|
|
|
АСПЕКТИ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ НА ПІДПРИЄМСТВАХ
| |
| 30.05.2012 10:19 |
|
Автор: Троян Ольга Вікторівна, магістр Донбаського Державного Технічного Університету
|
|
[Секція 2. Менеджмент. Маркетинг;] |
Інформаційна безпека на підприємствах - комплексне поняття, що містить в собі достатньо різнопланові аспекти. Воно включає в себе засоби фізичної перешкоди доступу зловмисників до захищеної інформації, керування доступом за допомогою регулювання ресурсів інформаційних систем та технологій, криптографічне закриття інформації, використання антивірусних програм, файерволів та інших засобів протидії шкідливим атакам. Крім того, до засобів захисту інформації відносять такі суто психологічні варіанти впливу на працівників, що мають доступ до секретних даних, такі як спонукання або примус. [1]
Згідно досліджень, проведених відомою аудиторською компанією Ернст енд Янг щодо 1700 компаній з 52 країн охоплюючи практично всі галузі виробництва, в 2011 році 72% компаній вважали, що рівень ризику по причині зовнішніх загроз збільшився; при цьому 51% - заявили, що захист інформації, з тих чи інших причин (як-то бюджетні обмеження, недостатність кваліфікованих людських ресурсів або підтримки керівництва), не є забезпеченим на достатньому рівні. Крім того, 66% ще не впровадили в себе системи запобігання втрати даних (data loss prevention, DLP) та 48% не мають у себе задокументованої стратегії щодо захисту інформації й 56% з тих, що мають - вважають, що така стратегія потребує перегляду та модифікацій. Отже, ми бачимо, що великий відсоток організацій усвідомлює необхідність інвестування в інформаційну безпеку. [4]
Причому, зважаючи на тотальну інформатизацію та автоматизацію діяльності компаній та використання ними систем управління, таких як системи MRP, CRM та ERP-класу, ще більшого значення набуває забезпечення захисту інформації в таких системах. Перш за все, така ситуація спричиняється тим, що автоматизація управління компаніями передбачає зберігання всієї інформації в базах даних, а отже, здійснивши атаку на матеріали компаній, злочинець може отримати доступ до клієнтської бази, техніко-економічних показників та результатів діяльності, фінансових відомостей та навіть до даних, що пов’язані з новітніми винаходами, тобто складовими успіху діяльності організації.
Основними аспектами забезпечення безпеки в ERP-системах є:
- мережева безпека;
- безпека БД;
- безпека на рівні сервера додатків;
- захист інформації на клієнтському комп'ютері;
- прикладна безпека ERP;
- захист електронних документів, «проблема системного адміністратора» [2]
Захист щодо мережевої безпеки досягається за допомогою веб-стандартів для будування взаємодії своїх компонентів, до яких відносять використання протоколів захисту даних HTTPS, аутентифікацію користувача за допомогою цифрових сертифікатів. Так, у одній з найбільш популярних систем ERP-класу, SAP клієнт SAP NetWeaver дозволяє прив'язувати сертифікат до облікового запису користувача системи. [3] Інший спосіб захисту даних - криптографія, тобто захист, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо, причому багато здійснюють криптографічний захист інформації відповідно до юридичних вимог, вказаних в законодавстві, наприклад в Законі України «Про захист інформації в інформаційно-телекомунікаційних системах».
Для захисту баз даних в ERP-системах використовують особливості побудови, притаманні більшості даних систем, а саме трьохрівневу архітектуру клієнт-сервер, в якій виділяють сервери в один ізольований сегмент, і надають доступ до нього тільки серверу додатків, що виключає можливість доступу до баз даних напряму, а отже й є додатковою перепоною на шляху несанкціонованого доступу до інформації.
Також необхідними аспектами захисту інформації в ERP-системах є захист серверів управління базами даних, серверу додатків та робочого місця користувача. Так, комп'ютери обов'язково мають знаходитися в окремому примішенні, забезпеченому контролем доступу, робочі місця - мати захист пристроїв вводу-виводу даних, а авторизація користувачів - бути достатньо деталізованою та якомога сучаснішою, прикладом чого є двохфакторна авторизація за допомогою токенів. [3]
Таким чином, компанії, що інвестують у забезпечення інформаційного захисту своїх даних, можуть бути певними, що необхідні для успішного ведення господарської діяльності відомості, які складають комерційну таємницю, будуть збереженими від небажаного до них доступу.
Список використаної літератури:
1. Ортинський В.Л. Економічна безпека підприємств, організацій та установ : навч. посібник [для студ. вищих навч. закладів] /[В.Л. Ортинський, І.С. Керницький, З.Б. Живко та ін.] ─ К.:Правова єдність ,2009. ─ 544 с.
2. Халімончук В.М. Сервіси безпеки ERP-систем. // Збірка тез доповідей учасників IX Всеукраїнської науково-практичної конференції студентів, аспірантів та молодих вчених «Теоретичні і прикладні проблеми фізики, математики та інформатики» Частина 2 (22 квітня 2011р., м. Київ) / Уклад.: О.В. Жмиров, О.В. Пивовар. К.:2011. – С.83-84.
3. Зырянов Ю. Информационная безопасность ERP-систем [Електронний ресурс]. Режим доступу: http://citcity.ru/16501/.
4. Ernst & Young’s 2011 Global Information Security Survey. [Електронний ресурс]. Режим доступу: http://www.ey.com/informationsecurity.
|
|
 Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
|
|
|
Голосування 
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter