Кашапов И.А.

выпускник группы MBA CSO-16

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Введение. Автоматизации вмашиностроении

Информационные технологии (ИТ) проникли во все сферы деятельности нашей жизни. Производственные компании в области машиностроения уже нельзя себе представить без применения ИТ, проникшей в процессы от бухгалтерского учета до автоматизированных сборочных роботов, и перспективы возможностей применения ИТ только возрастают.

С одной стороны, применение ИТ повышает эффективность и уровень развития компаний, но с другой, бизнес становиться наиболее чувствительным и зависимым от нарушения функционирования ИТ. Т.к. информация о физической бизнес системе с помощью ИТ представляется в виде модели бизнес системы компании, и управление компанией сводиться к управлению данной моделью, то любая недостоверная информация в модели бизнеса, не актуальность информации, нарушение ее целостности и доступности могут привести к потере управляемости и краху бизнеса.

Проблемы обеспечения информации безопасности

Рынок решений и услуг в области информационной безопасности находиться на стадии уверенного роста, много технический решений автоматизации деятельности защиты информации, предоставляются как услуги внедрения обеспечения защиты информации, так и услуги аутсорсинга сервисов информационной безопасности. Важную роль играет законодательство, множество государственных стандартов и стандартов лучших практик.

Все многообразие требований и варианты решений защиты информации приводит к проблеме выбора правильного решения и определения приоритетов, особенно для коммерческих компаний где успех зависит от оптимального соотношения затрат на информационную безопасность - уровня защищенности и гибкостью бизнеса.

Предлагаемое решение

В данной работе «Концепция информационной безопасности машиностроительной компании» рассматривается комплексный подход внедрения ИБ.

В настоящей работе рассматривается:

1.      Целиобеспечения информационной безопасностив машиностроительной компании –доступность, конфиденциальность, целостность и актуальность обрабатываемой информации.Необходимо учитывать баланс между затратами, уровня защищенности и гибкостью бизнеса.

2.      Информационные активы и бизнес-процессы компании - определятся критичная информация, обрабатываемая на этапах цепочки создания ценности для потребителя, как производиться сбор, хранение, обработка, передача критической информации. Рассматриваются бизнес-процессы: маркетинг, разработка и проектирование, продажи (заказы), производство, пост продажное обслуживание, непрофильное услуги по металлообработке, услуги по метрологическому контролю, обеспечение сырьём и материалами, управление кадрами, финансовое и бухгалтерское обеспечение, информационные технологии.

3.      Объекты защиты - информационные ресурсы, средства и системы обработки информации, средства обеспечения, объекты, предназначенные для ведения закрытых переговоров.

Определение информационных активов свержу вниз, от процессов верхнего уровня к ИТ и снизу-вверх от объектов защиты к ИТ, пересечение двух множеств информационных активов позволяют найти оптимальные решения обеспечения защиты информации.

4.      Обобщенная модель угроз безопасности информации – основные факторы, воздействующие на информационную безопасность, угрозы и их классификация, классификация нарушителей.

5.      Организация системы обеспечения информационной безопасности – взаимодействие службы информационной безопасности с подразделениями компании, роли, права и ответственность участников деятельность по обеспечению безопасности, мероприятия мониторинга и контроля.

6.      Меры по решению задач обеспечения информационной безопасности – организационные, режимные, физическая защита и контроль объектов защиты, катастрофаустойчивость, управление доступом, защита автоматизированных информационных систем и сетей, радиоэлектронная безопасность, криптографическая защита, антивирусная защита и предотвращение атак, аудиты системы информационной безопасности.

7.      План мероприятий первоочередных задач обеспечения безопасности информации.

Заключение

Итогом работы является описание информационных активов компании требующих защиты, рассмотрены средства и методы защиты, определены первоочередные меры для снижение актуальных угроз.

Самое главное, достигнуто понимание что концепция — это не статичный документ, нужно постоянно в него вносить изменения и совершенствовать систему информационной безопасности в условиях переменчивости бизнеса, оставляя тем самым основные принципы и приемы.