Защита информации от инсайдеров pdf. Как защититься от инсайда? Системы на основе контекстных анализаторов

На сегодняшний день существует два основных канала утечки конфиденциальной информации: устройства, подключенные к компьютеру (всевозможные съемные накопители, включая «флешки», CD/DVD-диски и пр., принтеры) и интернет (электронная почта, ICQ, социальные сети и т. д.). А поэтому, когда компания «созревает» на внедрение системы защиты от них, желательно подходить к решению данной комплексно. Проблема заключается в том, что для перекрытия разных каналов используются различные подходы. В одном случае наиболее эффективным способом защиты будет контроль над использованием съемных накопителей, а во втором - различные варианты контентной фильтрации, позволяющей заблокировать передачу конфиденциальных данных во внешнюю сеть. А поэтому компаниям для защиты от инсайдеров приходится использовать два продукта, которые в сумме образуют комплексную систему безопасности. Естественно, предпочтительней использовать инструменты одного разработчика. В этом случае облегчается процесс их внедрения, администрирования, а также обучения сотрудников. В качестве примера можно привести продукты компании SecurIT: Zlock и Zgate.

Zlock: защита от утечек через съемные накопители

Программа Zlock появилась на рынке уже достаточно давно. И мы уже . В принципе, повторяться смысла нет. Однако с момента публикации статьи вышла две новых версии Zlock, в которых появился ряд важных функций. Вот о них стоит рассказать, пусть даже и очень кратко.

В первую очередь стоит отметить возможность назначения компьютеру нескольких политик, которые самостоятельно применяются в зависимости от того, подключен ли компьютер к корпоративной сети напрямую, через VPN или же работает автономно. Это позволяет, в частности, автоматически блокировать USB-порты и CD/DVD-приводы при отключении ПК от локальной сети. В целом данная функция увеличивает безопасность информации, размещенной на ноутбуках, которые сотрудники могут выносить из офиса на выезды или для работы дома.

Вторая новая возможность - предоставление работникам компании временного доступа к заблокированным устройствам или даже группам устройств по телефону. Принцип ее работы заключается в обмене генерируемыми программой секретными кодами между пользователем и ответственным за информационную безопасность сотрудником. Примечательно, что разрешение на использование может выдаваться не только постоянное, но и временное (на определенное время или до завершения сеанса работы). Данный инструмент можно считать некоторым послаблением в системе защиты, однако он позволяет повысить оперативность реагирования ИТ-отдела на запросы бизнеса.

Следующим важным нововведением в новых версиях Zlock является контроль над использованием принтеров. После его настройки система защиты будет записывать в специальный журнал все обращения пользователей к печатающим устройствам. Но и это еще не все. В Zlock появилось теневое копирование всех распечатываемых документов. Они записываются в формате PDF и являются полной копией выводимых на печать страниц вне зависимости от того, какой файл был отправлен на принтер. Это позволяет предотвратить утечку конфиденциальной информации на бумажных листах, когда инсайдер распечатывает данные с целью их выноса из офиса. Также в системе защиты появилось теневое копирование информации, записываемой на CD/DVD-диски.

Важным нововведением стало появление серверного компонента Zlock Enterprise Management Server. Он обеспечивает централизованное хранение и распространение политик безопасности и других настроек программы и существенно облегчает администрирование Zlock в крупных и распределенных информационных системах. Также нельзя не упомянуть появление собственной системы аутентификации, которая, при необходимости, позволяет отказаться от использования доменных и локальных пользователей Windows.

Помимо этого, в последней версии Zlock появилось несколько не столь заметных, но тоже достаточно важных функций: контроль целостности клиентского модуля с возможностью блокировки входа пользователя при обнаружении вмешательств, расширенные возможности по внедрении системы защиты, поддержка СУБД Oracle и т. п.

Zgate: защита от утечек через интернет

Итак, Zgate. Как мы уже говорили, этот продукт представляет собой систему защиты от утечки конфиденциальной информации через интернет. Структурно Zgate состоит из трех частей. Основной является серверный компонент, который и осуществляет все операции по обработке данных. Он может инсталлироваться как на отдельный компьютер, так и на уже работающие в корпоративной информационной системе узлы - интернет-шлюз, контроллер домена, почтовый шлюз и т. п. Данный модуль в свою очередь состоит из трех компонентов: для контроля SMTP-трафика, контроля внутренней почты сервера Microsoft Exchange 2007/2010, а также Zgate Web (он отвечает за контроль HTTP-, FTP- и IM-трафика).

Вторая часть системы защиты - сервер журналирования. Он используется для сбора информации о событиях с одного или нескольких серверов Zgate, ее обработки и хранения. Этот модуль особенно полезен в крупных и территориально распределенных корпоративных системах, поскольку обеспечивает централизованный доступ ко всем данным. Третья часть - консоль управления. В ее качестве используется стандартная для продуктов компании SecurIT консоль, а поэтому подробно останавливаться на ней мы не будем. Отметим только, что с помощью данного модуля можно управлять системой не только локально, но и удаленно.

Консоль управления

Система Zgate может работать в нескольких режимах. Причем их доступность зависит от способа внедрения продукта. Первые два режима предполагают работу в качестве почтового прокси-сервера. Для их реализации система инсталлируется между корпоративным почтовым сервером и «внешним миром» (или между почтовым сервером и сервером отправки, если они разделены). В этом случае Zgate может как фильтровать трафик (задерживать нарушающие и сомнительные сообщения), так и только журналировать его (пропускать все сообщения, однако сохранять их в архиве).

Второй способ внедрения предполагает использование системы защиты совместно с Microsoft Exchange 2007 или 2010. Для этого необходимо инсталлировать Zgate непосредственно на корпоративный почтовый сервер. При этом также доступно два режима: фильтрация и журналирование. Помимо этого существует и еще один вариант внедрения. Речь идет о журналировании сообщений в режиме зеркалированного трафика. Естественно, для его использования необходимо обеспечить поступление на компьютер, на котором установлен Zgate, этого самого зеркалированного трафика (обычно это осуществляется средствами сетевого оборудования).

Выбор режима работы Zgate

Отдельного рассказа заслуживает компонент Zgate Web. Он устанавливается непосредственно на корпоративный интернет-шлюз. При этом данная подсистема получает возможность контролировать HTTP-, FTP- и IM-трафик, то есть обрабатывать его в целях обнаружения попыток отправки конфиденциальной информации через почтовые веб-интерфейсы и «аську», публикации ее на форумах, FTP-серверах, в социальных сетях и пр. Кстати, об «аське». Функция блокировки IM-мессенджеров есть во многих подобных продуктах. Однако именно «аськи» в них нет. Просто потому, что именно в русскоязычных странах она получила наибольшее распространение.

Принцип работы компонента Zgate Web достаточно прост. При каждой отправке информации в любом из контролируемых сервисов система будет генерировать специальное сообщение. В нем содержится сама информация и некоторые служебные данные. Оно отправляется на основной сервер Zgate и обрабатывается в соответствии с заданными правилами. Естественно, отправка информации в самом сервисе не блокируется. То есть Zgate Web работает только в режиме журналирования. С его помощью нельзя предотвратить единичные утечки данных, но зато можно быстро их обнаружить и пресечь деятельность вольного или невольного злоумышленника.

Настройка компонента Zgate Web

Способы обработки информации в Zgate и порядок фильтрации задает политикой, которая разрабатывается офицером по безопасности или другим ответственным сотрудником. Она представляет собой ряд условий, каждому из которых соответствует определенное действие. Все входящие сообщения «прогоняются» по ним последовательно друг за другом. И если какое-то из условий выполняется, то запускается ассоциированное с ним действие.

