Protecția software împotriva persoanelor din interior pdf. Protecție împotriva persoanelor din interior care utilizează sistemul Zlock. Sisteme bazate pe blocarea statică a dispozitivelor

Protecția software împotriva persoanelor din interior pdf. Protecție împotriva persoanelor din interior care utilizează sistemul Zlock. Sisteme bazate pe blocarea statică a dispozitivelor

„Consultant”, 2011, N 9

„Cine deține informațiile deține lumea” - acest celebru aforism al lui Winston Churchill este mai relevant ca niciodată în societatea modernă. Cunoștințele, ideile și tehnologia vin în prim-plan, iar conducerea pieței depinde de cât de bine își poate gestiona o companie capitalul intelectual.

În aceste condiții, securitatea informațională a unei organizații devine deosebit de importantă.

Orice scurgere de informații către concurenți sau publicarea de informații despre procesele interne afectează instantaneu pozițiile pe care compania le ocupă pe piață.

Sistem securitatea informatiei ar trebui să ofere protecție împotriva unei varietăți de amenințări: tehnice, organizaționale și cele cauzate de factorul uman.

După cum arată practica, principalul canal de scurgere de informații sunt cei din interior.

Inamic în spate

De obicei, un insider este un angajat al companiei care provoacă daune companiei prin dezvăluirea de informații confidențiale.

Totuși, dacă luăm în considerare cele trei condiții principale, a căror asigurare este scopul securității informațiilor - confidențialitate, integritate, disponibilitate - această definiție poate fi extinsă.

Un insider poate fi numit un angajat care are acces oficial legitim la informațiile confidențiale ale unei întreprinderi, ceea ce provoacă dezvăluirea, denaturarea, deteriorarea sau inaccesibilitatea informațiilor.

Această generalizare este acceptabilă deoarece lumea modernăÎncălcarea integrității și disponibilității informațiilor implică adesea consecințe mult mai grave pentru afaceri decât dezvăluirea informațiilor confidențiale.

Pentru multe întreprinderi, oprirea proceselor de afaceri, chiar și pentru o perioadă scurtă de timp, amenință pierderi financiare semnificative, iar întreruperea funcționării în câteva zile poate provoca o lovitură atât de puternică, încât consecințele sale pot fi fatale.

Diverse organizații care studiază riscul de afaceri publică în mod regulat rezultatele cercetării lor. Potrivit acestora, informațiile privilegiate s-au clasat în mod constant pe primul loc în lista de motive pentru încălcările securității informațiilor de mulți ani.

Datorită creșterii constante a numărului total de incidente, putem concluziona că relevanța problemei crește tot timpul.

Model de amenințare

Pentru a construi un sistem de securitate a informațiilor pe straturi fiabil, care să ajute la combaterea eficientă a problemei, este necesar în primul rând crearea unui model de amenințare.

Trebuie să înțelegeți cine sunt cei din interior și ce îi motivează, de ce iau anumite acțiuni.

Există diferite abordări pentru crearea unor astfel de modele, dar în scopuri practice puteți utiliza următoarea clasificare, care include toate tipurile principale de persoane din interior.

Hacker intern

Un astfel de angajat, de regulă, are calificări de inginerie peste medie și înțelege structura resurselor întreprinderii, arhitectura sistemelor și rețelelor informatice.

El efectuează acțiuni de hacking din curiozitate, interes sportiv, explorând limitele propriilor capacități.

De obicei, el este conștient de posibilul rău din acțiunile sale, așa că rareori cauzează daune tangibile.

Gradul de pericol este mediu, deoarece acțiunile sale pot determina oprirea temporară a unor procese care au loc în companie. Identificarea activităților este posibilă în primul rând prin mijloace tehnice.

Angajat iresponsabil și slab calificat

Poate avea o varietate de abilități și poate lucra în orice departament al întreprinderii.

Este periculos pentru că nu are obiceiul de a se gândi la consecințele acțiunilor sale, poate lucra cu resursele informaționale ale companiei „prin încercare și eroare” și poate distruge și distorsiona informațiile neintenționat.

De obicei, nu își amintește succesiunea acțiunilor sale și, atunci când descoperă consecințe negative, poate pur și simplu să tacă în legătură cu ele.

Poate dezvălui informații care constituie un secret comercial într-o conversație personală cu un prieten sau chiar atunci când comunică pe forumuri de internet și în în rețelele sociale.

