Защита от инсайдеров. Внутренние угрозы: новый вызов корпоративным службам ИБ Технологии защиты от внутренних угроз

Вид информации

Расположение

Производственная

Планы производства, интеллектуальная собственность, описание технологий, внутренние разработки

Файловые серверы, СУБД

Конфиденциальная

Инфраструктурная

Карты IT- инфраструктуры, IT- системы, логины

Локально

Чувствительная

Финансовая

Бухгалтерская информация, финансовые планы, отчеты, балансы

База 1С либо другая среда работы финансового департамента

Конфиденциальная

Кадровая

Личные карточки персонала

Локально, файловый сервер

Чувствительная

Файлы и документы для внутреннего обмена

Персональная

Внутрикорпоративная

Отчеты собраний, приказы, распоряжения, статьи

Файловый сервер

Общедоступная

Развлекательная

Фотографии, видеоролики, фильмы, аудиокниги

Расширенные папки либо выделенный файловый сервер

Для эффективной защиты от инсайдеров в первую очередь необходимо обеспечить контроль над всеми коммуникационными каналами - от обычного офисного принтера до обычной флешки и фотокамеры мобильника.

Методы защиты от инсайдеров:

• * аппаратная аутентификация сотрудников (например, с помощью USB-ключа или смарт-карты);
• * аудит всех действий всех пользователей (включая администраторов) в сети;
• * использование мощных программно-аппаратных средств защиты конфиденциальной информации от инсайдеров;
• * обучение сотрудников, отвечающих за информационную безопасность;
• * повышение личной ответственности сотрудников;
• * постоянная работа с персоналом, имеющим доступ к конфиденциальной информации (инструктаж, обучение, проверка знаний правил и обязанностей по соблюдению информационной безопасности и т.д.);
• * соответствие уровня зарплаты уровню конфиденциальности информации (в разумных пределах!);
• * шифрование конфиденциальных данных;
• * Но самое главное, конечно, человеческий фактор: хотя человек - самое слабое звено в системе безопасности, но и самое важное! Борьба с инсайдерами не должна превращаться в тотальную слежку всех за всеми. В компании должен быть здоровый моральный климат, способствующий соблюдению корпоративного кодекса чести!

По итогам ежегодного опроса Института компьютерной безопасности (CSI, Computer Security Institute), в 2007 г. специалисты по безопасности выделили три основные проблемы, с которыми им пришлось сталкиваться в течение года: 59% признали угрозой № 1 инсайдеров, 52% - вирусы и 50% - потерю мобильного носителя (ноутбука, флэш-накопителя). Итак, проблема внутренних нарушителей в Америке впервые начала превалировать над проблемой вирусов. К сожалению, подобной информацией по России мы не располагаем, однако есть основания утверждать, что ситуация в нашей стране, как минимум, схожа. Так, в ходе круглого стола по проблеме утечки информации вследствие действий инсайдеров, проходившего в октябре на ежегодной конференции Aladdin, прозвучали результаты опроса системных администраторов государственных учреждений, как известно, имеющих невысокий уровень дохода. На вопрос, за какую сумму у них можно получить конфиденциальные данные, только 10% опрошенных ответили, что никогда не пойдут на такое должностное преступление, около половины опрошенных готовы рискнуть за большие деньги, а примерно 40% готовы пойти на это за любое вознаграждение. Как говорится, комментарии излишни. Основная сложность организации защиты от инсайдера заключается в том, что он законный пользователь системы и по долгу службы имеет доступ к конфиденциальной информации. То, как сотрудник распоряжается этим доступом в рамках служебных полномочий или за их пределами, отследить весьма сложно. Рассмотрим основные задачи борьбы с внутренними нарушителями (см. таблицу).

По данным различных аналитических компаний утечка информации очень часто происходит не за счет ее хищения извне, а за счет передачи конфиденциальной информации собственными сотрудникам представителям организаций-конкурентов. Сегодня существует множество различных устройств, на которые могут быть скопированы любые документы, хранящиеся в локальной сети организации.

