Главная » Тезисы » ITM, CISO Зима 2015


Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь

Безопасность информационных систем торгово-промышленных предприятий малого бизнеса

Posted Декабрь 23rd, 2015 by admin

Троупянский Р.А.
Выпускник группы CISO-06
Школа IT-менеджмента
РАНХиГС при Президенте РФ

К сожалению, большинство стандартов и лучших практик написаны для «большого бизнеса» обладающего соответствующими ресурсами. Торгово-промышленные предприятия малого бизнеса таковыми не обладают.
Промышленные предприятия малого бизнеса обладают почти той же структурой, что и крупные промышленные предприятия и соответственно, имеют примерно ту же модель угроз. Существуют различные идеологии производственных предприятий, позволяющие в т.ч. ввести естественные оценки потерь от реализации угроз информационной безопасности. В частности, для идеологии быстрореагирующего производства таковой оценкой являются временная задержка в цепочке обработки заказа клиента.
Российский менталитет влияет на информационную безопасность. В частности, неправовая культура способствует нарушению инструкций, а низовая солидарность препятствует выявлению нарушителей. Существуют объективные причины требующие подключения производственного оборудования к сети Интернет. Угрозы информационной безопасности промышленным предприятиям малого бизнеса можно разделить на две – группы: угрозы характерные большинству коммерческих предприятий и угрозы характерные для торгово-промышленных предприятий.

Технологические сети и корпоративные сети следует разделять межсетевыми экранами с промежуточной DMZи комплексами форматно-логического контроля. Широко распространённая практика использования операционных систем общего и «полуобщего» назначения в АРМах и контрольно-измерительных комплексах производственного оборудования несет серьезные риски. Следует исключать возможность несанкционированного использования коммуникационных портов промышленного оборудования. В России существуют специфические «страновые» риски.

В ряде случаев существуют специальные требования информационной безопасности, связанные со становыми рисками:

  • Обеспечение анонимности принятия решени,

  • Обеспечение кворумного принятия решения.

  • Обеспечение кворумной криптографической защиты.

    • Вышеуказанные требования реализуемы.

    Целесообразно применение локальной виртуализации на мобильных рабочих местах.

    Целесообразно использовать выделенные сети управления.

    Даже такие оригинальные технические решения как система принятие решения «Мертвая Рука» могут быть воплощены.

    В силу ограниченности ресурсов торгово-промышленных предприятий малого бизнеса целесообразно применение решений типа «fire&forget».

    Рубрика: 
    Информационная безопасность
    Голосов пока нет
    Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009