Обзор решений

Обеспечение высокого уровня безопасности вашей ИТ-инфраструктуры всегда является важной задачей. И с каждым днем важность защиты информационных систем только возрастает. Для повышения эффективности операций и увеличения рыночной доли предприятия расширяют свои процессы взаимодействия. Однако одновременно возрастают потенциальные угрозы и риски - и, следовательно, возрастает потребность в четкой, основанной на политиках системе обеспечения безопасности.

В настоящее время задача обеспечения безопасности усложняется влиянием следующих факторов:

• Быстрый рост числа пользователей усложняет работу администраторов, которые должны управлять ими, от крывая и закрывая доступ к ресурсам;
• Гетерогенные системы, приложения и системы, хранящие несогласованную идентификационную информациюо пользователях, содержат данные, которым вы не можете доверять.
• Уязвимость информационных систем для внутренних и внешних угроз безопасности может подорвать репутацию вашей компании и снизить уровень доверия к ней.
• Необходимость соблюдения нормативных требований и обеспечения аудита заставляет вас внедрять надежные политики контроля бизнес-деятельности и хранения данных.

До недавнего времени многие компании строили свои системы безопасности информации в соответствии с внутренними политиками и с учетом возможных рисков и угроз своих информационных ресурсов. Однако, в последнее время руководителям компаний, служб безопасности при организации системы управления информационной безопасностью необходимо также учитывать нормативные требования федеральных законов, международных стандартов, ведомственных нормативных актов.

К примеру, если компания ставит перед собой задачу обеспечения режима коммерческой тайны, то согласно ст.10 Федерального закона "О коммерческой тайне" от 29 июля 2004 года N 98-ФЗ ей необходимо обеспечить:

• ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
• учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.

Режим коммерческой тайны считается установленным только после принятия данных и иных мер. В противной случае компания не сможет защитить в судебном порядке свои права на информацию, составляющую коммерческую тайну.

Вступивший в силу в январе 2007 года Федеральный закон "О персональных данных" от 27 июля 2006 года N 152-ФЗ также обязывает компании, обрабатывающие персональные данные своих работников, клиентов и иных субъектов персональных данных принимать "... необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий". При этом информационные системы персональных данных должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года.

Для некоторых компаний актуальным становится вопрос соблюдения требований международных стандартов ISO 27001, Basel II (ожидается к применению для организаций банковской сферы в 2008 году), Sarbanes-Oxley (SOX).

Каким образом могут помочь решения IBM Tivoli по обеспечению надлежащего уровня информационной безопасности?

Комплексное использование линейки продуктов IBM Tivoli для обеспечения безопасности позволит:

• обеспечивать надежную сохранность интеллектуальной собственности, защиту конфиденциальной информации целостность и доступность информации;
• оперативно контролировать соблюдение политики информационной безопасности;
• обеспечить юридическую значимость расследования инцидентов безопасности;
• соответствовать нормативным требованиям;
• обеспечить непрерывность бизнес-процессов компании.

Решения IBM Tivoli в области обеспечения безопасности направлены на решение двух ключевых задач электронного бизнеса: автоматизированного управления учетными записями и управления событиями в сфере безопасности. Решение IBM Tivoli для управления учетными записями быстро окупает вложенные в него средства, позволяя быстро включать в работу пользователей, системы и приложения и эффективно управлять учетными записями, правами доступа и требованиями конфиденциальности на протяжении жизненного цикла учетной записи. Решение IBM Tivoli для управления событиями в сфере безопасности позволяет отслеживать события в сфере ИТ-безопасности электронного бизнеса, сопоставлять их и оперативно принимать ответные меры. Решения IBM для управления безопасностью обеспечивают единый взгляд на все системы предприятия, позволяя вам решать проблемы по обеспечению безопасности и в полной мере использовать возможности для развития бизнеса:

• Добиться максимальной производительности и готовности важнейших бизнес-приложений - защитить ИТ-ре сурсы в масштабах всего предприятия. -
• Освободить ИТ-персонал, ресурсы и бюджеты для реализации важных для развития бизнеса инициатив - обес печить централизацию, автоматизацию и упрощение задач управления безопасностью.
• Наладить прочные деловые взаимоотношения с клиентами и бизнес-партнерами - обеспечить эффективное предоставление ресурсов пользователям и управлять доступом к данным.
• Обеспечить максимально быструю реакцию на потребности конечных пользователей - предлагать им простой механизм однократной регистрации и возможности самообслуживания.
• Направить денежные средства, усилия и ресурсы на быструю и эффективную реализацию возможностей для развития бизнеса - а не на выполнение рутинных, повторяющихся задач по программированию и администри рованию системы безопасности.
• Упростить задачу соблюдения корпоративных и правительственных требований - интегрировать управление идентификационными данными и доступом.

В конечном итоге, решения IBM для управления безопасностью помогут вам реализовать концепцию бизнеса по требованию. И тогда ваша компания, в которой бизнес-процессы объединят все подразделения, ключевых партнеров, поставщиков и заказчиков, сможет гибко и оперативно реагировать на любое требование заказчика, рыночную возможность или внешнюю угрозу.

Наибольшую пользу могут принести решения, гибко взаимодействующие с процессами, которые вы используете сегодня и будете использовать в будущем. Именно поэтому IBM помогает вам внедрять такие лучшие методики, как:

• процессы на базе стандарта управления информационными технологиями COBIT (Control Objectives for Information and related Technology);
• процессы на базе модели оценки внутреннего контроля COSO (Committee of Sponsoring Organizations of the Treadway Commission);
• процессы на базе библиотеки ITIL (Information Technology Infrastructure Library);
• ваши собственные специализированные процессы.

Решения IBM позволяют вам автоматизировать и интегрировать ИТ-процессы и взаимодействие между ними, сделать ваши процессы более эффективными и в минимальной степени зависящими от действий сотрудников и практически свободными от ошибок. Вы сможете получить всеобъемлющий взгляд на ваше предприятие, чтобы точно выявлять проблемы и возможности для бизнеса - и оперативно предпринимать соответствующие действия.

Используя решения IBM для управления безопасностью в сочетании с другими компонентами управления инфраструктурой, вы можете выявлять и соответствующим образом реализовывать ваши лучшие методики:

• разработать политики - как для информационных систем, так и для бизнес-деятельности;
• определить процессы внедрения и соблюдения этих политик;
• установить потоки работ - определите конкретные задачи, которые будут автоматизированы для выполнения определенного процесса;
• совместно использовать данные, чтобы обеспечить гладкое взаимодействие процессов;
• автоматизировать рабочие потоки и обмен данными.

В настоящее время управление безопасностью - это не один интегрированный процесс, а набор тесно связанных видов деятельности, охватывающих множество процессов. Ассортимент решений IBM позволяет вам обеспечивать управление безопасностью в рамках многочисленных процессов. Это процессы из таких категорий, обычно выделяемых аналитиками, как:

• управление идентификационными данными и доступом;
• управление уязвимостями системы безопасности;
• управление соответствием ИТ-инфраструктуры предъявляемым к ней требованиям.

Представленная ниже диаграмма показывает, каким образом управление безопасностью пересекается с процессами в пределах всего ассортимента программного обеспечения IBM Tivoli.