Библибоба

Читаем Информатизация бизнеса. Управление рисками полностью

Информатизация бизнеса. Управление рисками

Елена Юрьевна Песоцкая , Сергей Михайлович Авдошин

Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированного доступа (НСД) любой информационной системы. Идентификация – присвоение пользователям идентификаторов (уникальных имен или меток), под которыми система «знает» пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов ИС и т. д. Идентификация нужна и для других системных задач, например для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией. Аутентификация – установление подлинности, проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в ИС пользователь вводит имя и пароль. На основании этих данных система проводит идентификацию (по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль).

Для управления идентификацией и доступом необходимо ответить на вопросы: кто и куда имеет доступ, чем занимались пользователи ИС, когда они это делали, как можно это проверить? Почти во всех компаниях используют идентификаторы пользователей с определенными правами доступа – за этими идентификаторами стоят штатные сотрудники, временные сотрудники, партнеры, клиенты и другие люди, которые участвуют во всех операциях.

Идентификаторы пользователей определяют, кто из пользователей может иметь доступ, к каким приложениям, базам данных, платформам, сервисам. С помощью разграничения и контроля доступа организации могут выиграть от эффективного снижения рисков безопасности ИТ и защитить ценные ресурсы, не вступая в конфликт с законодательными нормами. Для избежания инсайдерских угроз администраторы должны тщательно следить за правами доступа сотрудников, покидающих компанию, и сразу же аннулировать соответствующие учетные записи после их ухода. Наиболее распространенными на данный момент являются парольные системы. У пользователя есть идентификатор и пароль, то есть секретная информация, известная только пользователю (и возможно, системе), которая используется для прохождения аутентификации. Если нарушитель узнал пароль легального пользователя, то он может, например, войти в систему под его учетной записью и получить доступ к конфиденциальным данным. Поэтому безопасности паролей следует уделять особое внимание.

В качестве дополнительного инструмента контроля информационной безопасности используется протоколирование – сбор и накопление информации о внешних, внутренних, клиентских событиях информационной системы. Далее осуществляется аудит – анализ накопленной информации, проводимый оперативно или периодически.

При анализе рисков информационной безопасности, с которыми сталкиваются корпорации в результате несанкционированного доступа, следует учитывать следующие основные категории.

1. Защита ресурсов. Как можно обеспечить безопасность и конфиденциальность важных корпоративных ресурсов, которые должны быть доступны лишь авторизованным людям для совершения одобренных действий?

2. Непрерывная доступность служб. Как можно обеспечить непрерывную доступность служб, которые предоставляются сотрудникам, партнерам и клиентам, без падения качества или уровня обслуживания?

3. Соответствие нормам. Как внутренние или внешние аудиторы ИТ могут проверить, что организация на самом деле удовлетворяет требованиям законодательных норм, которым она должна соответствовать?

Для обеспечения информационной безопасности информационной системы необходимо иметь в наличии документ, в котором должно быть четко описано, кто и на каком основании должен иметь доступ к ресурсам информационной системы. Нужно создать жесткий, но простой регламент обслуживания системы и обеспечить контроль за тем, чтобы настройки системы изменялись в соответствии с этим регламентом. Также желательно иметь единую точку взаимодействия сотрудников организации с информационной системой, через которую они смогут формулировать свои пожелания на предоставление доступа к тем или иным ресурсам ИС и иметь инструменты контроля правильности настроек системы.

В настоящее время в компаниях сложилась тенденция фокусировки на внешних угрозах:

• защита от хакеров и внешних вторжений (межсетевые экраны);

• антивирусы, антиспам, контентные фильтры почты и др.;

• системы авторизации, токены, VPN для доступа пользователей к важной информации извне;

• контролируемые почтовые серверы, средства фильтрации контента;

• запрет альтернативных почтовых ящиков.

Перейти на страницу:
Читать далее

Похожие книги

Управление знаниями. Как превратить знания в капитал
Управление знаниями. Как превратить знания в капитал

Впервые в отечественной учебной литературе рассматриваются процессы, связанные с управлением знаниями, а также особенности экономики, основанной на знаниях. Раскрываются методы выявления, сохранения и эффективного использования знаний, дается классификация знаний, анализируются их экономические свойства.Подробно освещаются такие темы, как интеллектуальный капитал организации; организационная культура, ориентированная на обмен знаниями; информационный и коммуникационный менеджмент; формирование обучающейся организации.Главы учебника дополнены практическими кейсами, которые отражают картину современной практики управления знаниями как за рубежом, так и в нашей стране.Для слушателей программ МВА, преподавателей, аспирантов, студентов экономических специальностей, а также для тех, кого интересуют проблемы современного бизнеса и развития экономики, основанной на знаниях.Серия «Полный курс МВА» подготовлена издательством «Эксмо» совместно с Московской международной высшей школой бизнеса «МИРБИС» (Институт)

Александр Лукич Гапоненко , Тамара Михайловна Орлова

Экономика / О бизнесе популярно / Финансы и бизнес
Читать бесплатно
Теория нравственных чувств
Теория нравственных чувств

Смит утверждает, что причина устремленности людей к богатству, причина честолюбия состоит не в том, что люди таким образом пытаются достичь материального благополучия, а в том, чтобы отличиться, обратить на себя внимание, вызвать одобрение, похвалу, сочувствие или получить сопровождающие их выводы. Основной целью человека, по мнению Смита. является тщеславие, а не благосостояние или удовольствие.Богатство выдвигает человека на первый план, превращая в центр всеобщего внимания. Бедность означает безвестность и забвение. Люди сопереживают радостям государей и богачей, считая, что их жизнь есть совершеннейшее счастье. Существование таких людей является необходимостью, так как они являются воплощение идеалов обычных людей. Отсюда происходит сопереживание и сочувствие ко всем их радостям и заботам

Адам Смит

Экономика / Философия / Образование и наука
Без регистрации
Китай управляемый
Китай управляемый

Эта книга — первое в мире систематическое исследование культурных корней традиций и стратегии управления в китайском обществе. Автор подробно рассматривает историческое своеобразие китайского стиля менеджмента, его мировоззренческие предпосылки и отличия от стиля менеджмента в соседних странах Дальнего Востока. Книга обращена как к специалистам-востоковедам, так и к деловым людям и широким кругам читателей, еще не потерявших надежды на жизненный успех.

Владимир Вячеславович Малявин , Владимир Малявин

Маркетинг, PR / Экономика / Культурология / Образование и наука / Финансы и бизнес
Полная версия
Основы экономики
Основы экономики

В учебнике в доступной форме изложены теоретические и практические знания, отражающие новый уровень развития хозяйства в России и во всем мире, включая XXI столетие: использование в экономике информационных технологий, глобализация мирового хозяйства и др.В конце каждой главы даны тесты, вопросы и графические задачи.Во втором издании (1-е – 2004 г.) обновлены статистические данные.Для студентов ссузов, а также для всех интересующихся проблемами экономики.

Евгений Филиппович Борисов

Экономика / Финансы и бизнес
Читать Онлайн
Избранное