По данным различных аналитических компаний утечка информации очень часто происходит не за счет ее хищения извне, а за счет передачи конфиденциальной информации собственными сотрудникам представителям организаций-конкурентов. Сегодня существует множество различных устройств, на которые могут быть скопированы любые документы, хранящиеся в локальной сети организации. И это не только внешние USB-носители или CD/DVD-диски. Копировать информацию можно и на mp3-плееры, сотовые телефоны, которые напрямую к компьютеру могут и не подключаться, на внешнее оборудование, которое может подключаться к локальной сети через Wi-Fi и иными способами. Кроме того - это и отправка по электронной почте, средствами программ для обмена мгновенными сообщениями, через форумы, блоги, чаты. Вариантов много, можно ли защититься от них?

Для защиты данных от инсайдеров применяют различные методы, в число которых входит и использование специальных программ, предназначенных для контроля за использованием периферийных устройств. В этой статье мы рассмотрим несколько программ, как зарубежных производителей, так и отечественных, и постараемся определить, где и когда их следует применять.

Программа предназначена для ограничения доступа к различным периферийным устройствам, с возможностью создания "белых" списков, ведению мониторинга работы пользователей, теневому копированию файлов, копируемых на или с контролируемых устройств. Имеется возможность как централизованной установки драйверов слежения, так и их локальной установки.

Установка программы может осуществляться как централизованно, так и локально, если доступ к защищаемому компьютеру через сеть ограничен или невозможен. В единый дистрибутив входит несколько модулей: серверный, устанавливается на сервере офисной локальной сети разрешает/запрещает те или иные действия, сохраняет информацию в базу данных; клиентский, реализованный в виде драйвера слежения; администраторский и база данных, в качестве которой используется SQLite.

Драйвера слежения обеспечивают контроль различных портов, включая USB , CIM, LPT, WiFi, ИК и другие. В зависимости от типа порта можно запрещать доступ полностью, разрешать чтение или открывать полный доступ к устройству. Распределение доступа по времени отсутствует. Также замечено, что при разрешении доступа только на чтение к устройствам типа USB-флешек, возможность редактирования обычных текстовых файлов на этих устройствах с возможностью их сохранения на этом же носителе остается.

Показывает USB-устройства, подключенные к компьютерам, и ведет журнал действий пользователей с внешними накопителями информации. Информация о времени подключения/отключения устройств и о том, какие файлы и когда были прочитаны или записаны, сохраняется в базу данных. Реализовано теневое копирование файлов, которые читались или записывались на USB-устройства. Теневого копирования файлов, отправляемых на печать или иные устройства, нет, ведется лишь их журналирование.

Существует понятие "белого списка", в который заносятся USB-устройства, доступ к которым должен быть открыт всегда и на всех компьютерах (например, USB-ключи). Этот список единый для всех компьютеров, индивидуальных списков для отдельных пользователей не имеется.

обеспечивает настройку доступа к различным внешним устройствам, но не выделяет при этом из общего списка USB-устройств принтеры, подключаемые к этим портам. В то же время она различает сменные носители и может устанавливать для них различные виды доступа. Сменные носители автоматически заносятся в базу устройств (программа занесет в базу все USB-носители, когда-либо подключавшиеся к конкретному компьютеру), что позволяет применять назначенные для них права доступа для любых защищаемых с помощью программы компьютеров.

В ней имеется возможность использовать централизованную установку клиентских частей с помощью групповой политики Active Directory. При этом сохраняется возможность их установки локально и через панель администратора программы. Разграничение прав доступа осуществляется на основе политик контроля доступа, однако, допускается создание нескольких политик, которые могут применяться индивидуально для различных компьютеров. Кроме функции контроля доступа, позволяет осуществлять протоколирование использования устройств на локальном компьютере.

Программа поддерживает функцию теневого копирования – возможность сохранять точную копию файлов, копируемых пользователем на внешние устройства хранения информации. Точные копии всех файлов сохраняются в специальном хранилище и позже могут быть проанализированы с помощью встроенной системы анализа. Теневое копирование может быть задано для отдельных пользователей и групп пользователей. При включении функции "вести только лог" при копировании файлов будет сохраняться только информация о них (без сохранения точной копии файла).

В программе отсутствует понятие "белого списка" устройств. Вместо него в общей политике можно указать съемный носитель и разрешить к нему доступ с любого компьютера. Заметим, что в ней нет возможности применить такие же настройки к отдельным CD/DVD-дискам.

Программа компании GFI существенно превосходит по своим возможностям и , и – в ней, например, гораздо больше контролируемых устройств, чем у предыдущих программ (медиаплееры iPod, Creative Zen, мобильные телефоны, цифровые камеры, средства архивирования на магнитных лентах и Zip-дисках, Web-камеры, сканеры).

В программе предусмотрены три типовые настройки прав доступа – для серверов, рабочих станций и переносных компьютеров. В дополнение к блокированию устройств , в программе есть возможность блокирования доступа к файлам в зависимости от их типа. Например, можно открыть доступ на чтение к файлам документов, но запретить доступ к исполняемым файлам. Также имеется возможность блокирования доступа к устройствам не только по их типу, но и по физическому порту, к которому подключаются внешние устройства. Еще одна настройка прав доступа ведется по уникальным идентификаторам устройств.

Администратор программы может вести два типа списков устройств – тех, доступ к которым разрешен по умолчанию ("белый список"), и тех, доступ к которым запрещен ("черный список"). ИТ-специалист может давать временные разрешения на доступ к устройствам или группам устройств на отдельно взятом компьютере (реализуется за счет генерации специального кода, который может передаваться пользователю даже в том случае, если его компьютер отключен от сети и агент программы не имеет возможности подключиться к серверу).

В программе реализована поддержка новой функции шифрования, применяемой в системе Windows 7, которая называется BitLocker To Go. Эта функция используется для защиты и шифрования данных на съемных устройства. GFI EndPointSecurity может распознавать такие устройства и обеспечивать доступ к сохраненным на них файлам в зависимости от их типов.

Предоставляет администратору мощную систему отчетов. Подсистема статистики (GFI EndPointSecurity ReportPack) показывает (в текстовом и графическом виде) ежедневную сводку использования устройств как для выбранных компьютеров, так и для всех компьютеров в целом. Также можно получить статистические данные по активности пользователей в разрезе дня, недели, месяца с разбивкой по использованным приложениям, устройствам, путям доступа к файлам.

Одна из наиболее распространенных сегодня в России программ защиты информации от инсайдеров. издается в России под маркой «1С:Дистрибьюция»

Программа обеспечивает контроль не только устройств, работающих под управлением Windows Mobile, но и устройств, работающих под операционными системами iPhone OS и Palm OS. При этом обеспечивается и теневое копирование всех переписываемых файлов и данных вне зависимости от того, по какому порту эти устройства подключаются к контролируемой сети. Теневое копирование можно настроить не только по устройствам, но и по типам файлов, при этом тип будет определяться не на основе расширений, а на основе их содержания.

Предусмотрена возможность установки доступа "только чтение" для сменных носителей, включая ленточные накопители. Как дополнительная опция – защита носителей от случайного или преднамеренного форматирования. Так же можно вести протокол всех действий пользователей как с устройствами, так и с файлами (не только копирование или чтение, но и удаление, переименование и так далее).

Для уменьшения нагрузки на сеть при передаче данных, получаемых от агентов, и файлов теневого копирования, может использоваться потоковое сжатие. Данные теневого копирования в больших сетях могут сохраняться на нескольких серверах. Программа автоматически выбирает оптимальный сервер, учитывая пропускную способность сети и загрузку серверов.

Во многих организациях для защиты данных используются диски, защищаемые специальными программами шифрования - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt и TrueCrypt. Для таких дисков программа может устанавливать специальные "политики шифрования", что позволяет разрешить запись только зашифрованных данных на съемные устройства. Поддерживается работа и с флеш-дисками Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающих аппаратное шифрование данных. В ближайшей версии будет поддержана и работа со встроенным в Windows 7 средством шифрования данных на съемных носителях BitLocker To Go.

Теневое копирование предназначено не только для сохранения копий файлов, но и для проведения анализа перемещенной информации. может осуществлять полнотекстовый поиск по содержимому файлов, автоматически распознавая и индексируя документы в различных форматах.

Уже объявлено о выходе новой версии программы, в которой кроме полноценного поиска будет реализована и контентная фильтрация файлов, копируемых на съемные устройства хранения любых типов, а также контроль содержимого объектов данных, передаваемых с компьютера через каналы сетевых коммуникаций, включая приложения электронной почты, интерактивные web-сервисы, социальные сети, форумы и конференции, наиболее популярные службы мгновенных сообщений (Instant Messengers), файловые обмены по протоколу FTP, а также Telnet-сессии

Уникальной в новой версии является технология фильтрации текстовых данных в канале сетевой и локальной печати документов для заданий в форматах PCL и PostScript, что позволяет блокировать или разрешать печать документов в зависимости от их информационного содержания.

Выводы

Две первые из рассмотренных программ могут использоваться для защиты информации от хищений, но возможности их ограничены. Они в различной степени "закрывают" стандартные внешние устройства, но возможности их ограничены – и в части настроек, и в части проведения анализа работы пользователей. Эти программы можно рекомендовать "для пробы", для уяснения самого процесса защиты. Для крупных организаций, где используется разнообразное периферийное оборудование и требуется анализ деятельности пользователей, названные выше программы будут явно недостаточными.

Для них лучше обратить внимание на программы - и . Это профессиональные решения, которые могут применяться в компаниях как с малым, так и с большим количеством компьютеров. Обе программы обеспечивают контроль различных периферийных устройств и портов, имеют мощные системы анализа и формирования отчетов. Но и между ними есть существенные различия, поэтому программу компании GFI в этом случае можно принять за базовую. может контролировать не только устройства и работу с данными, но и использование программного обеспечения. Эта возможность "подтягивает" ее из ниши "Device Control" в сегмент "Content-Aware Endpoint DLP". Новые, заявленные возможности позволяют ей резко оторваться от своих конкурентов за счет появления возможности анализа контента на момент выполнения пользователем различных действий с данными, включая потоковые, а также за счет контроля ряда параметров контекста сетевых коммуникаций, включая адреса электронной почты, IP адреса, идентификаторы пользователей и ресурсов сетевых приложений и т.д. можно у партнеров "1Софт".

Михаил Абрамзон

Все права защищены. По вопросам использования статьи обращайтесь к администраторам сайта

Последние исследования в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них - намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.

В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB- накопителей. Именно их массовое распространение и привело к расцвету инсайдсрства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.

Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флешки, сотового телефона, трЗ-плссра, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно - банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто нс может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флеш- диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.

Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО - гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.

Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.

Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во- первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что нс только неудобно, но и увеличивает риски возникновения ошибок.

Защита информации от инсайдеров с помощью программных средств

Alexander Antipov

Надеюсь, что сама статья и особенно ее обсуждение помогут выявить различные нюансы применения программных средств и станут отправной точкой в разработке решения описанной задачи, для специалистов по ИБ.

nahna

Маркетинговое подразделение компании Инфовотч, уже в течении продолжительного времени убеждает всех заинтересованных лиц - ИТ-специалистов, а также наиболее продвинутых в области ИТ руководителей, что большая часть ущерба от нарушения ИБ компании приходится на инсайдеров - сотрудников разглашающих коммерческую тайну. Цель понятна - надо создавать спрос на выпускаемый продукт. Да и доводы выглядят вполне солидно и убедительно.

Постановка задачи

1. БД 1С - доступ по сети через RDP (терминальный доступ);
2. расшаренные папки на файловых серверах - доступ по сети;
3. локально на ПК сотрудника;

Что есть на рынке

1. Системы на основе контекстных анализаторов - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Дозор Джет и т.п.
2. Системы на основе статической блокировки устройств - DeviceLock, ZLock, InfoWatch Net Monitor.
3. Системы на основе динамической блокировки устройств - SecrecyKeeper, Страж, Аккорд, SecretNet.

Системы на основе контекстных анализаторов

Максимальными возможностями среди перечисленных продуктов, на мой взгляд, обладает InfoWatch Traffic Monitor (www.infowatch.ru). За основу взят неплохо себя зарекомендовавший движок Касперский Антиспам, наиболее полно учитывающий особенности русского языка. В отличии от остальных продуктов, InfoWatch Traffic Monitor, при анализе учитывает не только наличие определенных строк в проверяемых данных, но и заранее заданный вес каждой строки. Таким образом при принятии окончательного решения, учитывается не только вхождение определенных слов, но и то, в каких сочетаниях они встречаются, что позволяет повысить гибкость анализатора. Остальные возможности стандартны для такого рода продуктов - анализ архивов, документов MS Office, возможность блокировки передачи файлов неизвестного формата или запароленных архивов.