Система фильтрации

Всего в системе предусмотрено 8 типов условий, как говорится, «на все случаи жизни». Первое из них - тип файла вложения. С его помощью можно обнаружить попытки пересылки объектов того или иного формата. Стоит отметить, что анализ ведется не по расширению, а по внутренней структуре файла, причем можно задавать как конкретные типы объектов, так и их группы (например, все архивы, видеозаписи и пр.). Второй тип условий - проверка внешним приложением. В качестве приложения может выступать как обычная программа, запускаемая из командной строки, так и скрипт.

Условия в системе фильтрации

А вот на следующем условии стоит остановиться подробнее. Речь идет о контентном анализе передаваемой информации. В первую очередь необходимо отметить «всеядность» Zgate. Дело в том, что программа «понимает» большое количество различных форматов. А поэтому она может анализировать не только простой текст, но и практически любые вложения. Другой особенностью контентного анализа является его большие возможности. Он может заключаться как в простом поиске вхождения в текст сообщения или любое другое поле определенного слова, так и в полноценном анализе, в том числе и с учетом грамматических словоформ, стемминга и транслита. Но это еще не все. Отдельного упоминания заслуживает система анализа по шаблонам и регулярным выражениям. С ее помощью можно легко обнаружить в сообщениях наличие данных определенного формата, например, серия и номера паспорта, номер телефона, номер договора, номер банковского счета и пр. Это, помимо всего прочего, позволяет усилить защиту персональных данных, находящихся в обработке компании.

Шаблоны для выявления различной конфиденциальной информации

Четвертый тип условий - анализ адресов, указанных в письме. То есть поиск среди них определенные строк. Пятый - анализ зашифрованных файлов. При его выполнении проверяются атрибуты сообщения и/или вложенных объектов. Шестой тип условий заключается в проверке различных параметров писем. Седьмой - анализ по словарю. В ходе него система выявляет наличие в сообщении слов из заранее созданных словарей. Ну и, наконец, последний, восьмой тип условия - составной. Он представляет собой два или больше других условий, объединенных логическими операторами.

Кстати, о словарях, упомянутых нами в описании условий, нужно сказать отдельно. Они представляют собой группы слов, объединенных по одному признаку, и используются в различных методах фильтрации. Логичнее всего создавать словари, которые с большой долей вероятностью позволяют отнести сообщение к той или иной категории. Их содержимое можно вводить вручную или импортировать данные из уже существующих текстовых файлов. Существует и еще один вариант генерации словарей - автоматический. При его использовании администратору достаточно просто указать папку, в которой содержатся подходящие документы. Программа сама проанализирует их, выберет нужные слова и расставит их весовые характеристики. Для качественного составления словарей необходимо указывать не только конфиденциальные файлы, но и объекты, не содержащие закрытую информацию. В общем, процесс автоматической генерации больше всего похож на обучение антиспама на рекламных и обычных письмах. И это неудивительно, ибо и там, и там используются схожие технологии.

Пример словаря на финансовую тему

Говоря о словарях, нельзя также не упомянуть об еще одной технологии обнаружения конфиденциальных данных, реализованной в Zgate. Речь идет о цифровых отпечатках. Суть данного метода заключается в следующем. Администратор может указать системе папки, в которых содержатся конфиденциальные данные. Программа проанализирует все документы в них и создаст «цифровые отпечатки» - наборы данных, которые позволяют определить попытку передачи не только всего содержимого файла, но и отдельных его частей. Обратите внимание, что система автоматически отслеживает состояние указанных ей папок и самостоятельно создает «отпечатки» для всех вновь появившихся в них объектов.

Создание категории с цифровыми отпечатками файлов

Ну а теперь осталось только разобраться с действиями, реализованными в рассматриваемой системе защиты. Всего их реализовано в Zgate аж 14 штук. Впрочем, большая часть определяет те действия, которые совершаются с сообщением. К ним относится, в частности, удаление без отправки (то есть, фактически, блокировка передачи письма), помещение в архив, добавление или удаление вложений, изменения различных полей, вставка текста и пр. Среди них особо стоит отметить помещение письма в карантин. Данное действие позволяет «отложить» сообщение для ручной проверки офицером безопасности, который и будет принимать решение о его дальнейшей судьбе. Также весьма интересно действие, позволяющее заблокировать IM-соединение. Его можно использовать для моментальной блокировки канала, по которому было передано сообщение с конфиденциальной информацией.

Несколько особняком стоят два действия - обработка методом Байеса и обработка методом отпечатков. Оба они предназначены для проверки сообщений на предмет нахождения в них конфиденциальной информации. Только в первом используются словари и статистический анализ, а во втором - цифровые отпечатки. Эти действия могут выполняться при выполнении определенного условия, например, если адрес получателя находится не в корпоративном домене. Кроме того, их (впрочем, как и любые другие) можно выставить для безусловного применения ко всем исходящим сообщениям. В этом случае система будет анализировать письма и относить их к тем или иным категориям (если, конечно, это возможно). А вот по этим категориям уже можно делать условия с выполнением определенных действий.

Действия в системе Zgate

Ну и в завершение нашего сегодняшнего разговора о Zgate можно подвести небольшой итог. Данная система защиты основана в первую очередь на контентном анализе сообщений. Такой подход является наиболее распространенным для защиты от утечки конфиденциальной информации через Интернет. Естественно, контентный анализ не дает стопроцентной степени защиты и носит скорее вероятностный характер. Тем не менее, его использование позволяет предотвратить большую часть случаев несанкционированной передачи секретных данных. Применять ее компаниям или нет? Это каждый должен решить сам для себя, оценив затраты на внедрение и возможные проблемы в случае утечки информации. Стоит отметить, что Zgate отлично справляется с «отловом» регулярных выражений, что делает его весьма эффективным средством защиты персональных данных, находящихся в обработке у компании.

"Консультант", 2011, N 9

"Кто владеет информацией, тот владеет миром" - этот знаменитый афоризм Уинстона Черчилля как никогда актуален именно в современном обществе. Знания, идеи и технологии выходят на первый план, и лидерство на рынке зависит от того, насколько успешно компания может управлять своим интеллектуальным капиталом.

В этих условиях особое значение приобретает информационная безопасность организации.

Любая утечка информации к конкурентам или обнародование сведений о внутренних процессах мгновенно сказываются на тех позициях, которые компания занимает на рынке.

Система информационной безопасности должна предусматривать защиту от самых разных угроз: технических, организационных и тех, причиной которых является человеческий фактор.

Как показывает практика, основным каналом утечки информации являются инсайдеры.

Враг в тылу

Обычно инсайдером принято называть сотрудника компании, который приносит ей ущерб путем разглашения конфиденциальной информации.

Однако если мы рассмотрим три главных условия, обеспечение которых и является целью информационной безопасности, - конфиденциальность, целостность, доступность, - это определение можно расширить.

Инсайдером можно назвать сотрудника, имеющего легитимный служебный доступ к конфиденциальной информации предприятия, который становится причиной разглашения, искажения, порчи или недоступности информации.

Такое обобщение допустимо, потому что в современном мире нарушение целостности и доступности информации зачастую влечет за собой гораздо более тяжелые последствия для бизнеса, чем разглашение конфиденциальных сведений.

