Процесс информатизации современного общества набирает стремительные обороты и проникает во все сферы народного хозяйства. Новые информационные технологии с их растущим потенциалом и быстро снижающимися издержками открывают большие возможности для новых форм организации труда и занятости. Сегодня информационные технологии могут внести решающий вклад в укрепление взаимосвязи между ростом производительности труда, объемов производства, инвестиций и занятости.
Одной из таких современных технологий, которая появились одновременно с развитием сетевых технологий, является корпоративный портал, как новое поколение программного обеспечения для эффективной организации бизнес-процессов, усиления корпоративной культуры и облегчения коммуникаций с клиентами и внутри компании. И если раньше они были достоянием крупных организаций, которые могли себе позволить дорогостоящую разработку собственной технологии, рассчитанной на специфические нужды, то на сегодняшний день корпоративный портал это — не просто роскошь и элемент престижа, а реальная необходимость в условиях острой конкуренции. Информационный портал в полной мере способствует развитию компании и бизнеса, обеспечивая связь между отделами и подразделениями компании, эффективную коммуникацию сотрудников, облегченная документооборот и ведение отчетности.
Особенностью корпоративных порталов является тот факт, что они работают с конфиденциальной информацией и приложениями, влияющими на жизнедеятельность компании. Поэтому вопросы безопасности и максимальной защищенности портала имеют первостепенное значение.
Впервые понятие корпоративного информационного портала определили Кристофер Шайлакс и Джулия Тилман. Они определили его как приложения, которые позволяют предприятиям раскрывать внутреннюю и внешнюю информацию, предоставить каждому сотруднику одну точку доступа к информации, предназначенной для него и необходимой для принятия управленческих решений»[1].
Рассмотрим пример использования корпоративного портала в бизнес-процессах на базе компании, занимающейся разработкой программного обеспечения. Компания существует на рынке уже 24 года. Главной целью компании является первенство в разработке современных технологий для банкинга и электронных платежей. Продукты компании охватывают все стороны программного обеспечения для банковского обслуживания и помогают финансовым институтам построить эффективные и надежные системы, которые содействуют возникновению новых путей получения дохода и увеличению прибыли. Компания среднего размера, что не обременяет клиентов чрезмерными бюрократическими процедурами и обеспечивает быструю реакцию на изменяющиеся рыночные потребности.
Условно назовем портал, разрабатываемый в компании «КПКРПО».
В качестве технологии для построения КПКРПО используется широко распространенная платформа Microsoft SharePoint Server.
КПКРПО можно классифицировать как
- EIP (Корпоративный информационный портал) – по функциям
т.к. КПКРПО обеспечивает индивидуальный доступ к внутренним и внешним информационным ресурсам компании, обеспечивает классифицированный доступ к данным и предполагает возможность поиска (атрибутивного, полнотекстового или сквозного)
- B2E (Business-to-Employee) – по назначению
т.к. КПКРПО является системой, работающей внутри компании и организующей работу сотрудников, отдельных отделов и подразделений.
Корпоративный портал охватывает в своей деятельности большой спектр конфиденциальных данных, информации о внутренних ресурсах компании, коммерческой тайны, и поэтому требует особых мер защиты от несанкционированного доступа. Требование информационной безопасности портала сегодня встает в один ряд с числом основных аспектов стабильности и безопасности бизнеса в целом.
Рассмотрим методы обеспечения информационной безопасности относительно информационных порталов:
- Законодательные
- Административные
- Процедурные
- Программно-технические
К основным нормативно-правовым актам, обеспечивающим защиту информации на портале на законодательной основе можно отнести следующие:
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
- Стандарты серии ISO 27000
- ФЗ «Об электронной подписи» от 6 апреля 2011г. №63-ФЗ
- ФЗ «О коммерческой тайне» от 29 июля 2004г. №98-ФЗ
- ФЗ «О персональных данных» от 27 июля 2006г. №152-ФЗ
- ФЗ «О безопасности» от 5 марта 1992г. №2446-I
- ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006г. №149-ФЗ
- Трудовой кодекс РФ от 30 декабря 2001г. №197-ФЗ (ТК) – Глава 14. Защита персональных данных работника
- Руководящий документ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации от 30 марта 1992г.
- Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Решение председателя Гостехкомиссии России от 30 марта 1992 г.
- Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799-2005)
- Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1-2006)
- Национальный стандарт РФ «Информационная технологий. Метода и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» (ГОСТ Р ИСО/МЭК ТО 18044-2007)
- Национальный стандарт РФ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002)
Руководством компании должны предприниматься административные меры по обеспечению безопасности «КПКРПО». К ним относятся следующие:
- Выявление возможных угроз;
- Проведение анализа рисков;
- Создание политики безопасности;
- Планирование обеспечения информационной безопасности;
- План действий при чрезвычайных ситуациях;
- Подбор механизмов и средств обеспечения безопасности информации.
К процедурному уровню информационной безопасности корпоративного портала относятся меры безопасности, ориентированные на людей. Т.к. человек является главной угрозой, включая так называемый «человеческий фактор».
- Управление персоналом
- Минимизация привилегий
- Физическая защита
- Физическое управление доступом
- Защита поддерживающей инфраструктуры
- Защита от перехвата данных
- Поддержание работоспособности системы
- Поддержка пользователей
- Поддержка КПКРПО
- Создание резервных копий
- Управление носителями
- Документирование
- Уставные работы
- Реагирование на нарушения режима безопасности
- Локализация инцидента и уменьшение наносимого вреда
- Выявление нарушителя
- Предупреждение повторных нарушений
- Планирование восстановительных работ
- Выявление критически важных функций компании, установление приоритетов
- Идентификация ресурсов, необходимых для выполнения критически важных функций
- Определение перечня возможных аварий
- Разработка стратегии восстановительных работ
- Подготовка к реализации выбранной стратегии
Основные программно – технические меры информационной безопасности КПКРПО:
- Обеспечение устойчивости к отказам
- Обеспечение безопасного восстановления
- Идентификация и аутентификация
- Управление доступом
- Составление протоколо и аудит
- Контроль целостности
- Анализ защищенности
Надежная работа корпоративного портала должна обеспечиваться вне зависимости от надежности работы подключенных к нему приложений или информационных ресурсов. В случае сбоев должно осуществляться восстановление на высокой скорости, для чего web-интерфейс корпоративного портала должен сохранять информацию о сессии пользователя в служебном хранилище информации [3].
Таким образом, вопросы безопасности корпоративного портала имеют первостепенное значение для компании и развития бизнеса в целом и должны тщательно продумываться. Как точно заметил американский криптограф и специалист по компьютерной безопасности Брюс Шнайер – безопасность это процесс, а не результат.
Библиографический список
- Портал о корпоративных порталах. – Режим доступа: http://corportal.ru/History/CorPortal/CorPortal.aspx
- Информационный проект о создании сайтов. – Режим доступа: http://sait-sozdat.ru/vidy-sait/info-portal/chto-takoe-informatsionniy-portal.php
- Страна Советов http:/HYPERLINK “http://strana-sovetov.com/career/4168-enterprise-portal.html”/HYPERLINK “http://strana-sovetov.com/career/4168-enterprise-portal.html”strana-sovetov.com/career/4168-enterprise-portal.html
- ИНФОРМИКС – сервисная компания по разработке средств защиты информации и защищенных сетей. – Режим доступа: http://www.informyx.ru/solutions/doorway-protection.php