Обзор решений

Обеспечение высокого уровня безопасности вашей ИТ-инфраструктуры всегда является важной задачей. И с каждым днем важность защиты информационных систем только возрастает. Для повышения эффективности операций и увеличения рыночной доли предприятия расширяют свои процессы взаимодействия. Однако одновременно возрастают потенциальные угрозы и риски - и, следовательно, возрастает потребность в четкой, основанной на политиках системе обеспечения безопасности.

В настоящее время задача обеспечения безопасности усложняется влиянием следующих факторов:

  • Быстрый рост числа пользователей усложняет работу администраторов, которые должны управлять ими, от крывая и закрывая доступ к ресурсам;
  • Гетерогенные системы, приложения и системы, хранящие несогласованную идентификационную информациюо пользователях, содержат данные, которым вы не можете доверять.
  • Уязвимость информационных систем для внутренних и внешних угроз безопасности может подорвать репутацию вашей компании и снизить уровень доверия к ней.
  • Необходимость соблюдения нормативных требований и обеспечения аудита заставляет вас внедрять надежные политики контроля бизнес-деятельности и хранения данных.

 

До недавнего времени многие компании строили свои системы безопасности информации в соответствии с внутренними политиками и с учетом возможных рисков и угроз своих информационных ресурсов. Однако, в последнее время руководителям компаний, служб безопасности при организации системы управления информационной безопасностью необходимо также учитывать нормативные требования федеральных законов, международных стандартов, ведомственных нормативных актов.

К примеру, если компания ставит перед собой задачу обеспечения режима коммерческой тайны, то согласно ст.10 Федерального закона "О коммерческой тайне" от 29 июля 2004 года N 98-ФЗ ей необходимо обеспечить:

  • ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
  • учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.

 

Режим коммерческой тайны считается установленным только после принятия данных и иных мер. В противной случае компания не сможет защитить в судебном порядке свои права на информацию, составляющую коммерческую тайну.

Вступивший в силу в январе 2007 года Федеральный закон "О персональных данных" от 27 июля 2006 года N 152-ФЗ также обязывает компании, обрабатывающие персональные данные своих работников, клиентов и иных субъектов персональных данных принимать "... необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий". При этом информационные системы персональных данных должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года.

Для некоторых компаний актуальным становится вопрос соблюдения требований международных стандартов ISO 27001, Basel II (ожидается к применению для организаций банковской сферы в 2008 году), Sarbanes-Oxley (SOX).

Каким образом могут помочь решения IBM Tivoli по обеспечению надлежащего уровня информационной безопасности?

Комплексное использование линейки продуктов IBM Tivoli для обеспечения безопасности позволит:

  • обеспечивать надежную сохранность интеллектуальной собственности, защиту конфиденциальной информации целостность и доступность информации;
  • оперативно контролировать соблюдение политики информационной безопасности;
  • обеспечить юридическую значимость расследования инцидентов безопасности;
  • соответствовать нормативным требованиям;
  • обеспечить непрерывность бизнес-процессов компании.

 

Решения IBM Tivoli в области обеспечения безопасности направлены на решение двух ключевых задач электронного бизнеса: автоматизированного управления учетными записями и управления событиями в сфере безопасности. Решение IBM Tivoli для управления учетными записями быстро окупает вложенные в него средства, позволяя быстро включать в работу пользователей, системы и приложения и эффективно управлять учетными записями, правами доступа и требованиями конфиденциальности на протяжении жизненного цикла учетной записи. Решение IBM Tivoli для управления событиями в сфере безопасности позволяет отслеживать события в сфере ИТ-безопасности электронного бизнеса, сопоставлять их и оперативно принимать ответные меры. Решения IBM для управления безопасностью обеспечивают единый взгляд на все системы предприятия, позволяя вам решать проблемы по обеспечению безопасности и в полной мере использовать возможности для развития бизнеса:

  • Добиться максимальной производительности и готовности важнейших бизнес-приложений - защитить ИТ-ре сурсы в масштабах всего предприятия. -
  • Освободить ИТ-персонал, ресурсы и бюджеты для реализации важных для развития бизнеса инициатив - обес печить централизацию, автоматизацию и упрощение задач управления безопасностью.
  • Наладить прочные деловые взаимоотношения с клиентами и бизнес-партнерами - обеспечить эффективное предоставление ресурсов пользователям и управлять доступом к данным.
  • Обеспечить максимально быструю реакцию на потребности конечных пользователей - предлагать им простой механизм однократной регистрации и возможности самообслуживания.
  • Направить денежные средства, усилия и ресурсы на быструю и эффективную реализацию возможностей для развития бизнеса - а не на выполнение рутинных, повторяющихся задач по программированию и администри рованию системы безопасности.
  • Упростить задачу соблюдения корпоративных и правительственных требований - интегрировать управление идентификационными данными и доступом.

