Управление рисками утечки данных
Практическая реализация

Дмитрий Янченко
старший аналитик ИБ ЗАО "ЕВРААС.ИТ"

Насколько применяемые меры эффективны – показывает время. В одних случаях данные вопросы отдаются полностью на откуп ИТ-службам, которые не "поднимаются" на стратегический уровень управления, в результате далеко не вся конфиденциальная информация получает должный уровень защиты. В других случаях руководство принимает некоторое участие в идентификации активов организации, но при этом редко учитываются все потенциальные нарушители и не всегда технические средства закрепляются организационно.

Очевидно, что задачу противодействия утечки конфиденциальной информации необходимо решать комплексно, применяя организационные и технические меры. Лучшие мировые практики показывают, что наиболее эффективным решением будет внедрение процедур риск-менеджмента как непрерывного процесса, включающего следующие стадии:

• инвентаризация информационных ресурсов организации;
• построение и актуализация моделей угроз и нарушителей;
• анализ рисков, основанный на действующей модели угроз и модели ресурсов;
• планирование и контроль исполнения мероприятий по минимизации рисков;
• совершенствование нормативной базы, определяющей стратегию и тактику обеспечения ИБ, а также обязанности и ответственность каждого сотрудника.

Комплексный подход

Анализ стандартов управления информационной безопасностью и лучших практик применения средств технической защиты информации показывает, что автоматизированное решение, наиболее полно удовлетворяющее поставленным требованиям и лишенное традиционных недостатков, должно в комплексе решать задачи управления политикой обеспечения ИБ, информационными рисками и сервисами (функциями) защиты информации и строиться по архитектуре, представленной на рисунке.

Для обеспечения наибольшей эффективности и гибкости использования оптимальное решение должно состоять из комплекса интегрированных компонентов, реализованных на единой платформе, каждый из которых решает свои специфичные задачи, но все вместе функционируют в едином информационном пространстве и взаимодействии. Например, в данной модели:

• компонент управления политикой ИБ поддерживает централизованное систематизированное хранение и полный жизненный цикл нормативных документов, регламентирующих процессы обеспечения ИБ, контролирует уровень осведомленности персонала, содержит модель информационных активов организации с указанием владельцев ресурсов и прочие атрибуты;
• компонент управления рисками строит актуальную модель рисков данных ресурсов, после чего определяются меры по снижению рисков до приемлемого уровня;
• компонент управления сервисом защиты обеспечивает защищенность и аудит использования наиболее критичных ресурсов в соответствии с результатами проведенного анализа рисков. По результатам аудита корректируется модель рисков, уточняются требования безопасности и совершенствуется нормативная база и т.д.

"БАЗИС-Защита"

Именно такая архитектура лежит в основе комплексной системы управления защитой данных "БАЗИС-Защита" разработки компании "ЕВРААС.ИТ". Решение сочетает в себе современную методологию управления ИБ, основанную на стандартах ISO/IEC 27001/27002/27005, и наиболее эффективные технологии защиты данных, реализуемые с помощью средств управления правами доступа к данным Oracle IRM, сертифицированных ФСТЭК России. Контроль над информацией и ее защищенность сохраняются независимо от формата документа, типа файла, места его расположения и вида носителя, даже за  пределами периметра ИС организации. При этом реализуется интеграция с прикладными информационными системами, а также средствами протоколирования доступа.

ЕВРААС-ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ,
ЗАО (ЗАО "ЕВРААС.ИТ")
115280 Москва,
ул. Автозаводская, 19, корп. 2
Тел.: (495) 792-5430
Факс: (495) 792-5431
E-mail: info@evraasit.ru
www.evraasit.ru