LibCat » Книги » Прочее » Экономика » economics » Сергей Авдошин - Информатизация бизнеса. Управление рисками

Сергей Авдошин - Информатизация бизнеса. Управление рисками

Здесь есть возможность читать онлайн «Сергей Авдошин - Информатизация бизнеса. Управление рисками» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Город: Москва, Год выпуска: 2011, ISBN: 2011, Издательство: ДМК Пресс, Жанр: economics, management, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Информатизация бизнеса. Управление рисками
Автор:
Сергей Михайлович Авдошин
Издательство:
ДМК Пресс
Жанр:
economics / management / на русском языке
Год:
2011
Город:
Москва
ISBN:
978-5-94074-109-1
Рейтинг книги:
5 / 5. Голосов: 2
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 100
- 1
- 2
- 3
- 4
- 5

Информатизация бизнеса. Управление рисками: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Информатизация бизнеса. Управление рисками»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Проблема управления рисками при информатизации бизнеса является одной из наиболее актуальных и значимых в ИТ-индустрии. В предлагаемом учебно-практическом пособии, затронуты как теоретические, так и практические вопросы управления рисками, раскрывается специфика механизма управления рисками при реализации проектов в области информационных технологий.
В основу учебного пособия положен многолетний опыт преподавания авторами дисциплины «Управление рисками» на отделении программной инженерии Высшей школы экономики.
Книга предназначена для студентов магистратуры, обучающихся по направлениям 080500.68 «Бизнес-информатика» и 231000.68 «Программная инженерия», а также для ИТ-специалистов, разработчиков и заказчиков программных продуктов, менеджеров ИТ-проектов.

Информатизация бизнеса. Управление рисками — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Информатизация бизнеса. Управление рисками», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Идентификаторы пользователей определяют, кто из пользователей может иметь доступ, к каким приложениям, базам данных, платформам, сервисам. С помощью разграничения и контроля доступа организации могут выиграть от эффективного снижения рисков безопасности ИТ и защитить ценные ресурсы, не вступая в конфликт с законодательными нормами. Для избежания инсайдерских угроз администраторы должны тщательно следить за правами доступа сотрудников, покидающих компанию, и сразу же аннулировать соответствующие учетные записи после их ухода. Наиболее распространенными на данный момент являются парольные системы. У пользователя есть идентификатор и пароль, то есть секретная информация, известная только пользователю (и возможно, системе), которая используется для прохождения аутентификации. Если нарушитель узнал пароль легального пользователя, то он может, например, войти в систему под его учетной записью и получить доступ к конфиденциальным данным. Поэтому безопасности паролей следует уделять особое внимание.

В качестве дополнительного инструмента контроля информационной безопасности используется протоколирование – сбор и накопление информации о внешних, внутренних, клиентских событиях информационной системы. Далее осуществляется аудит – анализ накопленной информации, проводимый оперативно или периодически.

При анализе рисков информационной безопасности, с которыми сталкиваются корпорации в результате несанкционированного доступа, следует учитывать следующие основные категории.

1. Защита ресурсов. Как можно обеспечить безопасность и конфиденциальность важных корпоративных ресурсов, которые должны быть доступны лишь авторизованным людям для совершения одобренных действий?

2. Непрерывная доступность служб. Как можно обеспечить непрерывную доступность служб, которые предоставляются сотрудникам, партнерам и клиентам, без падения качества или уровня обслуживания?

3. Соответствие нормам. Как внутренние или внешние аудиторы ИТ могут проверить, что организация на самом деле удовлетворяет требованиям законодательных норм, которым она должна соответствовать?

Для обеспечения информационной безопасности информационной системы необходимо иметь в наличии документ, в котором должно быть четко описано, кто и на каком основании должен иметь доступ к ресурсам информационной системы. Нужно создать жесткий, но простой регламент обслуживания системы и обеспечить контроль за тем, чтобы настройки системы изменялись в соответствии с этим регламентом. Также желательно иметь единую точку взаимодействия сотрудников организации с информационной системой, через которую они смогут формулировать свои пожелания на предоставление доступа к тем или иным ресурсам ИС и иметь инструменты контроля правильности настроек системы.

В настоящее время в компаниях сложилась тенденция фокусировки на внешних угрозах:

• защита от хакеров и внешних вторжений (межсетевые экраны);

• антивирусы, антиспам, контентные фильтры почты и др.;

• системы авторизации, токены, VPN для доступа пользователей к важной информации извне;

• контролируемые почтовые серверы, средства фильтрации контента;

• запрет альтернативных почтовых ящиков.

При широко развитом использовании традиционных сетевых систем защиты информации во многих компаниях практически отсутствует контроль локальных каналов утечки информации. Это объясняется тем, что тотальный запрет переносных компьютеров, использования USB-портов, ограничение печати документов крайне неэффективны для бизнеса, с точки зрения операционной деятельности. Локальные каналы утечки стали, с одной стороны, наиболее удобны, незаметны и потому эффективны, с другой – наименее защищены, потому что традиционные сетевые системы защиты информации оказались недостаточно эффективны для борьбы с такими формами утечки, как копирование данных на USB и вынос ее в кармане. В итоге сегодня внутренние инсайдерские утечки через локальные порты компьютеров сотрудников, съемные носители и персональные мобильные устройства стали гораздо опаснее сетевых угроз извне.

При создании полномасштабной системы информационной безопасности следует учитывать все возможные способы совершения внутренних атак и пути утечки информации. Необходимы дополнительные системы защиты, позволяющие контролировать информацию, проходящую через каждый узел сети, и блокировать все попытки несанкционированного доступа к конфиденциальным данным.