Для многих предприятий прекращение бизнес-процессов даже на непродолжительное время грозит ощутимыми финансовыми потерями, а нарушение функционирования в течение нескольких дней может нанести столь сильный удар, что последствия его могут стать фатальными.

Различные организации, изучающие бизнес-риски, регулярно публикуют результаты своих исследований. Согласно им инсайд уже на протяжении многих лет стабильно занимает первое место в списке причин нарушения информационной безопасности.

В связи с устойчивым ростом общего количества инцидентов можно сделать вывод, что актуальность проблемы все время возрастает.

Модель угроз

Для того чтобы выстроить надежную эшелонированную систему информационной безопасности, которая поможет эффективно бороться с проблемой, необходимо в первую очередь создать модель угроз.

Нужно понять, кто такие инсайдеры и что ими движет, почему они совершают те или иные действия.

Существуют разные подходы к созданию таких моделей, однако для практических целей можно воспользоваться следующей классификацией, которая включает в себя все основные типы инсайдеров.

Внутренний "хакер"

Такой сотрудник, как правило, обладает инженерной квалификацией выше среднего уровня, понимает устройство ресурсов предприятия, архитектуру вычислительных комплексов и сетей.

Действия по взлому совершает из любопытства, спортивного интереса, исследуя границы собственных возможностей.

Обычно он осознает возможный вред от своих действий, поэтому редко приносит ощутимый ущерб.

Степень опасности средняя, поскольку его действия могут вызвать временную остановку некоторых происходящих в компании процессов. Выявление деятельности возможно в первую очередь техническими средствами.

Безответственный и низкоквалифицированный сотрудник

Может обладать различными навыками и работать в любом подразделении предприятия.

Опасен потому, что не имеет обыкновения задумываться о последствиях своих действий, может работать с информационными ресурсами компании "методом проб и ошибок", ненамеренно уничтожать и искажать информацию.

Обычно не запоминает последовательности своих действий, а обнаружив негативные последствия, может просто умолчать о них.

Может раскрыть сведения, составляющие коммерческую тайну, в личном разговоре с приятелем или даже при общении на интернет-форумах и в социальных сетях.

Степень опасности очень высокая, особенно с учетом того, что этот тип нарушителя встречается чаще других. Последствия его деятельности могут быть гораздо серьезнее, чем у сознательного злоумышленника.

Для того чтобы предотвратить последствия совершенных им действий, необходимо принять целый спектр различных мер, как технических (авторизация, обязательное разделение рабочих сессий по аккаунтам), так и организационных (постоянный контроль со стороны руководства за процессом и результатом работы).

Психологически неустойчивый человек

Так же как представитель предыдущего типа, может работать на любой должности и обладать весьма разной квалификацией. Опасен по причине склонности к слабомотивированным действиям в условиях психологического дискомфорта: при экстремальных ситуациях, психологическом давлении со стороны других сотрудников или просто сильном раздражении.

В аффективном состоянии может выдать конфиденциальную информацию, повредить данные, нарушить привычный ход работы других людей.

Степень опасности средняя, однако этот тип нарушителя встречается не так часто.

Для предотвращения негативных последствий его поступков эффективнее всего использовать административные меры - выявлять таких людей еще на этапе собеседования, разграничивать доступ к информации и поддерживать комфортный психологический климат в коллективе.

Оскорбленный, обиженный сотрудник

Самая широкая группа потенциальных нарушителей режима информационной безопасности.

Теоретически совершать недружественные по отношению к компании поступки способно абсолютное большинство сотрудников.

Это может произойти в том случае, если руководство проявляет неуважение к личности работника или его профессиональным качествам, и когда это сказывается на уровне оплаты труда.

Потенциально такой тип инсайдеров представляет очень высокую опасность - возможны и утечки, и повреждения информации, причем вред от них будет гарантированно ощутимым для бизнеса, поскольку сотрудник наносит его сознательно и хорошо знает все уязвимые места.

Для выявления деятельности нужны как административные, так и технические меры.

Нечистый на руку сотрудник

Сотрудник, который пытается пополнить свое личное благосостояние за счет имущества компании, в которой он работает. Среди присваиваемых вещей могут оказаться различные носители конфиденциальной информации (жесткие диски, флэш-накопители, корпоративные ноутбуки).

В этом случае есть риск попадания информации к людям, для которых она не предназначалась, с последующей публикацией или передачей конкурентам.

Опасность средняя, но такой тип встречается нередко.

Для выявления нужны в первую очередь административные меры.

Представитель конкурента

Обладает, как правило, высокой квалификацией, занимает должности, обеспечивающие широкие возможности для получения информации, в том числе и конфиденциальной. Это либо завербованный, перекупленный конкурентами действующий сотрудник (чаще), либо специально внедренный в компанию инсайдер.

Степень опасности очень высокая, поскольку вред причиняется сознательно и с глубоким пониманием ценности информации, а также уязвимых мест компании.

Для выявления деятельности нужны и административные, и технические мероприятия.

Что похищаем?

Понимание проблемы инсайда невозможно без рассмотрения характера похищаемой информации.

Согласно статистике персональные данные клиентов, а также сведения о компаниях-клиентах и партнерах - самые востребованные, они похищаются более чем в половине случаев. Далее следуют детали сделок, условия контрактов и поставок. Также большой интерес вызывают финансовые отчеты.

При формировании комплекса защитных мер перед каждой компанией неизбежно возникает вопрос: какая конкретно информация требует специальных защитных мер, а какая в них не нуждается?

Разумеется, основанием для таких решений являются данные, полученные в результате анализа рисков. Однако зачастую предприятие располагает ограниченными финансовыми ресурсами, которые можно потратить на систему информационной безопасности, и их может не хватить на то, чтобы минимизировать все риски.

Два подхода

К сожалению, не существует готового ответа на вопрос: "Что защищать в первую очередь".

К решению этой задачи можно подойти с двух сторон.

Риск - это комплексный показатель, который учитывает как вероятность той или иной угрозы, так и возможный ущерб от нее. Соответственно, при расстановке приоритетов безопасности можно ориентироваться на один из этих показателей. Это значит, что в первую очередь защищается та информация, которую легче всего похитить (например, если к ней имеет доступ большое количество сотрудников), и та, похищение или блокирование которой приведет к наиболее тяжелым последствиям.

Важным аспектом проблемы инсайда является канал передачи информации. Чем больше физических возможностей несанкционированной передачи информации за пределы компании, тем выше вероятность того, что это произойдет.

Механизмы передачи

Механизмы передачи можно классифицировать следующим образом:

устная передача (личный разговор);
технические каналы передачи данных (телефонная связь, факсимильная связь, электронная почта, системы обмена сообщениями, различные социальные интернет-сервисы и т.д.);
переносные носители и мобильные устройства (мобильные телефоны, внешние жесткие диски, ноутбуки, флэш-накопители и т.д.).

Согласно исследованиям в наше время самыми частыми каналами передачи конфиденциальных данных являются (по принципу убывания): электронная почта, мобильные устройства (в том числе ноутбуки), социальные сети и иные интернет-сервисы (такие, как системы мгновенного обмена сообщениями) и прочее.

Для контроля технических каналов могут применяться различные средства, в широком ассортименте представленные сейчас на рынке средств безопасности.

Например , системы контентной фильтрации (системы динамической блокировки), средства ограничения доступа к носителям информации (CD, DVD, Bluetooth).

Также применяются административные меры: фильтрация интернет-трафика, блокировка физических портов рабочих станций, обеспечение административного режима и физической охраны.

При выборе технических средств защиты конфиденциальной информации необходимо применять системный подход. Только таким образом можно добиться наибольшей эффективности от их внедрения.

Нужно также понимать, что задачи, стоящие перед каждой компанией, уникальны, и использовать решения, применяемые другими организациями, зачастую просто невозможно.

Борьба с инсайдом не должна вестись сама по себе, она является важным компонентом общего бизнес-процесса, направленного на обеспечение режима информационной безопасности.

Он должен осуществляться профессионалами и предусматривать полный цикл мероприятий: разработку политики информационной безопасности, определение области действия, анализ рисков, выбор контрмер и их внедрение, а также аудит системы информационной безопасности.

Если предприятие не обеспечивает режим информационной безопасности во всем комплексе, то риски финансовых потерь от утечек и порчи информации резко возрастают.

Минимизация рисков

Проверка

Тщательная проверка соискателей, претендующих на любые должности в компании. Рекомендуется собрать максимум информации о кандидате, включая содержимое его страниц в социальных сетях. Также может помочь обращение за характеристикой на предыдущее место работы.
Особенно тщательной проверке должны подвергаться кандидаты на должности инженеров IT. Практика показывает, что более половины всех инсайдеров - системные администраторы и программисты.
При приеме на работу должна проводиться хотя бы минимальная психологическая проверка кандидатов. Она поможет выявить соискателей с неустойчивой психикой.

Право доступа

Система разделения доступа к корпоративным ресурсам. На предприятии должна быть создана регламентирующая документация, ранжирующая информацию по уровню конфиденциальности и четко прописывающая права доступа к ней. Доступ к любым ресурсам должен быть персонифицированным.
Права доступа к ресурсам должны выделяться по принципу "минимальной достаточности". Доступ к обслуживанию технических средств, даже с правами администратора, не всегда должен сопровождаться доступом к просмотру самой информации.
Насколько возможно глубокий мониторинг действий пользователя, с обязательной авторизацией и записью сведений о произведенных операциях в журнале. Чем тщательнее ведутся журналы (логи), тем в большей мере руководство владеет ситуацией в компании. То же относится и к действиям сотрудника при использовании служебного доступа к Интернету.

Стандарт общения

Внутри организации должен быть принят свой стандарт общения, который исключал бы все формы некорректного поведения сотрудников по отношению друг к другу (агрессия, насилие, излишняя фамильярность). В первую очередь это относится к отношениям "руководитель - подчиненный".

У сотрудника ни при каких условиях не должно появиться ощущение, что с ним поступают несправедливо, его недостаточно ценят, излишне эксплуатируют, обманывают.

Соблюдение этого простого правила позволит избежать абсолютного большинства ситуаций, провоцирующих сотрудников на инсайд.

Конфиденциальность

Соглашение о неразглашении конфиденциальной информации не должно быть простой формальностью. Оно должно быть подписано всеми сотрудниками, имеющими доступ к важным информационным ресурсам компании.

Кроме того, еще на этапе собеседования потенциальным работникам необходимо разъяснить, каким образом в компании ведется контроль за информационной безопасностью.

Контроль средств

Представляет собой контроль технических средств, используемых сотрудником для рабочих целей.

Например , использование личного ноутбука нежелательно, поскольку при увольнении сотрудника скорее всего не удастся узнать, какая информация на нем хранится.

По той же причине нежелательно использование ящиков электронной почты на внешних ресурсах.

Внутренний распорядок

На предприятии должны соблюдаться правила внутреннего распорядка.

Необходимо располагать информацией о времени пребывания сотрудников на рабочем месте.

Также должен быть обеспечен контроль перемещения материальных ценностей.

Соблюдение всех перечисленных правил позволит снизить риск порчи или утечки информации через инсайд, а значит, поможет предотвратить существенные финансовые или репутационные потери.

Управляющий партнер

группы компаний Hosting Community

Стремительное развитие информационных технологий и современных средств коммуникации значительно осложнило контроль над потоками данных. Представить нормальную работу компании без электронной почты, интернет-пейджеров, мобильных устройств и других средств оперативной передачи информации просто невозможно. Бухгалтерские документы, финансовые отчеты, базы данных, договоры с клиентами, планы по развитию и другие конфиденциальные сведения хранятся и обрабатываются в электронном виде, а значит, могут быть частично или полностью скопированы и переданы злоумышленникам.

Идентификация рисков

По данным аналитического центра InfoWatch, в 2007 году в мире было зафиксировано более 500 инсайдерских инцидентов, общий ущерб от которых составил около $58 млрд, что на 30% превышает аналогичный показатель 2006 года. Понятно, что невыявленных случаев утечки информации может быть в разы больше. Если говорить о ситуации в России, то о масштабе проблемы свидетельствует, например, количество нелегального программного обеспечения с всевозможными базами данных по доступным ценам.

Идентификацию информационных рисков можно начать с выяснения вопроса о том, какого рода данные и по каким каналам чаще всего утекают из российских компаний. В ходе исследования «Инсайдерские угрозы 2008», проведенного аналитическим центром Perimetrix, были опрошены представители более 470 отечественных предприятий. По мнению респондентов, чаще всего из компаний похищают персональные данные, включая сведения о клиентах (57%), а также детали конкретных сделок (47%) и финансовые отчеты (38%), далее следуют интеллектуальная собственность (25%) и бизнес-планы (19%) (рис. 1)

Источник: Исследование Perimetrix «Инсайдерские угрозы 2008»

Самым распространенным каналом утечки конфиденциальных данных в том же исследовании были признаны мобильные накопители большой емкости (например, на основе флеш-памяти или магнитных пластин) (рис. 2). Другое исследование инцидентов внутренней информационной безопасности, проведенное аналитическим центром InfoWatch, также показало, что в 2007 году наибольшее количество утечек информации произошло через мобильные устройства (ноутбуки, КПК, USB-флешки, CD- и DVD-диски и др.).

Вторым по популярности способом передачи секретных сведений оказалась корпоративная электронная почта, доступ к которой сегодня имеет практически каждый офисный сотрудник. Дело в том, что далеко не все фирмы фильтруют почтовый трафик на предмет конфиденциальных данных, к тому же методы контентной фильтрации могут иметь низкую эффективность. Примерно в два раза реже, чем рабочую электронную почту, инсайдеры используют вeб-почту (mail.ru, yandex.ru и т.п.) и интернет-пейджеры. Это может объясняться ограничениями на доступ в интернет, которые действуют во многих организациях.

Источник: исследование Perimetrix «Инсайдерские угрозы 2008»

Однако корыстные инсайдеры - лишь одна из категорий недобросовестных работников, представляющих угрозу внутренней информационной безопасности компании. Как показывают исследования, значительно больше утечек происходит по вине неосмотрительных сотрудников, которые пренебрегают элементарными средствами защиты информации (CCleaner) или нарушают должностные инструкции по работе с конфиденциальными данными. В качестве примера можно привести случаи потери USB-накопителей или ноутбуков с незашифрованными данными либо ситуации, когда сотрудники без собственного корыстного умысла оказываются поставщиками ценной информации для злоумышленников, вводящих их в заблуждение.

Таким образом, результаты исследований позволяют выделить несколько проблемных областей, с которыми связаны основные угрозы внутренней информационной безопасности для большинства российских компаний:

отсутствие контроля над копированием конфиденциальных документов на сменные носители или внешние устройства, подключаемые через различные порты и беспроводные сети;
отсутствие протоколирования операций с конфиденциальными документами, хранящимися в электронном виде;
отсутствие контроля над распечаткой конфиденциальных документов;
отсутствие контроля над конфиденциальными документами, выносимыми за пределы компании на ноутбуках сотрудников.

