мы уже видели, из приведенной выше статистики, происходят чаще.

Основная задача DLP-системы заключается в том, чтобы обезопасить общество от нежелательных элементов и их пропагандистских заявлений. Рассмотренное нами явление носит именно социальный характер.

DLP - системы это довольно дорогостоящее оборудование. Экономическая эффективность применения средств, для защиты конфиденциальной информации, понятие, можно сказать, абстрактное.

Об экономических аспектах применения средств защиты информации и безопасности в целом, вспоминают обычно или в период формирования бюджета на следующий год или, когда произошло ЧП, например, утечка информации, проникновение в сеть или просто инцидент с нарушением безопасности.

Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки отдельно по каждому решению. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Затем можно использовать методику расчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI).

Показатель ROI определяется отношением суммы прибыли или убытков к сумме инвестиций. Значением прибыли может быть: процентный доход, прибыль/убытки по бухгалтерскому учету, прибыль/убытки по управленческому учету, чистая прибыль/убыток. Значением суммы инвестиций -- активы, капитал, сумма основного долга бизнеса, другие, выраженные в деньгах, инвестиции.

Применение всевозможных технических средств не решает в полном объеме задачи по устранению угроз внешних вмешательств и возможности утечки информации конфиденциального содержания. Для комплекса необходимо также применение методов административного воздействия на персонал компании.

Поскольку строительные компании являются многопрофильными предприятиями и имеют в своей структуре, в том числе и логистический комплекс, то существуют дополнительные меры которые можно применить для обеспечения безопасности и защиты конфиденциальной информации.

Модернизацию всего этого процесса возможно осуществить путем внедрения в деятельность службы безопасности предприятия автоматизированной системы обеспечения пропускного режима. Для подготовки документов целесообразно использовать систему электронного документооборота (СЭД, на базе программы 1С), обеспечивающую автоматизированную подготовку необходимых документов в электронном виде, заверенных электронной подписью (ЭП), и их передачу по локальной сети. Для пропуска посетителей и сотрудников внедрить автоматизированную электронную систему с использованием магнитных электронных карт (прокси - карт) и автоматических пропускников (СКУД). На основании сведений обо всех посетителях и сотрудниках могут выдаваться отчеты о работе системы пропускного режима, а также справки по отдельным запросам. Создание эффективной системы пропускного режима позволит значительно сократить временные затраты на подготовку документов и обеспечит службу безопасности информацией, необходимой для выполнения ее функций и, как следствие, осуществлять контроль всех групп сотрудников и посетителей. Дополнительно можно будет контролировать время прихода и ухода каждого сотрудника.

Все эти меры в комплексе дают возможность дополнительного контроля, что, соответственно, обеспечивает безопасность на предприятии.

Рис. 1 - Порядок выбора и применения мер обеспечения безопасности конфиденциальной информации и персональных данных

информация личный данные конфиденциальность

Список литературы

1. Маилян Л.Р. Справочник современного проектировщика. Учебное пособие.- М.: Феникс, 2008. - 206 с.

2. Мельников В.П. Информационная безопасность и защита информации: Учебное пособие для вузов -- М.: Академия, 2008. -- 336 c.

3. Парошин А.А. Информационная безопасность: стандартизированные термины и понятия. - Владивосток: Изд - во Дальневосточное федерального ун - та, 2010. - 116 с.

Размещено на Allbest.ru