ИНФОРМАЦИОННО-ЦЕНТРИЧНЫЙ
ПОДХОД К БЕЗОПАСНОСТИ

Подход, соединяющий технологии ИБ со стратегическими целями бизнеса
и определяющий бизнес-ценность данных для выбора
адекватного уровня ИТ-безопасности.

Решения

В основе подхода Perimetrix лежит методология DCSM (Data Centric Security Model) или информационно-центричная модель безопасности, основной фокус которой нацелен на предоставление данным соответствующего уровня безопасности в зависимости от их бизнес-ценности. Такой подход позволяет наладить корректную связь между технической компетентностью ИБ-специалистов и осведомленностью владельцев данных о роли информации в достижении целей бизнеса.

Бизнес-информация классифицируется по уровню ценности, находясь в бизнес-процессе, в котором она обрабатывается. Такая классификация позволит динамически управлять полномочиями как пользователей, так и приложений (процессов), реализующих соответствующий бизнес-процесс.

Внедрение подхода DCSM начинается с формирования набора руководящих принципов корпоративной обработки данных, которые в свою очередь определяют политики безопасности и сервисы ИБ, необходимые для поддержки этих руководящих принципов.

После выявления информационных активов и классификации бизнес-данных становится возможным определение бизнес-ориентированных правил управления данными для каждой категории информации, описывающих как она должна использоваться и какими средствами должна быть защищена.

Эти правила транслируются в настройки ИБ-сервисов и прикладных пользовательских систем, образуя прочную связь между бизнесом и ИТ-технологиями, которые теперь могут быть сфокусировано применены в необходимом контексте.

Реализуя ядро концепции DCSM на практике, отечественный программный комплекс Perimetrix ставит своей целью обеспечить соблюдение устанавливаемых правил работы с данными, ограничивая отступления от этих правил. Подход Perimetrix к задаче сохранения ценности данных основывается на том, что всякие данные, используемые в бизнес-процессах, имеют свой жизненный цикл, то есть перечень операций с ними от создания до утраты полезности. Данные при этом могут становиться ценными и конфиденциальными, и требовать защиты, то есть обеспечения условий для их корректного использования.

Благодаря тому, что Perimetrix SafeSpace предусматривает возможность классификации информационных объектов, нуждающиеся в защите, появляется возможность идентифицировать их в бизнес-процессах и динамически контролировать все действия с ними. Желаемые, допустимые действия с такими данными суммируются в правила или политики, определяющие все аспекты использования защищаемых данных в процессах их создания, обработки, хранения и передачи. Любые действия пользователей и процессов, так или иначе не укладывающиеся в рамки разрешений, блокируются, и, таким образом, защищаемые данные могут существовать и использоваться только в пределах четко определенного периметра.

Классификационные метки на объектах определяют права пользователей и процессов по отношению к ним, эти метки неотделимы и неотрывно наследуются на дочерние объекты.

Этот подход принципиально отличается от «классического» DLP при котором происходят вероятностные попытки выявить в информационном потоке информацию, схожую с ценной, и на излете предотвратить, а чаще просто зарегистрировать утечку.

Режим конфиденциальности в электронной среде

Бизнес-сценарии, требующие защиты, всё чаще реализуются в виде потоков цифровых данных, создаваемых и обрабатываемых в электронной среде компании. В этой связи тщательно налаженные меры, обеспечивающие режим конфиденциальности в отношении материальных объектов и бумажных документов, теряют свою эффективность, поскольку организованный без учета цифровизации режим безопасности конфиденциальных данных вынужден избирательно игнорировать развивающуюся инфраструктуру и информационные потоки информации, тормозить и блокировать их. Подход Perimetrix к управлению данными ограниченного доступа позволяет сохранить установленный в отношении бумажных документов режим и транслировать разработанные принципы и политики безопасности в электронную среду компании.

Защита интеллектуальной собственности

Для предприятий, выпускающих собственную продукцию в высоко конкурентном окружении, создание дополнительной стоимости начинается в момент разработки своих уникальных изделий, и неспособность сохранить создаваемую интеллектуальную собственность наносит ощутимый удар по эффективности всей компании. Предприятие несет потери из-за контрафакта, теряет клиентов из-за того, что создаваемые ноу-хау используются небольшими фирмами, получающими доступ к разработкам без оплаты роялти владельцу интеллектуальной собственности. Руководство требует надежно защитить новую техническую документацию и работу высокооплачиваемых специалистов. При помощи Perimetrix уникальные расчеты, чертежи и рабочие документы, создаваемые на рабочих местах конструкторов, проектировщиков и дизайнеров, могут быть ограничены в распространении рамками предприятия.

Защита конфиденциального документооборота

Автоматизация бизнес-процессов и цикла документооборота в компании остро ставит вопрос о защите конфиденциальных документов, включенных в общие информационные потоки организации. Функционал электронных систем публичного электронного документооборота порой не достаточен для реализации принятых в компании политик безопасности, что вынуждает реализовывать громоздкие и снижающие эффективность меры. Зачастую топ-менеджеры вынуждены организовывать конфиденциальный документооборот, избегая использования инструментов и процедур, принятых в организации. При помощи Perimetrix руководители получат возможность защищать ценные для них данные с момента их создания и полноценно включить их в системы коллективного документооборота, сохраняя их конфиденциальность.

Соблюдение требований регуляторов

Одним из реальных маркеров эффективности и грамотности организации бизнес-процессов в компании все чаще указывается комплаенс, следование рекомендациям и требованиям регуляторов, чья законодательная и нормотворческая активность всё точнее и жестче регламентирует выбор мер и технически средств по защите информации.

Выполнение этих требований в организации, находящейся под пристальным контролем проверяющих органов, зачастую встает настолько остро, что может оттеснить на второй план выбор эффективных и нужных для самого бизнеса инструментов. Специалисты PERIMETRIX обладают высокими современными компетенциями в сфере актуальных подходов к формированию отраслевых стандартов информационной безопасности, и реализуют в системе Perimetrix SafeSpace востребованные возможности для ее эффективного применения к задачам защиты цифровых активов в соответствии с требованиями регуляторов.

При внедрении комплекса наши заказчики выполняют требования в части статей следующих российских нормативно-правовых актов:

  • №149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • №98-ФЗ «О коммерческой тайне»
  • №152-ФЗ «О персональных данных»
  • №187-ФЗ «О безопасности критической информационной инфраструктуры РФ»
  • Постановление №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Приказ ФСТЭК № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, Приказ ФСТЭК № 17
  • Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, Приказ ФСТЭК №31
  • Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ, Приказ ФСТЭК №239
  • И других отраслевых стандартов и требований законодательства.

СТАТЬ ПАРТНЕРОМ

Начните взаимовыгодное сотрудничество, решая задачи ваших заказчиков

ЗАПРОСИТЬ ИНФОРМАЦИЮ

Задайте свой вопрос специалисту прямо сейчас

ПОПРОБОВАТЬ PERIMETRIX

Закажите демо-стенд или консультацию специалиста

Войти