В последнее время развитие информационных технологий привело к тому, что появилась масса возможностей по совершению противоправных действий в сфере ИТ. Новые технологии позволяют получать конфиденциальную информацию на значительном расстоянии, в том числе находясь на территории другого государства.
Среди последних инцидентов можно отметить успешную атаку китайских хакеров на министерство обороны Индии, после чего злоумышленники в течение восьми месяцев получали конфиденциальные данные. В частности, была украдена информация о российско-индийских военных контрактах.
Очевидно, что задачу противодействия хищению конфиденциальной информации необходимо решать комплексно. Для защиты данных, кроме использования технических средств защиты, организация должна поддерживать в актуальном состоянии документацию, регламентирующую требования, порядки и процедуры по управлению и обеспечению информационной безопасности. В организации также должен быть налажен эффективный контроль защиты конфиденциальных данных.
Российский системный интегратор ЗАО «ЕВРААС.ИТ» предлагает рассмотреть один из вариантов решения этих задач – систему управления защитой от утечки данных «БАЗИС-Защита».
Решение представляет собой интегрированный комплекс следующих программных средств, обеспечивающих защиту электронных документов, а также осуществляющих контроль и оценку эффективности проводимых мероприятий (рис. 1):
• Портал управления системой защиты, состоящий из модулей:
– документационного обеспечения защиты данных;
– управления информационными рисками;
– управления защитой данных электронных документов.
• Программный комплекс управления правами доступа к данным – Oracle Information Rights Management (Oracle IRM).
• Адаптеры IRM к защищаемым прикладным информационным системам, обеспечивающие автоматическую защиту создаваемых в системе электронных документов в соответствии с установленной политикой безопасности.
Внедрение системы «БАЗИС-Защита» позволяет не только эффективно противодействовать угрозам информационной безопасности, но и обеспечить защиту от недобросовестной конкуренции. Это реализуется за счёт централизованного ограничения прав доступа к конфиденциальной информации, в том числе переданной в другие организации. Также есть возможность задавать период действия разрешения на доступ к конфиденциальной информации. Такие возможности позволяют всесторонне контролировать доступ к данным электронных документов правообладателя, в том числе находящихся за пределами организации, и исключить их несанкционированное использование независимо от реализованных у контрагента мер защиты.
С целью дальнейшего совершенствования системы менеджмента информационной безопасности портал управления, входящий в состав «БАЗИС-Защиты», может быть расширен дополнительными модулями до Портала СМИБ «БАЗИС», обеспечивающего соответствие требованиям международных стандартов ISO/IEC 27001/27005 и BS 25999/25777.