УДК 004.9

БЕЗОПАСНОСТЬ КОРПОРАТИВНОГО ИНФОРМАЦИОННОГО ПОРТАЛА НА ПРИМЕРЕ КОМПАНИИ-РАЗРАБОТЧИКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Манучарян Т.А.1, Чернова Е.В.2
1Магнитогорский государственный университет, студентка 51 гр. Факультета информатики
2Магнитогорский государственный университет, к.п.н, доц. кафедры Информационных технологий Факультета информатики

Аннотация
В данной статье рассматриваются вопросы необходимости внедрения корпоративных порталов в современные предприятия и один из важнейших аспектов работы с порталом - обеспечение безопасности. Корпоративный информационный портал работает с конфиденциальной информацией и приложениями, влияющими на жизнедеятельность компании, в связи с этим вопросы безопасности портала имеют первостепенное значение. Методы
обеспечения безопасности корпоративного портала рассматриваются на законодательном, административном, процедурном и программно-техническом уровнях.

Ключевые слова: административные меры безопасности, безопасность корпоративного портала, законодательные методы обеспечения безопасности портала, корпоративный информазинооый портал, методы обеспечения безопасности портала, портал, программно-технические меры безопасности, процедурный уровень обеспечения безопасности


SECURITY OF CORPORATE INFORMATION PORTAL ON THE EXAMPLE OF THE SOFTWARE DEVELOPER COMPANY

Manucharyan T.A.1, Chernova E.V.2
1Magnitogorsk state university, student of gr 51. Faculty of Informatics
2Magnitogorsk state university, candidate of pedagogical Sciences, associate Professor. Department of Information technologies, Faculty of computer science

Abstract
This article discusses the issues of necessity of introduction of corporate portals in modern companies and one of the most important aspects of working with portal - security. Enterprise information portal works with confidential information, and applications that affect a company's activity, in this regard, the portal's security is paramount. Methods security enterprise portal are considered at the legislative, administrative, procedural and program-technical levels.

Библиографическая ссылка на статью:
Манучарян Т.А., Чернова Е.В. Безопасность корпоративного информационного портала на примере компании-разработчика программного обеспечения // Современная техника и технологии. 2013. № 11 [Электронный ресурс]. URL: http://technology.snauka.ru/2013/11/2582 (дата обращения: 01.10.2017).

Процесс информатизации современного общества набирает стремительные обороты и проникает во все сферы народного хозяйства.  Новые информационные технологии с их растущим потенциалом и быстро снижающимися издержками открывают большие возможности для новых форм организации труда и занятости. Сегодня информационные технологии могут внести решающий вклад в укрепление взаимосвязи между ростом производительности труда, объемов производства, инвестиций и занятости.

Одной из таких современных технологий, которая  появились одновременно с развитием сетевых технологий,  является корпоративный портал, как новое поколение программного обеспечения для эффективной организации бизнес-процессов, усиления корпоративной культуры и облегчения коммуникаций с клиентами и внутри компании. И если раньше они были достоянием крупных организаций, которые могли себе позволить дорогостоящую разработку собственной технологии, рассчитанной на специфические нужды, то на сегодняшний день корпоративный портал это — не просто роскошь и элемент престижа, а реальная необходимость в условиях острой конкуренции. Информационный портал в полной мере способствует развитию компании и бизнеса, обеспечивая связь между отделами и подразделениями компании, эффективную коммуникацию сотрудников, облегченная  документооборот и ведение отчетности.

Особенностью корпоративных порталов является тот факт, что они работают с конфиденциальной информацией и приложениями, влияющими на жизнедеятельность компании.  Поэтому вопросы безопасности и максимальной  защищенности портала имеют первостепенное значение.

Впервые понятие корпоративного информационного портала определили Кристофер Шайлакс и Джулия Тилман. Они определили его как  приложения, которые позволяют предприятиям раскрывать внутреннюю и внешнюю информацию, предоставить каждому сотруднику одну точку доступа к информации, предназначенной для него и необходимой для принятия управленческих решений»[1].

Рассмотрим пример использования корпоративного портала в бизнес-процессах на базе компании, занимающейся разработкой программного обеспечения. Компания существует на рынке уже 24 года. Главной целью компании является  первенство в разработке современных технологий для  банкинга и электронных платежей. Продукты компании охватывают все стороны программного обеспечения для банковского обслуживания и  помогают финансовым институтам построить эффективные и надежные системы, которые содействуют возникновению новых путей получения дохода и увеличению прибыли. Компания среднего размера, что не обременяет клиентов чрезмерными бюрократическими процедурами и обеспечивает быструю реакцию на изменяющиеся рыночные потребности.

Условно назовем портал, разрабатываемый в компании «КПКРПО».

В качестве технологии для построения КПКРПО используется широко распространенная платформа Microsoft SharePoint Server.

