Контакты
Подписка
МЕНЮ
Контакты
Подписка

Грамотное управление — залог успеха

Грамотное управление — залог успеха

В рубрику "Концепции безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Грамотное управление — залог успеха

Информационная система организации сегодня — это активный инструмент ведения бизнеса, и руководство каждой компании предполагает, что такая система будет работать надежно при сохранении конфиденциальности обрабатываемой информации, однако очень часто это не соответствует действительности. Причина такого положения дел, прежде всего, в сложности самой информационной системы.

Суть проблемы

В крупных системах велико количество пользователей, приложений и информационных ресурсов, взаимосвязи между ними сложны и разнообразны. В таких системах, как правило, применяются различные средства защиты, но при построении системы защиты очень важно правильно ее внедрить, грамотно ее эксплуатировать.

И если первая задача обычно проблем не вызывает, то задача эксплуатации, управления системой на протяжении ее жизненного цикла часто становится камнем преткновения.

За безопасность информационных систем чаще всего отвечает специальное подразделение — служба безопасности, однако управление частью встроенных в приложения и операционные системы механизмов защиты лежит на IT-подразделении. Эти настройки зачастую даже не контролируются службой безопасности.

А это означает, что рано или поздно наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться. Это происходит потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности. Кроме того, внести изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их ( да и набрать номер администратора или забежать к нему по пути куда-либо проще, чем писать заявку). В результате в определенный момент времени практически невозможно ответить на вопрос: почему к данному ресурсу имеют доступ данные пользователи? Потеряна история всех производимых изменений, и уже нельзя определить — правильно или нет сконфигурированы — пусть даже самые совершенные — механизмы защиты.

Возможные последствия

Цена ошибок за неправильное администрирование измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно создание огромной уязвимости в информационной системе), либо в какой-то момент он не может получить необходимый ему доступ, при этом, возможно, срывается выполнение задач организации в целом.

Проблема управления безопасностью растет как снежный ком и усложняется по мере развития информационной системы.

Решить эту проблему организационными методами не удается. Увеличение численности сотрудников IT-подразделения и службы безопасности только ее усугубляет. Специализация сотрудников на управлении отдельными прикладными системами порождает иную проблему — проблему координации их работы.

Исключительно технические методы решения задачи также неприемлемы. Универсальная консоль управления всеми приложениями положения не спасает, поскольку не решен главный вопрос — кто и как должен принимать решения о том, какие изменения нужны.

Поэтапное решение проблемы

Сферы ответственности за обеспечение безопасности в организации размыты — нужно жестко затвердить полномочия всех участников процесса. Есть проблемы взаимодействия — жестко регламентируем механизмы общения между подразделениями, создав, по сути, документооборот по информационной безопасности. Самое сложное — организация контроля за реально происходящим в информационной системе. Затем необходимо связать все перечисленное воедино.

К счастью, в настоящее время на рынке уже существуют технологии, которые позволяют решить эту непростую задачу. Свои разработки предлагают компании Oracle и IBM. Отрадно, что в ряду гигантов IT-индустрии есть и отечественный разработчик — компания «Информзащита», готовая предложить свою систему Комплексного Управления Безопасностью (КУБ).

Уникальность предлагаемых решений состоит в слиянии двух подходов к управлению безопасности — технического и организационного, которые самостоятельно, то есть по отдельности, не работают.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2005
Посещений: 12417

Приобрести этот номер или подписаться

Статьи по теме

В рубрику "Концепции безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций