В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Насколько применяемые меры эффективны – показывает время. В одних случаях данные вопросы отдаются полностью на откуп ИТ-службам, которые не "поднимаются" на стратегический уровень управления, в результате далеко не вся конфиденциальная информация получает должный уровень защиты. В других случаях руководство принимает некоторое участие в идентификации активов организации, но при этом редко учитываются все потенциальные нарушители и не всегда технические средства закрепляются организационно.
Очевидно, что задачу противодействия утечки конфиденциальной информации необходимо решать комплексно, применяя организационные и технические меры. Лучшие мировые практики показывают, что наиболее эффективным решением будет внедрение процедур риск-менеджмента как непрерывного процесса, включающего следующие стадии:
Анализ стандартов управления информационной безопасностью и лучших практик применения средств технической защиты информации показывает, что автоматизированное решение, наиболее полно удовлетворяющее поставленным требованиям и лишенное традиционных недостатков, должно в комплексе решать задачи управления политикой обеспечения ИБ, информационными рисками и сервисами (функциями) защиты информации и строиться по архитектуре, представленной на рисунке.
Для обеспечения наибольшей эффективности и гибкости использования оптимальное решение должно состоять из комплекса интегрированных компонентов, реализованных на единой платформе, каждый из которых решает свои специфичные задачи, но все вместе функционируют в едином информационном пространстве и взаимодействии. Например, в данной модели:
Именно такая архитектура лежит в основе комплексной системы управления защитой данных "БАЗИС-Защита" разработки компании "ЕВРААС.ИТ". Решение сочетает в себе современную методологию управления ИБ, основанную на стандартах ISO/IEC 27001/27002/27005, и наиболее эффективные технологии защиты данных, реализуемые с помощью средств управления правами доступа к данным Oracle IRM, сертифицированных ФСТЭК России. Контроль над информацией и ее защищенность сохраняются независимо от формата документа, типа файла, места его расположения и вида носителя, даже за пределами периметра ИС организации. При этом реализуется интеграция с прикладными информационными системами, а также средствами протоколирования доступа.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2011