КПКРПО можно классифицировать как

  • EIP (Корпоративный информационный портал) – по функциям

т.к. КПКРПО обеспечивает индивидуальный доступ к внутренним и внешним информационным ресурсам компании, обеспечивает классифицированный доступ к данным и предполагает возможность  поиска (атрибутивного, полнотекстового или сквозного)

  • B2E (Business-to-Employee) – по  назначению

т.к.  КПКРПО является системой, работающей внутри компании и организующей работу сотрудников, отдельных отделов и подразделений.

Корпоративный портал охватывает в своей деятельности большой спектр конфиденциальных  данных, информации о внутренних ресурсах компании, коммерческой тайны, и поэтому требует особых мер защиты от несанкционированного доступа.  Требование информационной безопасности портала сегодня встает в один ряд с числом  основных аспектов стабильности и безопасности бизнеса в целом.

Рассмотрим методы обеспечения информационной безопасности относительно информационных порталов:

  1. Законодательные
  2. Административные
  3. Процедурные
  4. Программно-технические

К основным нормативно-правовым актам, обеспечивающим защиту информации на портале на законодательной основе можно отнести следующие:

  • Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
  • Стандарты серии ISO 27000
  • ФЗ «Об электронной подписи» от 6 апреля 2011г. №63-ФЗ
  • ФЗ «О коммерческой тайне» от 29 июля 2004г. №98-ФЗ
  • ФЗ «О персональных данных» от 27 июля 2006г. №152-ФЗ
  • ФЗ «О безопасности» от 5 марта 1992г. №2446-I
  • ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006г. №149-ФЗ
  • Трудовой кодекс РФ от 30 декабря 2001г. №197-ФЗ (ТК) – Глава 14. Защита персональных данных работника
  • Руководящий документ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации от 30 марта 1992г.
  • Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Решение председателя Гостехкомиссии России от 30 марта 1992 г.
  • Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799-2005)
  • Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1-2006)
  • Национальный стандарт РФ «Информационная технологий. Метода и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» (ГОСТ Р ИСО/МЭК ТО 18044-2007)
  • Национальный стандарт РФ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002)

Руководством компании должны предприниматься административные меры по обеспечению безопасности «КПКРПО». К ним относятся следующие:

  1. Выявление возможных угроз;
  2. Проведение анализа рисков;
  3. Создание политики безопасности;
  4. Планирование обеспечения информационной безопасности;
  5. План действий при чрезвычайных ситуациях;
  6. Подбор механизмов и средств обеспечения безопасности информации.

К процедурному уровню информационной безопасности корпоративного портала  относятся меры безопасности, ориентированные на людей. Т.к. человек является главной угрозой, включая так называемый «человеческий фактор».

  • Управление персоналом
    • Минимизация привилегий
  • Физическая защита
    • Физическое управление доступом
    • Защита поддерживающей инфраструктуры
    • Защита от перехвата данных
  • Поддержание работоспособности системы
    • Поддержка пользователей
    • Поддержка КПКРПО
    • Создание резервных копий
    • Управление носителями
    • Документирование
    • Уставные работы
  • Реагирование на нарушения режима безопасности
    • Локализация инцидента и уменьшение наносимого вреда
    • Выявление нарушителя
    • Предупреждение повторных нарушений
  • Планирование восстановительных работ
    • Выявление критически важных функций компании, установление приоритетов
    • Идентификация ресурсов, необходимых для выполнения критически важных функций
    • Определение перечня возможных аварий
    • Разработка стратегии восстановительных работ
    • Подготовка к реализации выбранной стратегии

Основные программно – технические меры информационной безопасности КПКРПО:

  • Обеспечение устойчивости к отказам
  • Обеспечение безопасного восстановления
  • Идентификация и аутентификация
  • Управление доступом
  • Составление протоколо и аудит
  • Контроль целостности
  • Анализ защищенности

Надежная работа корпоративного портала должна обеспечиваться вне зависимости от надежности работы подключенных к нему приложений или информационных ресурсов. В случае сбоев должно осуществляться восстановление на высокой скорости, для чего web-интерфейс корпоративного портала должен сохранять информацию о сессии  пользователя в служебном хранилище информации [3].

Таким образом, вопросы безопасности корпоративного портала имеют первостепенное значение для компании и развития бизнеса в целом и должны тщательно продумываться. Как точно заметил американский криптограф и специалист по компьютерной безопасности Брюс Шнайер – безопасность это процесс, а не результат.


Библиографический список
  1. Портал о корпоративных порталах. – Режим доступа: http://corportal.ru/History/CorPortal/CorPortal.aspx
  2. Информационный проект о создании сайтов. – Режим доступа: http://sait-sozdat.ru/vidy-sait/info-portal/chto-takoe-informatsionniy-portal.php
  3. Страна Советов   http:/HYPERLINK “http://strana-sovetov.com/career/4168-enterprise-portal.html”/HYPERLINK “http://strana-sovetov.com/career/4168-enterprise-portal.html”strana-sovetov.com/career/4168-enterprise-portal.html
  4. ИНФОРМИКС – сервисная компания по разработке средств защиты информации и защищенных сетей. – Режим доступа: http://www.informyx.ru/solutions/doorway-protection.php


Все статьи автора «tatevik»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте или через форму обратной связи.

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться: