Одной из таких современных технологий, которая  появились одновременно с развитием сетевых технологий,  является корпоративный портал, как новое поколение программного обеспечения для эффективной организации бизнес-процессов, усиления корпоративной культуры и облегчения коммуникаций с клиентами и внутри компании. И если раньше они были достоянием крупных организаций, которые могли себе позволить дорогостоящую разработку собственной технологии, рассчитанной на специфические нужды, то на сегодняшний день корпоративный портал это — не просто роскошь и элемент престижа, а реальная необходимость в условиях острой конкуренции. Информационный портал в полной мере способствует развитию компании и бизнеса, обеспечивая связь между отделами и подразделениями компании, эффективную коммуникацию сотрудников, облегченная  документооборот и ведение отчетности.

Особенностью корпоративных порталов является тот факт, что они работают с конфиденциальной информацией и приложениями, влияющими на жизнедеятельность компании.  Поэтому вопросы безопасности и максимальной  защищенности портала имеют первостепенное значение.

Впервые понятие корпоративного информационного портала определили Кристофер Шайлакс и Джулия Тилман. Они определили его как  приложения, которые позволяют предприятиям раскрывать внутреннюю и внешнюю информацию, предоставить каждому сотруднику одну точку доступа к информации, предназначенной для него и необходимой для принятия управленческих решений»[1].

Рассмотрим пример использования корпоративного портала в бизнес-процессах на базе компании, занимающейся разработкой программного обеспечения. Компания существует на рынке уже 24 года. Главной целью компании является  первенство в разработке современных технологий для  банкинга и электронных платежей. Продукты компании охватывают все стороны программного обеспечения для банковского обслуживания и  помогают финансовым институтам построить эффективные и надежные системы, которые содействуют возникновению новых путей получения дохода и увеличению прибыли. Компания среднего размера, что не обременяет клиентов чрезмерными бюрократическими процедурами и обеспечивает быструю реакцию на изменяющиеся рыночные потребности.

Условно назовем портал, разрабатываемый в компании «КПКРПО».

В качестве технологии для построения КПКРПО используется широко распространенная платформа Microsoft SharePoint Server.

КПКРПО можно классифицировать как

• EIP (Корпоративный информационный портал) – по функциям

т.к. КПКРПО обеспечивает индивидуальный доступ к внутренним и внешним информационным ресурсам компании, обеспечивает классифицированный доступ к данным и предполагает возможность  поиска (атрибутивного, полнотекстового или сквозного)

• B2E (Business-to-Employee) – по  назначению

т.к.  КПКРПО является системой, работающей внутри компании и организующей работу сотрудников, отдельных отделов и подразделений.

Корпоративный портал охватывает в своей деятельности большой спектр конфиденциальных  данных, информации о внутренних ресурсах компании, коммерческой тайны, и поэтому требует особых мер защиты от несанкционированного доступа.  Требование информационной безопасности портала сегодня встает в один ряд с числом  основных аспектов стабильности и безопасности бизнеса в целом.

Рассмотрим методы обеспечения информационной безопасности относительно информационных порталов:

1. Законодательные
2. Административные
3. Процедурные
4. Программно-технические

К основным нормативно-правовым актам, обеспечивающим защиту информации на портале на законодательной основе можно отнести следующие:

• Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
• Стандарты серии ISO 27000
• ФЗ «Об электронной подписи» от 6 апреля 2011г. №63-ФЗ
• ФЗ «О коммерческой тайне» от 29 июля 2004г. №98-ФЗ
• ФЗ «О персональных данных» от 27 июля 2006г. №152-ФЗ
• ФЗ «О безопасности» от 5 марта 1992г. №2446-I
• ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006г. №149-ФЗ
• Трудовой кодекс РФ от 30 декабря 2001г. №197-ФЗ (ТК) – Глава 14. Защита персональных данных работника
• Руководящий документ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации от 30 марта 1992г.
• Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Решение председателя Гостехкомиссии России от 30 марта 1992 г.
• Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799-2005)
• Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1-2006)
• Национальный стандарт РФ «Информационная технологий. Метода и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» (ГОСТ Р ИСО/МЭК ТО 18044-2007)
• Национальный стандарт РФ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-2002)

Руководством компании должны предприниматься административные меры по обеспечению безопасности «КПКРПО». К ним относятся следующие:

1. Выявление возможных угроз;
2. Проведение анализа рисков;
3. Создание политики безопасности;
4. Планирование обеспечения информационной безопасности;
5. План действий при чрезвычайных ситуациях;
6. Подбор механизмов и средств обеспечения безопасности информации.

К процедурному уровню информационной безопасности корпоративного портала  относятся меры безопасности, ориентированные на людей. Т.к. человек является главной угрозой, включая так называемый «человеческий фактор».

• Управление персоналом
  • Минимизация привилегий
• Физическая защита
  • Физическое управление доступом
  • Защита поддерживающей инфраструктуры
  • Защита от перехвата данных
• Поддержание работоспособности системы
  • Поддержка пользователей
  • Поддержка КПКРПО
  • Создание резервных копий
  • Управление носителями
  • Документирование
  • Уставные работы
• Реагирование на нарушения режима безопасности
  • Локализация инцидента и уменьшение наносимого вреда
  • Выявление нарушителя
  • Предупреждение повторных нарушений
• Планирование восстановительных работ
  • Выявление критически важных функций компании, установление приоритетов
  • Идентификация ресурсов, необходимых для выполнения критически важных функций
  • Определение перечня возможных аварий
  • Разработка стратегии восстановительных работ
  • Подготовка к реализации выбранной стратегии

Основные программно – технические меры информационной безопасности КПКРПО:

• Обеспечение устойчивости к отказам
• Обеспечение безопасного восстановления
• Идентификация и аутентификация
• Управление доступом
• Составление протоколо и аудит
• Контроль целостности
• Анализ защищенности

Надежная работа корпоративного портала должна обеспечиваться вне зависимости от надежности работы подключенных к нему приложений или информационных ресурсов. В случае сбоев должно осуществляться восстановление на высокой скорости, для чего web-интерфейс корпоративного портала должен сохранять информацию о сессии  пользователя в служебном хранилище информации [3].

Таким образом, вопросы безопасности корпоративного портала имеют первостепенное значение для компании и развития бизнеса в целом и должны тщательно продумываться. Как точно заметил американский криптограф и специалист по компьютерной безопасности Брюс Шнайер – безопасность это процесс, а не результат.