Недостатки рассмотренных системы на основе контекстного анализа:

• Контролируются только два протокола - HTTP и SMTP (для InfoWatch Traffic Monitor, причем для HTTP трафика проверяются только данные передаваемые с помощью POST-запросов, что позволяет организовать канал утечки с помощью передачи данных методом GET);
• Не контролируются устройства переноса данных - дискеты, CD, DVD, USB-диски и т.п. (У Инфовотч на этот случай есть продукт InfoWatch Net Monitor).
• для обхода систем построенных на основе контентного анализа, достаточно применить простейшую кодировка текста (например: секрет -> с1е1к1р1е1т), либо стеганографию;
• следующая задача не решается методом контентного анализа - подходящего формального описания в голову не приходит, поэтому просто приведу пример: есть два екселевских файла - в первом розничные цены (публичная информация), во втором - оптовые для определенного клиента (закрытая информация), содержимое файлов различается только цифрами. С помощью контентного анализа эти файлы различить нельзя.

Системы на основе статической блокировки устройств

Zlock (www.securit.ru) - продукт появился сравнительно недавно, поэтому имеет минимальный функционал (рюшечки я не считаю), да и отлаженностью он не отличается, например, консоль управления иногда падает при попытке сохранить настройки.

DeviceLock (www.smartline.ru) - продукт более интересный, на рынке достаточно давно, поэтому работает значительно стабильнее и функционал имеет более разнообразный. Например, позволяет выполнять теневое копирование передаваемой информации, что может помочь в расследовании инциндента, но не в его предотвращении. Кроме того, такое расследование скорее всего будет проводится тогда, когда об утечке станет известно, т.е. спустя значительный промежуток времени после того, как она произойдет.

InfoWatch Net Monitor (www.infowatch.ru) состоит из модулей - DeviceMonitor (аналог Zlock), FileMonitor, OfficeMonitor, AdobeMonitor и PrintMonitor. DeviceMonitor является аналогом Zlock, стандартный функционал, без изюма. FileMonitor - контроль обращения к файлам. OfficeMonitor и AdobeMonitor позволяют контролировать работу с файлами в соответствующих приложениях. Придумать полезное, а не игрушечное, применение для FileMonitor, OfficeMonitor и AdobeMonitor в настоящее время достаточно затруднительно, но в будующих версиях должна появится возможность контекстного анализа по обрабатываемым данным. Возможно тогда эти модули и раскроют свой потенциал. Хотя стоит заметить, что задача контекстного анализа файловых операций не является тривиальной, особенно если база контентной фильтрации будет таже, что и в Traffic Monitor, т.е. сетевой.

Отдельно необходимо сказать о защите агента от пользователя с правами локального администратора.
В ZLock и InfoWatch Net Monitor такая защита просто отсутствует. Т.е. пользователь может остановить агента, скопировать данные и снова запустить агента.

В DeviceLock такая защита присутствует, что является несомненным плюсом. Она основана на перехвате системных вызовов работы с реестром, файловой системой и управления процессами. Еще одним плюсом является то, что защита работает и в safe-mode. Но есть и минус - для отключения защиты достаточно восстановить Service Descriptor Table, что можно сделать загрузив простенький драйвер.

Недостатки рассмотренных систем на основе статической блокировки устройств:

• Не контролируется передача информации в сеть.
• -Не умеет отличать секретную информацию от не секретной. Работает по принципу либо все можно, либо ничего нельзя.
• Отсутствует либо легко обходится защита от выгрузки агента.

Системы на основе динамической блокировки устройств

Полномочный (принудительный) контроль доступа в отличие от дескриционного (реализованного в системе безопасности Windows NT и выше), заключается в том, что хозяин ресурса (например файла), не может ослабить требования на доступ к этому ресурсу, а может только усиливать их в пределах своего уровня. Ослаблять требования может только пользователь наделенный особыми полномочиями - офицер или администратор информационной безопасности.