Понятно, что минимизировать риски в перечисленных областях с помощью систем защиты информации, которые сегодня используются в большинстве российских компаний, практически невозможно. Антивирусы, межсетевые экраны, контроль доступа и системы обнаружения/предотвращения вторжений (IDS/IPS), составляющие основу информационной безопасности многих отечественных предприятий, ориентированы, в основном, на защиту от внешних угроз и малоприменимы для борьбы с инсайдерами.

Для предотвращения утечек конфиденциальной информации, связанных с действиями самих сотрудников, необходимы комплексные меры, направленные на построение системы управления внутренней информационной безопасностью и внедрение режима коммерческой тайны.

Обеспечение внутренней информационной безопасности

Внедрение системы внутренней информационной безопасности на предприятии - процесс длительный и весьма затратный, поэтому его рекомендуется разделить на несколько последовательно реализуемых этапов. В первую очередь необходимо провести классификацию всей внутренней информации с разделением на категории по уровню конфиденциальности. Данные, с которыми работают сотрудники, можно разделить на общедоступные (без ограничений в доступе), чувствительные (ограниченный доступ), персональные и конфиденциальные (специальный допуск для использования).

На следующем этапе необходимо определить, где хранится и как обрабатывается информация различных категорий доступа, а также кто отвечает за ее сохранность. Для каждой категории информации потребуется прописать процедуры обращения с ней: как копировать, хранить, передавать и уничтожать. С этой целью проводится инвентаризация ресурсов, используемых в работе с информацией. Некоторые специалисты предлагают выделять в ходе подобного аудита информационные, программные и физические ресурсы. К информационным ресурсам, содержащим конфиденциальные сведения, могут относиться файлы, базы данных, документация руководства и т.п. Программные ресурсы, обрабатывающие конфиденциальную информацию, включают прикладные программы, СУБД (MS SQL, Oracle), средства управления документами, а также почтовые системы и proxy-серверы, через которые проходит и кэшируется информация. К физическим ресурсам, в которых обрабатывается конфиденциальная информация, относятся серверы, рабочие станции, съемные носители, ноутбуки, коммуникационное оборудование и т.п. Пример инвентаризации информационных ресурсов представлен в табл. 1.

Таблица 1. Пример инвентаризации информационных ресурсов

Вид информации

Расположение

Производственная

Планы производства, интеллектуальная собственность, описание технологий, внутренние разработки

Файловые серверы, СУБД

Конфиденциальная

Инфраструктурная

Карты IT- инфраструктуры, IT- системы, логины

Локально

Чувствительная

Финансовая

Бухгалтерская информация, финансовые планы, отчеты, балансы

База 1С либо другая среда работы финансового департамента

Конфиденциальная

Кадровая

Личные карточки персонала

Локально, файловый сервер

Чувствительная

Файлы и документы для внутреннего обмена

Персональная

Внутрикорпоративная

Отчеты собраний, приказы, распоряжения, статьи

Файловый сервер

Общедоступная

Развлекательная

Фотографии, видеоролики, фильмы, аудиокниги

Расширенные папки либо выделенный файловый сервер

По данным различных аналитических компаний утечка информации очень часто происходит не за счет ее хищения извне, а за счет передачи конфиденциальной информации собственными сотрудникам представителям организаций-конкурентов. Сегодня существует множество различных устройств, на которые могут быть скопированы любые документы, хранящиеся в локальной сети организации. И это не только внешние USB-носители или CD/DVD-диски. Копировать информацию можно и на mp3-плееры, сотовые телефоны, которые напрямую к компьютеру могут и не подключаться, на внешнее оборудование, которое может подключаться к локальной сети через Wi-Fi и иными способами. Кроме того - это и отправка по электронной почте, средствами программ для обмена мгновенными сообщениями, через форумы, блоги, чаты. Вариантов много, можно ли защититься от них?

Для защиты данных от инсайдеров применяют различные методы, в число которых входит и использование специальных программ, предназначенных для контроля за использованием периферийных устройств. В этой статье мы рассмотрим несколько программ, как зарубежных производителей, так и отечественных, и постараемся определить, где и когда их следует применять.

Программа предназначена для ограничения доступа к различным периферийным устройствам, с возможностью создания "белых" списков, ведению мониторинга работы пользователей, теневому копированию файлов, копируемых на или с контролируемых устройств. Имеется возможность как централизованной установки драйверов слежения, так и их локальной установки.

Установка программы может осуществляться как централизованно, так и локально, если доступ к защищаемому компьютеру через сеть ограничен или невозможен. В единый дистрибутив входит несколько модулей: серверный, устанавливается на сервере офисной локальной сети разрешает/запрещает те или иные действия, сохраняет информацию в базу данных; клиентский, реализованный в виде драйвера слежения; администраторский и база данных, в качестве которой используется SQLite.

Драйвера слежения обеспечивают контроль различных портов, включая USB , CIM, LPT, WiFi, ИК и другие. В зависимости от типа порта можно запрещать доступ полностью, разрешать чтение или открывать полный доступ к устройству. Распределение доступа по времени отсутствует. Также замечено, что при разрешении доступа только на чтение к устройствам типа USB-флешек, возможность редактирования обычных текстовых файлов на этих устройствах с возможностью их сохранения на этом же носителе остается.

Показывает USB-устройства, подключенные к компьютерам, и ведет журнал действий пользователей с внешними накопителями информации. Информация о времени подключения/отключения устройств и о том, какие файлы и когда были прочитаны или записаны, сохраняется в базу данных. Реализовано теневое копирование файлов, которые читались или записывались на USB-устройства. Теневого копирования файлов, отправляемых на печать или иные устройства, нет, ведется лишь их журналирование.

Существует понятие "белого списка", в который заносятся USB-устройства, доступ к которым должен быть открыт всегда и на всех компьютерах (например, USB-ключи). Этот список единый для всех компьютеров, индивидуальных списков для отдельных пользователей не имеется.

обеспечивает настройку доступа к различным внешним устройствам, но не выделяет при этом из общего списка USB-устройств принтеры, подключаемые к этим портам. В то же время она различает сменные носители и может устанавливать для них различные виды доступа. Сменные носители автоматически заносятся в базу устройств (программа занесет в базу все USB-носители, когда-либо подключавшиеся к конкретному компьютеру), что позволяет применять назначенные для них права доступа для любых защищаемых с помощью программы компьютеров.

В ней имеется возможность использовать централизованную установку клиентских частей с помощью групповой политики Active Directory. При этом сохраняется возможность их установки локально и через панель администратора программы. Разграничение прав доступа осуществляется на основе политик контроля доступа, однако, допускается создание нескольких политик, которые могут применяться индивидуально для различных компьютеров. Кроме функции контроля доступа, позволяет осуществлять протоколирование использования устройств на локальном компьютере.

Программа поддерживает функцию теневого копирования – возможность сохранять точную копию файлов, копируемых пользователем на внешние устройства хранения информации. Точные копии всех файлов сохраняются в специальном хранилище и позже могут быть проанализированы с помощью встроенной системы анализа. Теневое копирование может быть задано для отдельных пользователей и групп пользователей. При включении функции "вести только лог" при копировании файлов будет сохраняться только информация о них (без сохранения точной копии файла).

В программе отсутствует понятие "белого списка" устройств. Вместо него в общей политике можно указать съемный носитель и разрешить к нему доступ с любого компьютера. Заметим, что в ней нет возможности применить такие же настройки к отдельным CD/DVD-дискам.

Программа компании GFI существенно превосходит по своим возможностям и , и – в ней, например, гораздо больше контролируемых устройств, чем у предыдущих программ (медиаплееры iPod, Creative Zen, мобильные телефоны, цифровые камеры, средства архивирования на магнитных лентах и Zip-дисках, Web-камеры, сканеры).

В программе предусмотрены три типовые настройки прав доступа – для серверов, рабочих станций и переносных компьютеров. В дополнение к блокированию устройств , в программе есть возможность блокирования доступа к файлам в зависимости от их типа. Например, можно открыть доступ на чтение к файлам документов, но запретить доступ к исполняемым файлам. Также имеется возможность блокирования доступа к устройствам не только по их типу, но и по физическому порту, к которому подключаются внешние устройства. Еще одна настройка прав доступа ведется по уникальным идентификаторам устройств.

Администратор программы может вести два типа списков устройств – тех, доступ к которым разрешен по умолчанию ("белый список"), и тех, доступ к которым запрещен ("черный список"). ИТ-специалист может давать временные разрешения на доступ к устройствам или группам устройств на отдельно взятом компьютере (реализуется за счет генерации специального кода, который может передаваться пользователю даже в том случае, если его компьютер отключен от сети и агент программы не имеет возможности подключиться к серверу).

В программе реализована поддержка новой функции шифрования, применяемой в системе Windows 7, которая называется BitLocker To Go. Эта функция используется для защиты и шифрования данных на съемных устройства. GFI EndPointSecurity может распознавать такие устройства и обеспечивать доступ к сохраненным на них файлам в зависимости от их типов.

Предоставляет администратору мощную систему отчетов. Подсистема статистики (GFI EndPointSecurity ReportPack) показывает (в текстовом и графическом виде) ежедневную сводку использования устройств как для выбранных компьютеров, так и для всех компьютеров в целом. Также можно получить статистические данные по активности пользователей в разрезе дня, недели, месяца с разбивкой по использованным приложениям, устройствам, путям доступа к файлам.

Одна из наиболее распространенных сегодня в России программ защиты информации от инсайдеров. издается в России под маркой «1С:Дистрибьюция»

Программа обеспечивает контроль не только устройств, работающих под управлением Windows Mobile, но и устройств, работающих под операционными системами iPhone OS и Palm OS. При этом обеспечивается и теневое копирование всех переписываемых файлов и данных вне зависимости от того, по какому порту эти устройства подключаются к контролируемой сети. Теневое копирование можно настроить не только по устройствам, но и по типам файлов, при этом тип будет определяться не на основе расширений, а на основе их содержания.

Предусмотрена возможность установки доступа "только чтение" для сменных носителей, включая ленточные накопители. Как дополнительная опция – защита носителей от случайного или преднамеренного форматирования. Так же можно вести протокол всех действий пользователей как с устройствами, так и с файлами (не только копирование или чтение, но и удаление, переименование и так далее).

Для уменьшения нагрузки на сеть при передаче данных, получаемых от агентов, и файлов теневого копирования, может использоваться потоковое сжатие. Данные теневого копирования в больших сетях могут сохраняться на нескольких серверах. Программа автоматически выбирает оптимальный сервер, учитывая пропускную способность сети и загрузку серверов.

Во многих организациях для защиты данных используются диски, защищаемые специальными программами шифрования - ViPNet SafeDisk, PGP Whole Disk Encryption, DriveCrypt и TrueCrypt. Для таких дисков программа может устанавливать специальные "политики шифрования", что позволяет разрешить запись только зашифрованных данных на съемные устройства. Поддерживается работа и с флеш-дисками Lexar JumpDrive SAFE S3000 и Lexar SAFE PSD, поддерживающих аппаратное шифрование данных. В ближайшей версии будет поддержана и работа со встроенным в Windows 7 средством шифрования данных на съемных носителях BitLocker To Go.

Теневое копирование предназначено не только для сохранения копий файлов, но и для проведения анализа перемещенной информации. может осуществлять полнотекстовый поиск по содержимому файлов, автоматически распознавая и индексируя документы в различных форматах.

Уже объявлено о выходе новой версии программы, в которой кроме полноценного поиска будет реализована и контентная фильтрация файлов, копируемых на съемные устройства хранения любых типов, а также контроль содержимого объектов данных, передаваемых с компьютера через каналы сетевых коммуникаций, включая приложения электронной почты, интерактивные web-сервисы, социальные сети, форумы и конференции, наиболее популярные службы мгновенных сообщений (Instant Messengers), файловые обмены по протоколу FTP, а также Telnet-сессии

Уникальной в новой версии является технология фильтрации текстовых данных в канале сетевой и локальной печати документов для заданий в форматах PCL и PostScript, что позволяет блокировать или разрешать печать документов в зависимости от их информационного содержания.

Выводы


Удаленное управление клиентами
Управление через оснастку MMC
Централизованная установка политик, контроль и восстановление
Контроль внешних устройств	Только USB
Контроль WiFi адаптеров
Контроль устройств Palm OS. iPhone/iPod			Ограниченное	Ограниченное
Поддержка технологии "белых списков"
Поддержка технологии "белых списков" носителей данных
Поддержка внешних зашифрованных дисков
Блокировка кейлоггеров
Ограничение объемов копируемых данных
Контроль данных по типам
Централизованное ведение логов
Теневое копирование	Только для USB	Только для USB	Частично
Теневое копирование данных печати
Графические отчеты логов и теневого копирования
Полнотекстовый поиск в данных теневого копирования

Две первые из рассмотренных программ могут использоваться для защиты информации от хищений, но возможности их ограничены. Они в различной степени "закрывают" стандартные внешние устройства, но возможности их ограничены – и в части настроек, и в части проведения анализа работы пользователей. Эти программы можно рекомендовать "для пробы", для уяснения самого процесса защиты. Для крупных организаций, где используется разнообразное периферийное оборудование и требуется анализ деятельности пользователей, названные выше программы будут явно недостаточными.

Для них лучше обратить внимание на программы - и . Это профессиональные решения, которые могут применяться в компаниях как с малым, так и с большим количеством компьютеров. Обе программы обеспечивают контроль различных периферийных устройств и портов, имеют мощные системы анализа и формирования отчетов. Но и между ними есть существенные различия, поэтому программу компании GFI в этом случае можно принять за базовую. может контролировать не только устройства и работу с данными, но и использование программного обеспечения. Эта возможность "подтягивает" ее из ниши "Device Control" в сегмент "Content-Aware Endpoint DLP". Новые, заявленные возможности позволяют ей резко оторваться от своих конкурентов за счет появления возможности анализа контента на момент выполнения пользователем различных действий с данными, включая потоковые, а также за счет контроля ряда параметров контекста сетевых коммуникаций, включая адреса электронной почты, IP адреса, идентификаторы пользователей и ресурсов сетевых приложений и т.д. можно у партнеров "1Софт".

Михаил Абрамзон

Защита информации от инсайдеров с помощью программных средств

Alexander Antipov

Надеюсь, что сама статья и особенно ее обсуждение помогут выявить различные нюансы применения программных средств и станут отправной точкой в разработке решения описанной задачи, для специалистов по ИБ.

nahna

Маркетинговое подразделение компании Инфовотч, уже в течении продолжительного времени убеждает всех заинтересованных лиц - ИТ-специалистов, а также наиболее продвинутых в области ИТ руководителей, что большая часть ущерба от нарушения ИБ компании приходится на инсайдеров - сотрудников разглашающих коммерческую тайну. Цель понятна - надо создавать спрос на выпускаемый продукт. Да и доводы выглядят вполне солидно и убедительно.

Постановка задачи

Построить систему защиты информации от кражи персоналом в ЛВС на базе Active Directory Windows 2000/2003. Рабочие станции пользователей под управлением Windows XP. Управление предприятием и бухгалтерский учет на базе продуктов 1С.
Секретная информация хранится тремя способами:

БД 1С - доступ по сети через RDP (терминальный доступ);
расшаренные папки на файловых серверах - доступ по сети;
локально на ПК сотрудника;

Каналы утечки - интернет и сменные носители (флешки, телефоны, плееры и т.п.). Запрещать использование интернет и сменных носителей нельзя, так как они необходимы для исполнения служебных обязанностей.

Что есть на рынке

Рассматриваемые системы я разделил на три класса:

Системы на основе контекстных анализаторов - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Дозор Джет и т.п.
Системы на основе статической блокировки устройств - DeviceLock, ZLock, InfoWatch Net Monitor.
Системы на основе динамической блокировки устройств - SecrecyKeeper, Страж, Аккорд, SecretNet.

Системы на основе контекстных анализаторов

Принцип работы:
В передаваемой информации ищутся ключевые слова, по результатам поиска принимается решение о необходимости блокировки передачи.

Максимальными возможностями среди перечисленных продуктов, на мой взгляд, обладает InfoWatch Traffic Monitor (www.infowatch.ru). За основу взят неплохо себя зарекомендовавший движок Касперский Антиспам, наиболее полно учитывающий особенности русского языка. В отличии от остальных продуктов, InfoWatch Traffic Monitor, при анализе учитывает не только наличие определенных строк в проверяемых данных, но и заранее заданный вес каждой строки. Таким образом при принятии окончательного решения, учитывается не только вхождение определенных слов, но и то, в каких сочетаниях они встречаются, что позволяет повысить гибкость анализатора. Остальные возможности стандартны для такого рода продуктов - анализ архивов, документов MS Office, возможность блокировки передачи файлов неизвестного формата или запароленных архивов.

Недостатки рассмотренных системы на основе контекстного анализа:

Контролируются только два протокола - HTTP и SMTP (для InfoWatch Traffic Monitor, причем для HTTP трафика проверяются только данные передаваемые с помощью POST-запросов, что позволяет организовать канал утечки с помощью передачи данных методом GET);
Не контролируются устройства переноса данных - дискеты, CD, DVD, USB-диски и т.п. (У Инфовотч на этот случай есть продукт InfoWatch Net Monitor).
для обхода систем построенных на основе контентного анализа, достаточно применить простейшую кодировка текста (например: секрет -> с1е1к1р1е1т), либо стеганографию;
следующая задача не решается методом контентного анализа - подходящего формального описания в голову не приходит, поэтому просто приведу пример: есть два екселевских файла - в первом розничные цены (публичная информация), во втором - оптовые для определенного клиента (закрытая информация), содержимое файлов различается только цифрами. С помощью контентного анализа эти файлы различить нельзя.

Вывод:
контекстный анализ годится только для создания архивов трафика и противодействия случайной утечки информации и поставленную задачу не решает.

Системы на основе статической блокировки устройств

Принцип работы:
пользователям присваиваются права доступа к контролируемым устройствам, по аналогии с правами доступа к файлам. В принципе практически такого же эффекта можно добиться используя штатные механизмы Windows.

Zlock (www.securit.ru) - продукт появился сравнительно недавно, поэтому имеет минимальный функционал (рюшечки я не считаю), да и отлаженностью он не отличается, например, консоль управления иногда падает при попытке сохранить настройки.

DeviceLock (www.smartline.ru) - продукт более интересный, на рынке достаточно давно, поэтому работает значительно стабильнее и функционал имеет более разнообразный. Например, позволяет выполнять теневое копирование передаваемой информации, что может помочь в расследовании инциндента, но не в его предотвращении. Кроме того, такое расследование скорее всего будет проводится тогда, когда об утечке станет известно, т.е. спустя значительный промежуток времени после того, как она произойдет.

InfoWatch Net Monitor (www.infowatch.ru) состоит из модулей - DeviceMonitor (аналог Zlock), FileMonitor, OfficeMonitor, AdobeMonitor и PrintMonitor. DeviceMonitor является аналогом Zlock, стандартный функционал, без изюма. FileMonitor - контроль обращения к файлам. OfficeMonitor и AdobeMonitor позволяют контролировать работу с файлами в соответствующих приложениях. Придумать полезное, а не игрушечное, применение для FileMonitor, OfficeMonitor и AdobeMonitor в настоящее время достаточно затруднительно, но в будующих версиях должна появится возможность контекстного анализа по обрабатываемым данным. Возможно тогда эти модули и раскроют свой потенциал. Хотя стоит заметить, что задача контекстного анализа файловых операций не является тривиальной, особенно если база контентной фильтрации будет таже, что и в Traffic Monitor, т.е. сетевой.

Отдельно необходимо сказать о защите агента от пользователя с правами локального администратора.
В ZLock и InfoWatch Net Monitor такая защита просто отсутствует. Т.е. пользователь может остановить агента, скопировать данные и снова запустить агента.

В DeviceLock такая защита присутствует, что является несомненным плюсом. Она основана на перехвате системных вызовов работы с реестром, файловой системой и управления процессами. Еще одним плюсом является то, что защита работает и в safe-mode. Но есть и минус - для отключения защиты достаточно восстановить Service Descriptor Table, что можно сделать загрузив простенький драйвер.

Недостатки рассмотренных систем на основе статической блокировки устройств:

Не контролируется передача информации в сеть.
-Не умеет отличать секретную информацию от не секретной. Работает по принципу либо все можно, либо ничего нельзя.
Отсутствует либо легко обходится защита от выгрузки агента.

Вывод:
внедрять подобные системы не целесообразно, т.к. поставленную задачу они не решают.

Системы на основе динамической блокировки устройств

Принцип работы:
доступ к каналам передачи блокируется в зависимости от уровня допуска пользователя и степени секретности информации с которой ведется работа. Для реализации этого принципа указанные продукты используют механизм полномочного разграничение доступа. Этот механизм встречается не очень часто, поэтому остановлюсь на нем подробнее.

Полномочный (принудительный) контроль доступа в отличие от дескриционного (реализованного в системе безопасности Windows NT и выше), заключается в том, что хозяин ресурса (например файла), не может ослабить требования на доступ к этому ресурсу, а может только усиливать их в пределах своего уровня. Ослаблять требования может только пользователь наделенный особыми полномочиями - офицер или администратор информационной безопасности.

Основной целью разработки продуктов типа Страж, Аккорд, SecretNet, DallasLock и еще некоторых, являлась возможность сертификации информационных систем в которых данные продукты будут установлены, на соответствие требованиям Гостехкоммисии (сейчас ФСТЕК). Такая сертификация обязательна для информационных систем в которых обрабатывается гос. тайна, что в основном и обеспечивало спрос на продукты со стороны гос предприятий.

Поэтому, набор функций реализованных в данных продуктах определялся требованиями соответствующих документов. Что в свою очередь повлекло тот факт, что большая часть реализованного в продуктах функционала, либо дублирует штатный функционал Windows (очистка объектов после удаления, очистка ОЗУ), либо его неявно использует (дескрицирнный контроль доступа). А разработчики DallasLock пошли еще дальше, реализовав мандатный контроль доступа своей системы, через механизм дескриционного контроля Windows.