Gradul de pericol este foarte mare, mai ales având în vedere că acest tip de infractor este mai frecvent decât alții. Consecințele activităților sale pot fi mult mai grave decât cele ale unui atacator conștient.

Pentru a preveni consecințele acțiunilor sale, este necesar să se ia o întreagă gamă de măsuri diferite, atât tehnice (autorizare, împărțirea obligatorie a sesiunilor de lucru pe conturi), cât și organizatorice (control constant al managementului asupra procesului și rezultatului muncii). .

Persoană instabilă din punct de vedere psihologic

La fel ca un reprezentant de tipul anterior, el poate lucra în orice post și are calificări foarte diferite. Periculoasă din cauza tendinței la acțiuni slab motivate în condiții de disconfort psihologic: în situații extreme, presiune psihologică din partea altor angajați, sau pur și simplu iritare puternică.

Într-o stare afectivă, poate dezvălui informații confidențiale, poate deteriora datele și poate perturba cursul obișnuit al muncii altor persoane.

Gradul de pericol este mediu, dar acest tip de infractor nu este atât de comun.

Pentru a preveni consecințele negative ale acțiunilor sale, cel mai eficient este să folosiți măsuri administrative - pentru a identifica astfel de persoane în etapa interviului, a limita accesul la informații și a menține un climat psihologic confortabil în echipă.

Angajat insultat, jignit

Cel mai larg grup de potențiali încălcatori ai regimului de securitate a informațiilor.

Teoretic, marea majoritate a angajaților sunt capabili să comită acte neprietenoase companiei.

Acest lucru se poate întâmpla atunci când conducerea manifestă lipsă de respect față de personalitatea sau calitățile profesionale ale angajatului și când acest lucru afectează nivelul de salarizare.

Potențial, acest tip de persoane din interior reprezintă un pericol foarte mare - sunt posibile atât scurgerile, cât și deteriorarea informațiilor, iar prejudiciul cauzat de acestea va fi garantat a fi vizibil pentru afacere, deoarece angajatul îl provoacă în mod conștient și cunoaște bine toate vulnerabilitățile.

Sunt necesare atât măsuri administrative, cât și măsuri tehnice pentru detectarea activităților.

Angajat necurat

Un angajat care încearcă să-și suplimenteze averea personală în detrimentul proprietății companiei pentru care lucrează. Printre elementele însușite pot exista diverse medii de informații confidențiale ( hard disk-uri, unități flash, laptopuri corporative).

În acest caz, există riscul ca informațiile să ajungă la persoane cărora nu au fost destinate, cu publicarea ulterioară sau transferarea către concurenți.

Pericolul este mediu, dar acest tip nu este neobișnuit.

Pentru a identifica, sunt necesare mai întâi măsuri administrative.

Reprezentantul concurentului

De regulă, este înalt calificat și ocupă posturi care oferă ample oportunități de obținere a informațiilor, inclusiv a informațiilor confidențiale. Acesta este fie un angajat existent recrutat, cumpărat de concurenți (mai des), fie un insider special introdus în companie.

Gradul de pericol este foarte mare, deoarece prejudiciul este cauzat în mod conștient și cu o înțelegere profundă a valorii informațiilor, precum și a vulnerabilităților companiei.

Pentru identificarea activităților sunt necesare atât măsuri administrative, cât și măsuri tehnice.

Ce furăm?

Înțelegerea problemei informațiilor privilegiate este imposibilă fără a lua în considerare natura informațiilor furate.

Potrivit statisticilor, datele personale ale clienților, precum și informațiile despre companiile clienți și parteneri sunt cele mai solicitate, fiind furate în mai mult de jumătate din cazuri. Urmează detalii despre tranzacții, termenii contractelor și livrările. Rapoartele financiare sunt, de asemenea, de mare interes.

Atunci când formează un set de măsuri de protecție, fiecare companie se confruntă inevitabil cu întrebarea: ce informații specifice necesită măsuri speciale de protecție și ce nu are nevoie de ele?

Desigur, la baza unor astfel de decizii se află datele obținute în urma analizei de risc. Cu toate acestea, adesea o întreprindere are resurse financiare limitate care pot fi cheltuite pentru un sistem de securitate a informațiilor și este posibil să nu fie suficiente pentru a minimiza toate riscurile.

Două abordări

Din păcate, nu există un răspuns gata la întrebarea: „Ce să protejăm mai întâi”.

Această problemă poate fi abordată din două părți.

Riscul este un indicator complex care ia în considerare atât probabilitatea unei anumite amenințări, cât și posibilele daune cauzate de aceasta. În consecință, atunci când stabiliți prioritățile de securitate, vă puteți concentra pe unul dintre acești indicatori. Aceasta înseamnă că informația care este protejată mai întâi este cea care este cel mai ușor de furat (de exemplu, dacă un număr mare de angajați au acces la ea), iar informațiile a căror furt sau blocare ar duce la cele mai grave consecințe.

Un aspect important al problemei interne este canalul de transmitere a informațiilor. Cu cât există mai multe oportunități fizice pentru ca informațiile neautorizate să fie transferate în afara companiei, cu atât este mai probabil ca acest lucru să se întâmple.

Mecanisme de transmisie

Mecanismele de transmisie pot fi clasificate după cum urmează:

  • transmitere orală (conversație personală);
  • canale de transmitere a datelor tehnice ( comunicatii telefonice, fax, e-mail, sisteme de mesagerie, diverse servicii sociale de internet etc.);
  • medii portabile și dispozitive mobile (Celulare, hard disk-uri externe, laptop-uri, unități flash etc.).

Conform cercetărilor din vremea noastră, cele mai comune canale de transmitere a datelor confidențiale sunt (în ordine descrescătoare): e-mailul, dispozitivele mobile (inclusiv laptop-uri), rețelele sociale și alte servicii de internet (cum ar fi sistemele de mesagerie instantanee) etc.

Pentru controlul canalelor tehnice se pot folosi diverse mijloace, o gamă largă de produse disponibile în prezent pe piața securității.

De exemplu, sisteme de filtrare a conținutului (sisteme de blocare dinamică), mijloace de restricționare a accesului la mediile de informare (CD, DVD, Bluetooth).

De asemenea, se aplică măsuri administrative: filtrarea traficului pe Internet, blocarea porturilor fizice ale stațiilor de lucru, asigurarea regimului administrativ și a securității fizice.

La alegere mijloace tehnice protejarea informațiilor confidențiale necesită o abordare sistematică. Numai în acest fel se poate obține cea mai mare eficiență din implementarea lor.

De asemenea, trebuie să înțelegeți că provocările cu care se confruntă fiecare companie sunt unice și de multe ori este pur și simplu imposibil să utilizați soluții utilizate de alte organizații.

Lupta împotriva informațiilor privilegiate nu ar trebui să se desfășoare de la sine; este o componentă importantă a procesului general de afaceri care vizează asigurarea unui regim de securitate a informațiilor.

Acesta trebuie să fie realizat de profesioniști și să includă un ciclu complet de activități: elaborarea unei politici de securitate a informațiilor, determinarea domeniului de aplicare, analiza riscurilor, selectarea contramăsurilor și implementarea acestora, precum și auditul sistemului de securitate a informațiilor.

Dacă o întreprindere nu asigură securitatea informațiilor în întregul complex, atunci riscurile de pierderi financiare din scurgeri și deteriorarea informațiilor cresc brusc.

Minimizarea riscurilor

Examinare

  1. Selectarea amănunțită a candidaților care aplică pentru orice posturi în companie. Este recomandat să colectați cât mai multe informații despre candidat, inclusiv conținutul paginilor sale de pe rețelele de socializare. De asemenea, poate fi de ajutor să ceri o referință de la un loc de muncă anterior.
  2. Candidații pentru posturile de inginer IT ar trebui să fie supuși unei examinări deosebit de amănunțite. Practica arată că mai mult de jumătate din toți cei din interior sunt administratorii de sistemși programatori.
  3. La angajare trebuie efectuată cel puțin o verificare psihologică minimă a candidaților. Va ajuta la identificarea solicitanților cu sănătate mintală instabilă.

Drept de acces

  1. Sistem de partajare a accesului resurse corporative. Întreprinderea trebuie să creeze documentație de reglementare care clasifică informațiile în funcție de nivelul de confidențialitate și definește clar drepturile de acces la acestea. Accesul la orice resurse trebuie să fie personalizat.
  2. Drepturile de acces la resurse ar trebui alocate conform principiului „suficienței minime”. Accesul la întreținerea echipamentelor tehnice, chiar și cu drepturi de administrator, nu ar trebui să fie întotdeauna însoțit de acces pentru vizualizarea informațiilor în sine.
  3. Monitorizare cât mai profundă a acțiunilor utilizatorului, cu autorizare obligatorie și înregistrarea informațiilor despre operațiunile efectuate într-un jurnal. Cu cât jurnalele sunt păstrate cu mai multă grijă, cu atât managementul are mai mult control asupra situației din companie. Același lucru este valabil și pentru acțiunile angajatului atunci când utilizează accesul oficial la Internet.

