Gartner: поставщики не должны влиять на стратегию защиты данных от утечек - SearchInform
Gartner: поставщики не должны влиять на стратегию защиты данных от утечек
30.09.2009
Дело в том, что вендоры зачастую подчеркивают лишь определенные преимущества предлагаемых решений по защите данных, тогда как бизнесу важна целостная картина стратегии. Соответствующие программные продукты отслеживают находящиеся в работе данные, перемещаемые по сети и хранимые на носителях; их задача — блокирование несанкционированного доступа к информации и защита ее от кражи. По прогнозам аналитиков Gartner, в течение ближайших шести лет подобные инструменты войдут в практику большинства европейских компаний. Эксперты советуют вначале определить типы рабочих данных, затем сформировать список возможных действий с ними, выработать политику доступа и только потом начинать переговоры с поставщиками. Для определения типов данных необходимо разнести информацию по категориям, зависящим от ее характера и места хранения. Например, интеллектуальная собственность может быть разбита на чертежи (отдельно представлены файлами CAD, PDF или GIF), документы (разделяемые на структурированные, неструктурированные, маркированные и немаркированные) и персональные данные (распределенные либо по типу — к примеру, кредитные карты и идентификационные номера, либо по применению — скажем, в обработке заказов или онлайновых продажах). Список возможных действий с данными следует построить, исходя из 10–15 предполагаемых ситуаций. Последние могут быть представлены выходом данных за пределы компании; хранением в несанкционированных местах; копированием, печатью, перемещением, сохранением данных; теми бизнес-процессами, которые могут подвергнуть информацию риску. Общее беспокойство для бизнеса вызывают продавцы, ворующие клиентскую информацию, и аутсорсинговая деятельность, включающая использование важной интеллектуальной собственности. Политика доступа к информации должна опираться на набор различных уровней реакции системы безопасности, каждый из которых создает записи в журнале событий использования данных. Несомненно, данные следует автоматически шифровать и перемещать из зоны риска либо требовать от пользователя обоснований для выполнения специфической операции. 1 Источник: Компьюлента
Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.