Основной целью разработки продуктов типа Страж, Аккорд, SecretNet, DallasLock и еще некоторых, являлась возможность сертификации информационных систем в которых данные продукты будут установлены, на соответствие требованиям Гостехкоммисии (сейчас ФСТЕК). Такая сертификация обязательна для информационных систем в которых обрабатывается гос. тайна, что в основном и обеспечивало спрос на продукты со стороны гос предприятий.

Поэтому, набор функций реализованных в данных продуктах определялся требованиями соответствующих документов. Что в свою очередь повлекло тот факт, что большая часть реализованного в продуктах функционала, либо дублирует штатный функционал Windows (очистка объектов после удаления, очистка ОЗУ), либо его неявно использует (дескрицирнный контроль доступа). А разработчики DallasLock пошли еще дальше, реализовав мандатный контроль доступа своей системы, через механизм дескриционного контроля Windows.

Практическое применение подобных продуктов крайне не удобно, например DallasLock для установки требует переразбивки жесткого диска, которую к тому же надо выполнять с помощью стороннего ПО. Очень часто после прохождения сертификации эти системы удалялись или отключались.

SecrecyKeeper (www.secrecykeeper.com) еще один продукт, реализующий полномочный механизм контроля доступа. По словам разработчиков, разрабатывался SecrecyKeeper именно для решения конкретной задачи - предотвращение кражи информации в коммерческой организации. Поэтому, опять же со слов разработчиков, особое внимание при разработке уделялось простоте и удобству использования, как для администраторов системы так и для простых пользователей. Насколько это удалось - судить потребителю, т.е. нам. Кроме того в SecrecyKeeper реализован ряд механизмов, которые в остальных упомянутых системах отсутствуют - например возможность устанавливать уровень секретности для ресурсов с удаленным доступом и механизм защиты агента.
Контроль перемещения информации в SecrecyKeeper реализован на основе Уровня Секретности Информации, Уровней Допуска Пользователя и Уровня Безопасности Компьютера, которые могут принимать значения public, secret и top secret. Уровень Секретности Информации позволяет классифицировать обрабатываемую в системе информацию по трем категориям:

public - не секретная информация, при работе с ней никаких ограничений нет;

secret - секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя;

top secret - совершенно секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя.

Уровень Секретности Информации может устанавливаться для файла, сетевого диска и порта компьютера на котором запущена какая-то служба.

Уровни Допуска Пользователя позволяют определить, как пользователь может перемещать информацию, в зависимости от ее Уровня Секретности. Существуют следующие Уровни Допуска Пользователя:

Уровень Допуска Пользователя - ограничивает максимальный Уровень Секретности Информации к которой, может получить доступ сотрудник;

Уровень Допуска к Сети - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может передавать по сети;

Уровень Допуска к Сменным Носителям - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может копировать на внешние носители.

Уровень Допуска к Принтеру - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может распечатать.

Уровень Безопасности Компьютера - определяет максимальный Уровень Секретности Информации, которая может храниться и обрабатываться на компьютере.

Доступ к информации имеющей уровень секретности public, может быть осуществлен сотрудником с любым уровнем допуска. Такая информация без ограничений может передаваться по сети и копироваться на внешние носители. История работы с информацией имеющей уровень секретности public не отслеживается.

Доступ к информации имеющей уровень секретности secret, могут получить только сотрудники уровень допуска которых равен secret или выше. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен secret и выше. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен secret и выше. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен secret и выше. История работы с информацией имеющей уровень секретности secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.

Доступ к информации имеющей уровень секретности top secret, могут получить только сотрудники уровень допуска которых равен top secret. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен top secret. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен top secret. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен top secret. История работы с информацией имеющей уровень секретности top secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.

Пример: пусть сотрудник имеет Уровень Допуска равный top secret, Уровень Допуска к Сети равный secret, Уровень Допуска к Сменным Носителям равный public и Уровень Допуска к Принтеру равный top secret; в этом случае сотрудник может получить доступ к документу имеющему любой уровень секретности, передать в сеть сотрудник может информацию имеющую уровень секретности не выше чем secret, копировать, например на дискеты, сотрудник может только информацию с уровнем секретности public и распечатывать на принтере сотрудник может любую информацию.

