Роль СУИБ в обеспечении информационной безопасности в объединенной генерирующей компании - Металлургический журнал. Исследования рынка.

Главная страница Форум Промиздат Опережения рынка Архитектура отрасли Формирование Тенденции Промстроительство

Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев

Главная страница / Архитектура отрасли

Роль СУИБ в обеспечении информационной безопасности в объединенной генерирующей компании

Вопросы, касающиеся построения систем обеспечения и управления информационной безопасностью на современном предприятии, поднимаются в последнее время все чаще. Высокие темпы развития систем автоматизации и информатизации, а также их внедрения в процессы управления производством и обеспечения бизнеса обусловливают значительное увеличение количества рисков и потенциальных угроз для жизнедеятельности компании со стороны информационных технологий. Энергетика в этом плане – не исключение.

Немного статистики. Аналитический обзор, опубликованный в июле 2006 г. британской консалтинговой компанией NTA Monitor, дает возможность оценить реальные масштабы проблем, связанных с информационной безопасностью в различных секторах экономики. В обзоре, основанном на результатах более чем 600 испытаний безопасности периметра корпоративных сетей, делается вывод, что сети 94% организаций, участвовавших в тестировании, содержат уязвимости, способные поставить под угрозу их информационные системы.

Среди отмеченных рисков наиболее серьезную опасность представляют атаки типа «отказ в обслуживании» (Denial of Service, DoS), несанкционированный доступ к сетевым ресурсам, а также раскрытие данных о пользователях.

По данным Бюро по борьбе с финансовой преступностью США (FinCEN), содержащимся в обзоре SAR Activity Review, опубликованном в октябре 2006 г., количество отчетов о подозрительной активности под рубрикой «компьютерное вторжение» стремительно растет. В 2000 г. (когда начал вестись учет) таких отчетов было зафиксировано 65, а до 30 июня 2006 г. – 5600.

До недавнего времени влияние подобных угроз на функционирование энергетических предприятий в России сдерживалось низким уровнем развития информационных технологий в отрасли и автономностью информационных систем энергопредприятий относительно информационных сетей общего пользования. Сейчас картина кардинально меняется. Повсюду имеется доступ в Интернет, интенсивно работает электронная почта, для передачи информации между энергетическими субъектами используются общедоступные каналы связи, развиваются беспроводные сети.

Многие из вновь образованных в результате реформы энергетики генерирующих компаний столкнулись с существенными трудностями при решении задач обеспечения безопасности собственных информационных активов. С одной стороны, бизнес требует построения единого информационного пространства предприятия, быстрой интеграции имеющихся и вновь внедряемых информационных систем и комплексов в единое решение, позволяющее осуществлять оперативное и стратегическое управление компанией и производством. С другой стороны, крайняя неравномерность развития ИТ-служб и ИТ-инфраструктуры, разнородность эксплуатируемых информационных систем, в том числе систем обеспечения информационной безопасности, в филиалах, отсутствие адекватных каналов связи в регионах препятствуют обеспечению требуемого уровня информационной безопасности. Таким образом, обеспечение информационной безопасности становится одной из приоритетных задач компании с целью поддержания ее нормальной деятельности, устойчивости на рынке и успешного развития. Необходимо построение действительно комплексной корпоративной системы управления информационной безопасностью (СУИБ), являющейся одной из наиболее важных составляющих в системе менеджмента компании (рис. 1). Такая система должна обеспечивать надежную защиту корпоративной информационной системы и соответствовать как российским нормативным документам («Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации»), так и международным стандартам в области информационной безопасности (BS ISO/IEC 27001:2005, BS ISO 17799:2005).

Основной принцип, определяющий общую структуру корпоративной СУИБ, можно сформулировать следующим образом: «Есть ресурс – должен быть контроль доступа субъектов к нему; нет контроля доступа – не должно быть ресурса» (рис. 2).

Главная страница / Архитектура отрасли