Информационная безопасность и эффективность систем и технологий
Оценка эффективности ИТ для бизнеса
для оценики эффективности ИТ
определить реальные полезные эффекты, которые должны быть получены для предприятия, для его бизнес-процессов, изготавливаемых продуктов и для важнейших заинтересованных лиц
обозначить финансовые, кадровые и другие ограничения, такие как время, за которое эффекты должны быть получены
определить степень соответствия получаемых полезных эффектов желаемым, а также уровень выполнения существующих ограничений для каждого альтернативного варианта применения ИТ на предприятии
выбрать вариант ИТ-системы (или набора систем), который позволит наиболее адекватно обеспечить полезные эффекты, причем с минимальными затратами ресурсов всех видов
группы методов, позволяющих определить эффект от внедрения ИТ
финансовые
связаны с понятием ROI — это возврат на инвестицию
качественные
базируются на идее соответствия целей, приоритетов и показателей по ним
вероятностные
основаны на идее о том, что для каждой из заявленных целей ИТ-проекта можно определить вероятность ее достижения и далее из нее вывести вероятность улучшений в бизнес-процессах компании
«правильные вопросоы», связанных с эффективностью ИТ, а также с инвестициями в ИТ
Получает ли компания адекватный возврат инвестиций, вкладываемых в информационные ресурсы?
Достаточна ли информационная инфраструктура, соответствует ли она потребностям сотрудников, управляющих?
Исключает ли сложившаяся практика менеджмента ИТ моральное старение всех видов ИТ-ресурсов (в том числе программных, аппаратных и человеческих)?
Гарантирована ли защита от хакерских атак, от атак, прерывающих обслуживание?
Обеспечено ли непрерывное функционирование, созданы ли резервные центры обработки данных и резервные копии?
Обеспечены ли все условия для использования тех преимуществ, которые дают ИТ?
Предприняты ли все меры, исключающие риски, связанные с ИТ?
Обеспечены ли методы оценки ИТ-инфраструктуры на предмет конкурентных преимуществ?
Обеспечены ли все юридические требования, включая соблюдение авторских прав на используемое программное обеспечение, патенты и лицензии?
Аудит информационной системы
план работ по IT аудиту
Инвентаризация имеющейся техники
Осмотр локальной сети и сетевого оборудования
Составление плана работ по ИТ аудиту и схемы взаимодействия сетевых компонентов
Выявление ключевых проблемных моментов в работе сетевого и компьютерного оборудования
Сбор информации, жалоб и пожеланий от конечных пользователей по работе компьютеров, сети, оргтехники и программного обеспечения
Подготовка заключения по результатам проведения IT аудита о работе компьютерной техники, программного обеспечения, сетевых компонентов и оргтехники
Составление плана оптимизации работы имеющегося компьютерного оборудования и программного обеспечения на рабочих станциях и серверах
Составление календарного плана работ по дальнейшему обслуживанию компьютерной техники, оргтехники, сетевых компонентов и программного обеспечения
проблемы ИТ-инфраструктуры
сбой серверного оборудования и нарушение удаленного доступа к сети
40%
повреждение данных
35%
неслаженная работа информационной системы в целом
30%
ИТ-безопасность
Средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System — FES)
Предпоссылки инциндентов защиты данных на серверах и резервных копиях
миниатюризацию носителей
рост емкости носителей
увеличение объемов данных
повышение степени централизации данных
Возможности технологии защиты информации на файловом уровне
позволяют скрыть конфиденциальную информацию пользователя на разнообразных носителях
позволяют блокировать компьютер в перерывах между сеансами работы
позволяют мгновенно уничтожить информацию при подаче сигнала «тревога» или при «входе под принуждением»
Средства авторизации и разграничения доступа к информационным ресурсам, а также защита от несанкционированного доступа к информации
требования по применению средств ИТ-безопасности
предотвращение несанкционированного доступа к базам данных или злоупотреблений содержащейся в них информацией
предотвращение утечки информации из организации через общие каналы связи
обеспечение информационной безопасности ноутбуков и съемных носителей данных
индустрия биометрического сканирования и распознавания при авторизации и доступе
наращивание применений биометрии в государственных системах.
осознание бизнес-структурами потребности и необходимости в распознавании людей (а не жетонов или карт) при доступе в здания и к корпоративным информационным ресурсам
рост мобильности населения и децентрализация управления человеческими ресурсами, что требует надежной идентификации.
расширение сервисов «электронного правительства», при котором государство заинтересовано в адресном предоставлении соответствующих информационных услуг
Средства защиты от внешних угроз
безопасное взаимодействие пользователей и информационных ресурсов, расположенных в Интернет и Интранет-сетях, с внешними сетями
создание технологически единого комплекса мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия
построение иерархической системы защиты, предоставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети
Средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи
Классификация корпоративных данных по ценности
Общедоступная (public)
Открытая информация, при работе с которой нет никаких ограничений
Чувствительная (sensitive)
Информация ограниченного доступа
Персональная (private)
Персональные данные. Например, зарплатная ведомость, медицинские карточки, адресные книги сотрудников
Конфиденциальная (confidential)
Конфиденциальная информация. При работе с ней вводятся ограничения в зависимости от уровня допуска пользователя. Например бухгалтерская, производственная
Классификация и защита информационных систем персональных данных
классификация персональных данных
персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информациюа
персональные данные, позволяющие идентифицировать субъекта персональных данных;
обезличенные и (или) общедоступные персональные данные
классификация информационных систем персональных данных
По заданным оператором характеристикам безопасности персональных данных
типовые информационные системы
специальные информационные системы
По структуре
автономные
комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа
комплексы автоматизированных рабочих мест и (или) локальных информационных систем,объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена
имеющие подключение
не имеющие подключение
По режиму обработки персональных данных
однопользовательские
многопользовательские
По разграничению прав доступа
без разграничения прав доступа
с разграничением прав доступа
По местонахождению технических средств
технические средства которых находятся в пределах Российской Федерации
системы, технические средства которых частично или целиком находятся за пределами Российской Федерации