Для чего нужно знать теорию

СТАНДАРТИЗАЦИЯ ОРГАНИЗАЦИОННЫХ ОСНОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Программная поддержка STEP.

Поддержка STEP может выражаться либо в способности обмениваться данными с применением STEP, либо в способности специальным способом обрабатывать STEP- данные. На этом основании все программные средства, поддерживающие STEP, можно разделить на две категории: прикладные системы и специализированные средства.

Основным предназначением прикладных систем (в их состав входят CAD, CAM, PDM, ERP) является создание и обработка данных об изделии. У этих систем, как правило, есть своя собственная модель данных, но обмен данными с другими системами они осуществляют, в том числе и с помощью стандарта STEP. В настоящий момент большинство прикладных систем поддерживают ограниченное количество протоколов применения (в основном ИСО 10303 -203 - машиностроение) и обменный файл в качестве метода реализации обмена.

Специальные средства поддержки STEP могут быть разделены на три категории: конверторы, базы данных и специальные пакеты.

Конверторы позволяют преобразовать информацию из STEP – форматов в иные форматы данных.

Базы данных – реализации баз данных по изделию с доступом через программный интерфейс. Самая известная коммерческая реализация такой базы данных является EXPRESS Data Manager.

Инструментальные пакеты позволяют производить разнообразную обработку STEP –данных и самостоятельно разрабатывать компьютерные приложения, поддерживающие STEP.

До недавнего временив нашей стране в области стандартизации организационных основ информационной безопасности (ИБ) существовал определенный пробел, затрагивались лишь отдельные аспекты рисков бизнес-процессов. В связи с вступлением России в ВТО повысилась актуальность внедрения популярных в мире стандартов по организационным основам ИБ.

Важным аспектом внедрения организационных стандартов является возможность добровольной сертификации не только систем качества, но и систем управления информационной безопасностью (ИБ).

Которая помимо тендерных преимуществ, проведение сертификации системы управления ИБ компании позволяет:

· обосновать затраты на эту систему;

· проверить ее эффективность;

· расставить акценты в системе ИБ.

К примеру, в ряде случаев уровень безопасности можно значительно повысить организационными мерами, не прибегая при этом к существенным капиталовложениям.

Любой специалист по информационной безопасности проходит в своем профессиональном развитии три этапа. Первый из них - "работа руками". Новичок усиленно, с привлечением специализированных средств, ищет и ликвидирует вполне конкретные бреши в системном и прикладном ПО. Сканер, патч, порт, соединение - вот сущности, с которыми он работает на данном этапе.

Вторая ступень - "работа головой". Устав затыкать все новые и новые бреши, специалист приступает к разработке планов и методик, цель которых - упорядочить действия по повышению безопасности систем и ликвидации последствий информационных угроз. Именно на данной стадии возникает понятие "политики безопасности".

Наконец, приходит пора осмысления - на этом этапе умудренный опытом специалист понимает, что он, скорее всего, изобретает велосипед, поскольку стратегии обеспечения безопасности наверняка уже были разработаны до него. И в этом он, безусловно, прав.

Многочисленные организации по всему миру уже давно занимаются проблемой информационной безопасности, итогом их деятельности стали увесистые фолианты стандартов, положений, рекомендаций, правил и т.д. Изучать весь объем вряд ли целесообразно, однако знать основополагающие документы, конечно же, стоит.

Информационная безопасность в ИПИ - системах Внедрение ИПИ-систем неизбежно связано с вопросами информационной безопасности. Географически распределенная структура предприятия, разнородность уже используемых программно-технических решений и острая необходимость защиты информации и интеллектуальной собственности, имеющей разных владельцев, приводят к тому, что к системе информационной безопасности предъявляются весьма жесткие требования, которые можно разделить на следующие группы: · защита сетей внутри организаций, · управление доступом во внутренние сети из открытых сетей, · управление доступом из внутренних сетей в открытые сети · обеспечение безопасного обмена данными между внутренними сетями через открытые сети. При этом, под информационной безопасностью предприятия, внедряющего ИПИ-технологии, подразумевается состояние защищенности его интересов от существующих и вероятных внешних и внутренних угроз информационным ресурсам, среди которых выделяются: · технические средства автоматизации (компьютерная техника и средства связи), · электронные носители, · информация (файлы и базы данных) на электронных носителях, · хранилища машиночитаемых и бумажных носителей (архивы и библиотеки), · корпоративное знание. Для обеспечения информационной безопасности указанного спектра информационных ресурсов необходим функциональный анализ существующей информационной инфраструктуры, формирование требований к уровню риска и обоснование выбираемых технических решений, средств и методик формирования системы информационной безопасности предприятия, использующего ИПИ-системы. Необходимо учитывать, что обеспечение информационной безопасности является сложным комплексом ряда проблем (организационных, юридических, технических), системное решение которых заключается в определенной последовательности действий. Анализ рисков - первый и необходимый этап в решении задачи ЗИ и проводится с целью выявления перечня потенциально возможных угроз интересам предприятия, событий и возможного ущерба, которые могут возникнуть в результате реализации таких рисков. На основе результатов анализа рисков разрабатывается политика безопасности - документ содержащий принципы деятельности предприятия в отношении проблем ИБ. Политика безопасности содержит ранжированный перечень угроз, принимаемых во внимание, классификацию защищаемых информационных ресурсов, определяет желаемый уровень защищенности, описывает организационные решения, необходимые для решения задач ИБ. На основе утвержденной политики безопасности разрабатывается план обеспечения информационной безопасности, содержащий конкретные организационно-технические решения и планы работ по их внедрению и реализации.