Для управления распространением информации на предприятие каждому компьютеру закрепленному за сотрудником, присваивается Уровень Безопасности Компьютера. Этот уровень ограничивает максимальный Уровень Секретности Информации, к которой любой сотрудник может получить доступ с данного компьютера, вне зависимости от уровней допуска сотрудника. Т.о. если сотрудник имеет Уровень Допуска равным top secret, а компьютер на котором он в данный момент работает имеет Уровень Безопасности равный public, то сотрудник не сможет с этой рабочей станции получить доступ к информации с уровнем секретности выше чем public.

Вооружившись теорией попробуем применить SecrecyKeeper для решения поставленной задачи. Упрощенно описать информацию, обрабатываемую в информационной системе рассматриваемого абстрактного предприятия (см. постановку задачи), можно с помощью следующей таблицы:

Сотрудников предприятия и область их должностных интересов описывается с помощью второй таблицы:

пусть на предприятии используются следующие сервера:
Сервер 1С
Файловый сервер с шарами:
SecretDocs - содержит секретные документы
PublicDocs - содержит общедоступные документы

Замечу, что для организации стандартного разграничения доступа используются штатные возможности операционной системы и прикладного ПО, т.е. для того, чтобы предотвратить доступ например менеджера к персональным данным сотрудников, дополнительных систем защиты вводить не надо. Речь идет именно о противодействии распространению информации, к которой сотрудник имеет законный доступ.

Переходим к непосредственной настройки SecrecyKeeper.
Процесс установки консоли управления и агентов описывать не буду, там все максимально просто - см. документацию к программе.
Настройка системы состоит из выполнения следующих действий.

Шаг 1. Установить агенты на все ПК кроме серверов - это сразу позволяет предотвратить попадание на них информации для которой установлен Уровень Секретности выше чем public.

Шаг 2. Присвоить сотрудникам Уровни Допуска в соответствии со следующей таблицей:

Шаг 3. Присвоить Уровни Безопасности Компьютера следующим образом:

Шаг 4. Настроить Уровни Секретности Информации на серверах:

Шаг 5. Настроить Уровни Секретности Информации на ПК сотрудников для локальных файлов. Это самая трудоемкая часть, так как необходимо четко представлять, кто из сотрудников с какой информацией работает и насколько эта информация является критичной. Если в организации был проведен аудит информационной безопасности, его результаты могут значительно облегчить задачу.

Шаг 6. При необходимости SecrecyKeeper позволяет ограничить список программ разрешенных к запуску пользователям. Этот механизм реализован независимо от Windows Software Restriction Policy и может использоваться если например надо наложить ограничения и на пользователей с правами администратора.

Таким образом с помощью SecrecyKeeper, возможно значительно снизить риск несанкционированного распространения секретной информации - как утечки, так и кражи.

Недостатки:
- трудность с первоначальной настройкой уровней секретности для локальных файлов;

Общий вывод:
максимальные возможности по защите информации от инсайдеров предоставляет ПО обладающее возможностью динамически регулировать доступ к каналам передачи информации, в зависимости от степени секретности информации с которой ведется работа и уровня допуска сотрудника.

Компания - это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат-партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе.

• 2024-03-25 00:25:13
  Просмотр статистики Как узнать число печатных знаков в ворде

  Количество символов в тексте обычно мало кого интересует. Но, случаются ситуации, когда без этой информации не обойтись. Например, если вы готовите материал для публикации, то вас могут ограничить определенным количеством символов. В данной статье...

  Номера
• 2024-03-22 00:25:38
  Навигация в Windows с помощью клавиатуры или как работать без мышки

  На вашем рабочем столе слишком много открытых окон? Хотите быстро перескакивать между ними или, например, развернуть одно и свернуть другое? Или, может, просто хотите сфокусироваться и раскрыть окно на весь экран? Для каждого из этих действий есть...

  Платежи
• 2024-03-10 00:25:38
  Что лучше для майнинга ASIC или ферма?

  На росте курсов криптовалют и все большей их популяризации многие люди хотят начать майнить. Кто-то уже собрал ферму на видеокартах, нашлись те, кто предпочёл фермам майнеры ASIC. Но наверняка остались и те, кто ещё не определился на чем строить...

  Платежи