Standard de comunicare

  1. Organizația trebuie să adopte propriul standard de comunicare, care să excludă toate formele de comportament inadecvat al angajaților unul față de celălalt (agresiune, violență, familiaritate excesivă). În primul rând, acest lucru se aplică relației „manager-subordonat”.

În niciun caz un angajat nu trebuie să simtă că este tratat nedrept, că nu este suficient de apreciat, că este exploatat inutil sau că este înșelat.

Respectarea acestei reguli simple vă va permite să evitați marea majoritate a situațiilor care îi determină pe angajați să ofere informații privilegiate.

Confidențialitate

Un acord de nedezvăluire nu ar trebui să fie o simplă formalitate. Acesta trebuie semnat de toți angajații care au acces la importante resurse informaționale companiilor.

În plus, chiar și în etapa interviului, potențialilor angajați trebuie să li se explice modul în care compania controlează securitatea informațiilor.

Controlul fondurilor

Reprezintă controlul mijloacelor tehnice utilizate de un angajat în scopuri de muncă.

De exemplu, folosirea unui laptop personal este nedorită, deoarece atunci când un angajat pleacă, cel mai probabil nu va fi posibil să aflați ce informații sunt stocate pe acesta.

Din același motiv, nu este de dorit să folosiți cutii E-mail asupra resurselor externe.

Rutina internă

Întreprinderea trebuie să respecte reglementările interne.

Este necesar să aveți informații despre timpul petrecut de angajați la locul de muncă.

De asemenea, trebuie asigurat controlul mișcării bunurilor materiale.

Respectarea tuturor regulilor de mai sus va reduce riscul de deteriorare sau scurgere de informații prin intermediul informațiilor privilegiate și, prin urmare, va ajuta la prevenirea pierderilor financiare sau de reputație semnificative.

Partener de conducere

grup de companii Gazduire Comunitate


Astăzi, există două canale principale pentru scurgerea de informații confidențiale: dispozitivele conectate la computer (toate tipurile de dispozitive de stocare amovibile, inclusiv unități flash, unități CD/DVD etc., imprimante) și Internet (e-mail, ICQ, rețele sociale). rețele etc.) d.). Și, prin urmare, atunci când o companie este „coaptă” să implementeze un sistem de protecție împotriva lor, este recomandabil să abordăm această soluție în mod cuprinzător. Problema este că sunt folosite abordări diferite pentru a acoperi diferite canale. Într-un caz cel mai mult mod eficient protecția va controla utilizarea unităților amovibile, iar a doua va include diverse opțiuni pentru filtrarea conținutului, permițându-vă să blocați transferul de date confidențiale către o rețea externă. Prin urmare, companiile trebuie să utilizeze două produse pentru a se proteja împotriva persoanelor din interior, care împreună formează un sistem de securitate cuprinzător. Desigur, este de preferat să folosiți instrumente de la un singur dezvoltator. În acest caz, procesul de implementare, administrare și instruire a angajaților este simplificat. Ca exemplu, putem cita produsele SecurIT: Zlock și Zgate.

Zlock: protecție împotriva scurgerilor prin unități detașabile

Programul Zlock este pe piață de ceva timp. Și noi deja. În principiu, nu are rost să mă repet. Cu toate acestea, de la publicarea articolului, au fost lansate două versiuni noi de Zlock, care au adăugat o serie de caracteristici importante. Merită să vorbim despre ele, chiar dacă doar pe scurt.

În primul rând, este de remarcat posibilitatea de a atribui mai multe politici unui computer, care sunt aplicate independent, în funcție de dacă computerul este conectat la rețeaua corporativă direct, prin VPN sau funcționează autonom. Acest lucru permite, în special, blocarea automată a porturilor USB și a unităților CD/DVD atunci când computerul este deconectat de la rețeaua locală. În general această funcție crește securitatea informațiilor stocate pe laptopuri, pe care angajații le pot scoate din birou în călătorii sau la serviciu la domiciliu.