 

В конечном итоге, решения IBM для управления безопасностью помогут вам реализовать концепцию бизнеса по требованию. И тогда ваша компания, в которой бизнес-процессы объединят все подразделения, ключевых партнеров, поставщиков и заказчиков, сможет гибко и оперативно реагировать на любое требование заказчика, рыночную возможность или внешнюю угрозу.

Наибольшую пользу могут принести решения, гибко взаимодействующие с процессами, которые вы используете сегодня и будете использовать в будущем. Именно поэтому IBM помогает вам внедрять такие лучшие методики, как:

  • процессы на базе стандарта управления информационными технологиями COBIT (Control Objectives for Information and related Technology);
  • процессы на базе модели оценки внутреннего контроля COSO (Committee of Sponsoring Organizations of the Treadway Commission);
  • процессы на базе библиотеки ITIL (Information Technology Infrastructure Library);
  • ваши собственные специализированные процессы.

 

Решения IBM позволяют вам автоматизировать и интегрировать ИТ-процессы и взаимодействие между ними, сделать ваши процессы более эффективными и в минимальной степени зависящими от действий сотрудников и практически свободными от ошибок. Вы сможете получить всеобъемлющий взгляд на ваше предприятие, чтобы точно выявлять проблемы и возможности для бизнеса - и оперативно предпринимать соответствующие действия.

Используя решения IBM для управления безопасностью в сочетании с другими компонентами управления инфраструктурой, вы можете выявлять и соответствующим образом реализовывать ваши лучшие методики:

  • разработать политики - как для информационных систем, так и для бизнес-деятельности;
  • определить процессы внедрения и соблюдения этих политик;
  • установить потоки работ - определите конкретные задачи, которые будут автоматизированы для выполнения определенного процесса;
  • совместно использовать данные, чтобы обеспечить гладкое взаимодействие процессов;
  • автоматизировать рабочие потоки и обмен данными.

 

В настоящее время управление безопасностью - это не один интегрированный процесс, а набор тесно связанных видов деятельности, охватывающих множество процессов. Ассортимент решений IBM позволяет вам обеспечивать управление безопасностью в рамках многочисленных процессов. Это процессы из таких категорий, обычно выделяемых аналитиками, как:

  • управление идентификационными данными и доступом;
  • управление уязвимостями системы безопасности;
  • управление соответствием ИТ-инфраструктуры предъявляемым к ней требованиям.

 

Представленная ниже диаграмма показывает, каким образом управление безопасностью пересекается с процессами в пределах всего ассортимента программного обеспечения IBM Tivoli.

 

  • Рисунок. Пересечение управления безопасностью с процессами в пределах ПО IBM Tivoli

     

    Использование лучших методик выполнения и взаимодействия ИТ-процессов
    IBM предлагает широкий спектр продуктов и решений для управления безопасностью. Они позволяют вам контролировать, адаптировать и администрировать ресурсы и процессы по защите информационных систем - и одновременно обеспечивать соответствие постоянно меняющимся потребностям вашего бизнеса.

    В состав решений для управления безопасностью входят следующие продукты:

    • IBM Tivoli Federated Identity Manager
    • IBM Tivoli Access Manager for Enterprise Single Sign-On
    • IBM Tivoli Identity Manager
    • IBM Tivoli Security Compliance Manager
    • IBM Tivoli Access Manager for e-business
    • IBM Tivoli Access Manager for Business Integration
    • IBM Tivoli Access Manager for Operating Systems
    • IBM Tivoli Directory Integrator
    • IBM Tivoli Directory Server
    • IBM Tivoli Compliance Insight Manager
    • IBM Tivoli Security Operations Manager

     

  • Система Orphus