Практическое применение подобных продуктов крайне не удобно, например DallasLock для установки требует переразбивки жесткого диска, которую к тому же надо выполнять с помощью стороннего ПО. Очень часто после прохождения сертификации эти системы удалялись или отключались.

SecrecyKeeper (www.secrecykeeper.com) еще один продукт, реализующий полномочный механизм контроля доступа. По словам разработчиков, разрабатывался SecrecyKeeper именно для решения конкретной задачи - предотвращение кражи информации в коммерческой организации. Поэтому, опять же со слов разработчиков, особое внимание при разработке уделялось простоте и удобству использования, как для администраторов системы так и для простых пользователей. Насколько это удалось - судить потребителю, т.е. нам. Кроме того в SecrecyKeeper реализован ряд механизмов, которые в остальных упомянутых системах отсутствуют - например возможность устанавливать уровень секретности для ресурсов с удаленным доступом и механизм защиты агента.
Контроль перемещения информации в SecrecyKeeper реализован на основе Уровня Секретности Информации, Уровней Допуска Пользователя и Уровня Безопасности Компьютера, которые могут принимать значения public, secret и top secret. Уровень Секретности Информации позволяет классифицировать обрабатываемую в системе информацию по трем категориям:

public - не секретная информация, при работе с ней никаких ограничений нет;

secret - секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя;

top secret - совершенно секретная информация, при работе с ней вводятся ограничения в зависимости от Уровней Допуска Пользователя.

Уровень Секретности Информации может устанавливаться для файла, сетевого диска и порта компьютера на котором запущена какая-то служба.

Уровни Допуска Пользователя позволяют определить, как пользователь может перемещать информацию, в зависимости от ее Уровня Секретности. Существуют следующие Уровни Допуска Пользователя:

Уровень Допуска Пользователя - ограничивает максимальный Уровень Секретности Информации к которой, может получить доступ сотрудник;

Уровень Допуска к Сети - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может передавать по сети;

Уровень Допуска к Сменным Носителям - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может копировать на внешние носители.

Уровень Допуска к Принтеру - ограничивает максимальный Уровень Секретности Информации, которую сотрудник может распечатать.

Уровень Безопасности Компьютера - определяет максимальный Уровень Секретности Информации, которая может храниться и обрабатываться на компьютере.

Доступ к информации имеющей уровень секретности public, может быть осуществлен сотрудником с любым уровнем допуска. Такая информация без ограничений может передаваться по сети и копироваться на внешние носители. История работы с информацией имеющей уровень секретности public не отслеживается.

Доступ к информации имеющей уровень секретности secret, могут получить только сотрудники уровень допуска которых равен secret или выше. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен secret и выше. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен secret и выше. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен secret и выше. История работы с информацией имеющей уровень секретности secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.

Доступ к информации имеющей уровень секретности top secret, могут получить только сотрудники уровень допуска которых равен top secret. Передавать такую информацию в сеть могут только сотрудники уровень допуска к сети которых, равен top secret. Копировать такую информацию на внешние носители могут только сотрудники, уровень допуска к сменным носителям которых, равен top secret. Выводить такую информацию на печать могут только сотрудники уровень допуска к принтеру которых, равен top secret. История работы с информацией имеющей уровень секретности top secret, т.е. попытки получить к ней доступ, попытки передать ее по сети, попытки скопировать ее на внешние носители или распечатать - протоколируется.

Пример: пусть сотрудник имеет Уровень Допуска равный top secret, Уровень Допуска к Сети равный secret, Уровень Допуска к Сменным Носителям равный public и Уровень Допуска к Принтеру равный top secret; в этом случае сотрудник может получить доступ к документу имеющему любой уровень секретности, передать в сеть сотрудник может информацию имеющую уровень секретности не выше чем secret, копировать, например на дискеты, сотрудник может только информацию с уровнем секретности public и распечатывать на принтере сотрудник может любую информацию.

Для управления распространением информации на предприятие каждому компьютеру закрепленному за сотрудником, присваивается Уровень Безопасности Компьютера. Этот уровень ограничивает максимальный Уровень Секретности Информации, к которой любой сотрудник может получить доступ с данного компьютера, вне зависимости от уровней допуска сотрудника. Т.о. если сотрудник имеет Уровень Допуска равным top secret, а компьютер на котором он в данный момент работает имеет Уровень Безопасности равный public, то сотрудник не сможет с этой рабочей станции получить доступ к информации с уровнем секретности выше чем public.

Вооружившись теорией попробуем применить SecrecyKeeper для решения поставленной задачи. Упрощенно описать информацию, обрабатываемую в информационной системе рассматриваемого абстрактного предприятия (см. постановку задачи), можно с помощью следующей таблицы:

Сотрудников предприятия и область их должностных интересов описывается с помощью второй таблицы:

пусть на предприятии используются следующие сервера:
Сервер 1С
Файловый сервер с шарами:
SecretDocs - содержит секретные документы
PublicDocs - содержит общедоступные документы

Замечу, что для организации стандартного разграничения доступа используются штатные возможности операционной системы и прикладного ПО, т.е. для того, чтобы предотвратить доступ например менеджера к персональным данным сотрудников, дополнительных систем защиты вводить не надо. Речь идет именно о противодействии распространению информации, к которой сотрудник имеет законный доступ.

Переходим к непосредственной настройки SecrecyKeeper.
Процесс установки консоли управления и агентов описывать не буду, там все максимально просто - см. документацию к программе.
Настройка системы состоит из выполнения следующих действий.

Шаг 1. Установить агенты на все ПК кроме серверов - это сразу позволяет предотвратить попадание на них информации для которой установлен Уровень Секретности выше чем public.

Шаг 2. Присвоить сотрудникам Уровни Допуска в соответствии со следующей таблицей:

	Уровень Допуска Пользователя	Уровень Допуска к Сети	Уровень Допуска к Сменным Носителям	Уровень Допуска к Принтеру
директор	secret	secret	secret	secret
менеджер	secret	public	public	secret
кадровик	secret	public	public	secret
бухгалтер	secret	public	secret	secret
секретарь	public	public	public	public

Шаг 3. Присвоить Уровни Безопасности Компьютера следующим образом:

Шаг 4. Настроить Уровни Секретности Информации на серверах:

Шаг 5. Настроить Уровни Секретности Информации на ПК сотрудников для локальных файлов. Это самая трудоемкая часть, так как необходимо четко представлять, кто из сотрудников с какой информацией работает и насколько эта информация является критичной. Если в организации был проведен аудит информационной безопасности, его результаты могут значительно облегчить задачу.

Шаг 6. При необходимости SecrecyKeeper позволяет ограничить список программ разрешенных к запуску пользователям. Этот механизм реализован независимо от Windows Software Restriction Policy и может использоваться если например надо наложить ограничения и на пользователей с правами администратора.

Таким образом с помощью SecrecyKeeper, возможно значительно снизить риск несанкционированного распространения секретной информации - как утечки, так и кражи.

Недостатки:
- трудность с первоначальной настройкой уровней секретности для локальных файлов;

Общий вывод:
максимальные возможности по защите информации от инсайдеров предоставляет ПО обладающее возможностью динамически регулировать доступ к каналам передачи информации, в зависимости от степени секретности информации с которой ведется работа и уровня допуска сотрудника.

Компания - это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат-партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе.