укр  |  рус 
Додати статтю | Реєстрація
Безпека бізнесу
Бізнес-розвідка
Безпека в торгівлі
Захист комерційної таємниці
Контролюючі органи
Небезпеки й погрози підприємницької діяльності
Шахрайство та крадіжки
Безпека банків
Безпека особистості
Безпека помешкання
Безпека та персонал
Безпека туризму та відпочинку
Документи для роботи
Захист інформації
Захист автомобіля
Зброя та спецзасоби
Пожежна безпека
Системи безпеки
Мій будинок — моя фортеця. Пожежна безпека. 
Перечень вопросов, с которыми необходимо ознакомить работников во время проведения противопожарных инструктажей 
Обережно рейдери. Захист від захоплення підприємств 
Як помітити що дитина вживає наркотики 
Інструкція з пожежної безпеки 
Системи захисту від крадіжок в супермаркеті 
ІНСТРУКЦІЯ про заходи пожежної безпеки для приміщень  
ПОЛОЖЕННЯ про порядок проведення навчання та перевірки знань з питань охорони праці. 
ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, учебное пособие 
ІНСТРУКЦІЯ про заходи з пожежної безпеки для приміщень кафе 
Як вибрати пожежний датчик 
Захист автомобіля: Імобілайзер. Питання й відповіді. 
Безпека на лижних маршрутах 
Захист й комбінована техніка з використанням гумового ціпка 
Переваги систем захисту від крадіжок різних технологій 
Каталог
Цифровые системы
Видеокамеры
Объективы
Устройства обработки
Оповещатели и указатели
Домофоны
Контроль доступа, замки, защелки
Корпуса, кожухи, аксессуары
Мониторы
крадіж   составляется   ТЕХНОЛОГІЇ   канали   обеспечении   забезпечен   пожежо   ПАСПОРТИ   БОТАНІЧНИЙ   життя   наркотики   Відеоспостереження   безопасности   лекций   вентил  
Зберегти сторінку Зробити стартовою Відправити другу
 укр
 рус
Захист комерційної таємниці
Концепция управления жизненным циклом конфиденциальной информации как основа для защиты информации вне систем хранения данных
Проблема защиты информации в бизнесе возникла не сегодня и даже не вчера. Поэтому неудивительно, что различные производители программного обеспечения проблему эту решают, и решают достаточно успешно. Информационные системы корпоративного уровня – ERP, CRM, СУБД и другие – вполне надежно защищают данные, которые в них хранятся.



   Каждый из вендоров использует свои технологии, разграничение прав пользователей, контроль доступа, шифрование и др. Но если данные так хорошо защищены (и в доказательство у вендоров наверняка найдется пара-другая сертификатов уважаемых испытательных лабораторий), почему же они продолжают исправно утекать?
   
   Оказывается, информация, казалось бы, надежно защищенная на этапе хранения, исключительно уязвима в момент обработки или перемещения. Стоит данные выгрузить из системы – не важно, ERP это или база данных, – она тут же подвергается большому числу рисков утечки. В данном контексте следует понимать, что даже отображение на мониторе пользователя можно считать выгрузкой данных. Исходя из этого, наиболее актуальной задачей, стоящей перед отраслью информационной безопасности, необходимо признать защиту информации именно в момент ее обращения.
   
   Итак, проблема ясна. Конфиденциальная информация утекает, а существующие средства неэффективны вследствие заложенной в них концепции. Очевидно, надо менять подход. Предлагаемый подход подразумевает уход от классического "канального" метода предотвращения утечек, когда решение разрабатывается для того, чтобы перекрыть почту, "флешки", http и т.д. Все равно ведь остается какой-то незакрытый канал, лазейка для инсайдера. Концепция управления жизненным циклом конфиденциальной информации (УЖЦ КИ), предложенная компанией Perimetrix, подразумевает, что информационный объект является приматом в системе безопасности.
   
   Здесь необходимо сделать небольшое отступление и пояснить понятие информационного объекта. Сама по себе информация является абстрактным нематериальным объектом. Однако в области информационных технологий информация неотделима от ее физического носителя, ячейки оперативной памяти или сектора жесткого диска. Кроме того, информация обычно находится в каких-либо структурированных представлениях, например в электронных документах, базах данных и т.д. Говоря об информации, мы будем понимать именно информацию в некотором хранилище и использовать термин "контейнер информации". Угрозы утечки вследствие "запоминания" человеком какой-либо информации на данном этапе развития технологий практически не могут быть нивелированы техническими средствами. Наиболее эффективный способ борьбы с такого рода угрозами - административный. Необходимо проводить регулярные тренинги по вопросам информационной безопасности и повышать лояльность персонала.
   
   Лежащая в основе концепции идея о жизненном цикле информации рассматривает весь период обращения информации в корпоративной сети, начиная с момента ее появления извне или создания и до безвозвратного удаления. Управление же жизненным циклом информации предполагает контроль над информацией в момент ее копирования, передачи или перехода из одного представления (формата) в другое. Концепция предусматривает 7 основных этапов жизни информации, на каждом из которых она подвергается рискам утечки.
   
   Этап 1. Создание. На данном этапе происходит создание или получение КИ в корпоративной среде. Информация создается в каком-либо представлении, в виде документа, записи в БД и т.д. В отличие от большинства других этапов данная стадия не имеет временной продолжительности и происходит практически мгновенно. Вместе с тем уже на этапе создания должна быть заложена база для защиты данных в дальнейшем.
   
   Для защиты информации на начальной стадии ее жизненного цикла существует два инструмента. Первый - административный инструмент декларирует создание только той информации, которая требуется для бизнес-процессов организации. Избыточное хранение КИ не только создает лишнюю нагрузку на IТ - инфраструктуру, но и приводит к росту вероятности утечки. Таким образом, каждый сотрудник компании должен создавать и работать только с той КИ, которая ему действительна необходима. Второй – технический инструмент защиты предполагает инкапсуляцию специальных маркеров или грифов конфиденциальности в контейнеры КИ. В том случае, если контейнер КИ создается на основе старого контейнера или некоторого шаблона, этот процесс может произойти уже на этапе создания. Если же контейнер создается "с чистого листа", то расстановка маркеров производится на этапе классификации.
   
   Этап 2. Классификация. Классификация является неотъемлемым процессом защиты КИ. В идеале классификация должна являться непрерывным процессом. Однако с учетом ограниченности ресурсов классификация может проводиться на периодической основе. Классификацию данных необходимо рассматривать как комплексную деятельность, направленную не только на защиту КИ, но и на подготовку к следующему этапу их жизненного цикла – эффективному хранению. После проведения классификации становится ясно, что необходимо делать с КИ на следующих этапах жизненного цикла. Если классификацию не производить, защита информации в последующем будет чрезвычайно затруднена. Не будут определены места хранения КИ, невозможно будет отследить передачу, использование или изменение КИ. Факты утечки могут долгое время оставаться незамеченными.
   
   Этап 3. Хранение. На этапе хранения КИ впервые возникают масштабные риски ее утечки. Угрозы утечки КИ могут быть реализованы по двум основным сценариям – путем внешнего вторжения и вследствие внутреннего инцидента. Именно поэтому защита КИ во время хранения должна обеспечиваться целым комплексом систем безопасности. В него попадают системы контроля доступа, обнаружения вторжений, криптографиче- ские комплексы, а также решения по защите от утечек и антивирусные продукты. Практически любая система безопасности так или иначе защищает информацию именно на этапе ее хранения. Задача защиты КИ на этапе хранения также указывает на важность процесса классификации – без него нельзя понять, как именно следует защищать информацию. В каком сегменте корпоративной сети информация должна храниться, кто должен иметь к ней доступ, требуется ли ее шифровать.
   
   Этап 4. Пересылка. Следующая группа рисков возникает в процессе пересылки или передачи КИ. Традиционно этому этапу уделяется повышенное внимание, хотя реальные риски утечки относительно невысоки. Для защиты информации в процессе пересылки по электронным каналам существует достаточно много технологий, основанных на принципе создания защищенных соединений. Значительно меньше внимания уделяется другому аспекту передачи информации, а именно транспортировке КИ на физических мобильных носителях. Единственным надежным способом обеспечить безопасность транспортировки на мобильных носителях является шифрование.
   
   Этап 5. Использование. С точки зрения внешнего злоумышленника, используемая КИ мало чем отличается от хранящейся. Поэтому на данном этапе жизненного цикла возникают лишь дополнительные внутренние риски, как то: инсайдерские и халатные, Web-утечки, а также саботаж (или искажение). То есть во время работы с КИ сотрудник может исказить сведения, скопировать в ненадлежащее место, опубликовать на общедоступном Web-ресурсе или переслать конкуренту. Подобные действия могут быть как спланированными, так и случайными. В любом случае происходит утечка КИ.
   На сегодняшний день контроль данных во время использования является одной из основных проблем ИБ. Для контроля действий с КИ со стороны собственных сотрудников на рынке присутствуют продукты класса DLP, которые в общем случае проверяют трафик по различным электронным каналам. Некоторые продукты контролируют только сетевые каналы (электронная почта, HTTP и др.), другие – только локальные (USB, CD/DVD и др.), третьи предлагают комплексную защиту.
   Этап 6. Резервное копирование. Данный этап объединяет действия по регулярному резервному копированию контейнеров с КИ в течение предыдущих этапов жизненного цикла, а также архивирование уже неиспользуемой информации. На данном этапе сохраняются риски этапов хранения и транспортировки КИ. Тем не менее при тех же механизмах защиты риски утечки на этой стадии снижаются, поскольку ценность информации (в случае ее помещения в архив) падает, а физическое перемещение носителей происходит реже.
   
   Более актуальна на данном этапе угроза избыточного хранения КИ. В случае когда ценность скомпрометированной архивной информации невелика, важен сам факт утечки, поскольку может пострадать репутация компании.
   Этап 7. Удаление. Проблемы на этапе удаления возникают, когда КИ не удаляется своевременно, а большинство КИ хранится в архивах, пока не закончится место, повышая тем самым вероятность возможной утечки, либо не удаляется безвозвратно и может быть восстановлена. В связи с этим необходимо выработать процедуры своевременного удаления информации (например, по истечении установленного срока давности) с контролем выполнения операции удаления. Так же как конфиденциальные бумажные документы уничтожаются шредером, классифицированные файлы необходимо удалять специальными утилитами без возможности восстановления.
   
   С чем остаться заказчику
   Конечно, функционал систем, реализующих концепцию УЖЦ КИ, можно собрать, используя продукты различных классов, системы разграничения доступа, системы предотвращения утечек, антивирусы, пакеты для классификации данных и многие другие. Но какова будет эффективность всего этого, и сколько средств будет отнимать обычное операционное обслуживание объединенного комплекса программ? Как показывает практика, бреши исправно появляются на границах сочленения разнородных средств информационной безопасности, а обслуживание их крайне затруднено. Поэтому для удовлетворения потребности бизнеса в безопасности рекомендуется применять комплексные решения, позволяющие управлять безопасностью, используя единую консоль.
   
   Системы, в основе которых заложена концепция УЖЦ КИ, не являются отдельным компонентом системы информационной безопасности на предприятии. Они представляют скорее надстройку над всеми корпоративными информационными системами, обеспечивающую безопасность обращения между всеми этими системами, без которых современный бизнес представить просто невозможно.
   
   


Автор: donlegion.com | Відгуки: 0 | Перегляди: 3132 | 11/02/2012 Безпека бізнесу - Захист комерційної таємниці

Ссылка на статью:


Оставить комментарий
Ваше имя:
Комментарий:
Введите текст, изображенный на картинке:
 
Інші статті цього автора
Захист комерційної таємниці. Теорія й практика
Тепер зупинимося більш докладно на заходах щодо забезпечення конфіденційності. Їх можна умовно класифікувати на внутрішні й зовнішні, які у свою чергу діляться на правові, організаційні, технічні й психологічні. Деякі джерела виділяють ще одну -- страхову, тобто страхування комерційної таємниці від її розголошення. Однак у наших умовах такий метод захисту представляється нам мало реальним. Крім того, дуже важко визначити реальну вартість приналежної підприємству комерційної таємниці.

Автор: donlegion.com |Відгуки:0 | Перегляди:5369 | 07/06/2011 Безпека бізнесу - Захист комерційної таємниці
Самые необычные случаи утечки данных на предприятиях
Если несколько лет назад сообщения об утечках информации в СМИ сами собой были событием неординарным, сегодня большинство инцидентов ИБ расценивается как некий "информационный фон". Халатность сотрудников, выложивших базу данных в открый доступ или потерявших ноутбук с корпоративными секретами, уже не вызывает реакции иной как грустный вздох.

Автор: donlegion.com |Відгуки:0 | Перегляди:3052 | 11/02/2012 Безпека бізнесу - Захист комерційної таємниці
Характеристика каналів витоку інформації про підприємство
Основний обсяг інформації комерційної організації циркулює в її організаційних, юридичних і фізичних кордонах. Однак економічна діяльність завжди пов'язана з виходом інформації в зовнішнє середовище. Тому добування інформації про організацію може здійснювати через об'єкти цього середовища з наступних каналів.

Автор: donlegion.com |Відгуки:0 | Перегляди:6639 | 01/09/2011 Безпека бізнесу - Захист комерційної таємниці
Промислове шпигунство. Білі комірці.
Вихід країни на світовий ринок і активний розвиток науки й технологій привели й до революцій у злочинному світі. Тепер уже було недостатньо грубої сили, потрібні були мізки, інтелектуальна перевага над супротивниками. Але ж, як відомо, попит народжує пропозицію.

Автор: donlegion.com |Відгуки:0 | Перегляди:4563 | 07/06/2011 Безпека бізнесу - Захист комерційної таємниці
Защита от инсайдеров
ИНСАЙДЕР (англ, insider, от inside — буквально внутри) — лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации о делах компании. Речь идет о должностных лицах, директорах, основных акционерах корпорации с широким владением акциями и их ближайших родственниках.

Автор: donlegion.com |Відгуки:0 | Перегляди:3659 | 11/02/2012 Безпека бізнесу - Захист комерційної таємниці
замки Купо Монито Орион магнитные видеокамер черно-белая -3 пуль CCM-054 зако? 4.1 плат DVR-16 видеокамера мультиплексо dvr замк? NVC-HC520ZL видеокамер? Купол пульт Монито? NVR 09net видеовво ? Falcon Eye sts sdvr-1601 ВИП-2 «Кристалл-3»
Copyright © «donlegion.com», 2004-2011