Al doilea noua oportunitate- oferind angajaților companiei acces temporar la dispozitive blocate sau chiar la grupuri de dispozitive prin telefon. Principiul funcționării sale este de a schimba programul generat coduri secreteîntre utilizator și angajatul responsabil cu securitatea informațiilor. Este de remarcat faptul că permisiunea de utilizare poate fi eliberată nu numai permanent, ci și temporar (pentru un anumit timp sau până la sfârșitul sesiunii de lucru). Acest instrument poate fi considerat o ușoară relaxare în sistemul de securitate, dar vă permite să creșteți capacitatea de răspuns a departamentului IT la solicitările afacerii.

Următoarea inovație importantă în noile versiuni de Zlock este controlul asupra utilizării imprimantelor. După configurare, sistemul de securitate va înregistra toate solicitările utilizatorilor către dispozitivele de imprimare într-un jurnal special. Dar asta nu este tot. Zlock oferă acum copierea umbră a tuturor documentelor tipărite. Ei se înscriu format PDFși sunt o copie completă a paginilor tipărite, indiferent de fișierul trimis către imprimantă. Acest lucru ajută la prevenirea scurgerii de informații confidențiale de pe foi de hârtie atunci când o persoană din interior tipărește datele pentru a le scoate din birou. Sistemul de securitate include și copierea umbră a informațiilor înregistrate pe discuri CD/DVD.

O inovație importantă a fost apariția componentei server Zlock Enterprise Management Server. Oferă stocare și distribuție centralizată a politicilor de securitate și a altor setări ale programului și facilitează în mod semnificativ administrarea Zlock în sistemele de informații mari și distribuite. De asemenea, este imposibil să nu menționăm apariția propriului sistem de autentificare, care, dacă este necesar, vă permite să renunțați la utilizarea domeniului și a utilizatorilor Windows locali.

Pe lângă aceasta, în ultima versiune Zlock are acum câteva funcții mai puțin vizibile, dar și destul de importante: monitorizarea integrității modulului client cu posibilitatea de a bloca autentificarea utilizatorului atunci când este detectată o manipulare, capabilități extinse pentru implementarea unui sistem de securitate, suport pentru DBMS Oracle etc.

Zgate: protecție împotriva scurgerilor de internet

Deci, Zgate. După cum am spus deja, acest produs este un sistem de protecție împotriva scurgerii de informații confidențiale prin Internet. Din punct de vedere structural, Zgate este format din trei părți. Principala este componenta server, care efectuează toate operațiunile de prelucrare a datelor. Poate fi instalat atât pe un computer separat, cât și pe cei care rulează deja într-o companie Sistem informatic noduri - gateway de internet, controler de domeniu, gateway de e-mail etc. Acest modul constă, la rândul său, din trei componente: pentru monitorizarea traficului SMTP, monitorizarea corespondenței interne a serverului Microsoft Exchange 2007/2010, precum și Zgate Web (este responsabil de control traficului HTTP, FTP și IM).

A doua parte a sistemului de securitate este serverul de înregistrare. Este folosit pentru a colecta informații despre evenimente de la unul sau mai multe servere Zgate, pentru a le procesa și a le stoca. Acest modul este util în special în zone mari și distribuite geografic sisteme corporative, deoarece oferă acces centralizat la toate datele. A treia parte este consola de management. Folosește o consolă standard pentru produsele SecurIT și, prin urmare, nu ne vom opri asupra ei în detaliu. Menționăm doar că folosind acest modul puteți controla sistemul nu numai local, ci și de la distanță.

Consola de administrare

Sistemul Zgate poate funcționa în mai multe moduri. Mai mult, disponibilitatea lor depinde de metoda de implementare a produsului. Primele două moduri implică lucrul ca server proxy de e-mail. Pentru a le implementa, sistemul este instalat între serverul de mail corporativ și „lumea exterioară” (sau între serverul de mail și serverul de trimitere, dacă sunt separate). În acest caz, Zgate poate atât filtra traficul (întârzie mesajele care încalcă drepturile de autor și mesajele discutabile), cât și doar îl poate înregistra (trece toate mesajele, dar le salvează în arhivă).

A doua metodă de implementare implică utilizarea sistemului de protecție împreună cu Microsoft Exchange 2007 sau 2010. Pentru a face acest lucru, trebuie să instalați Zgate direct pe corporație. server de mail. Există, de asemenea, două moduri disponibile: filtrare și înregistrare. Pe lângă aceasta, există o altă opțiune de implementare. Vorbim despre înregistrarea mesajelor în modul de trafic în oglindă. Desigur, pentru a-l folosi, este necesar să vă asigurați că computerul pe care este instalat Zgate primește același trafic în oglindă (de obicei, acest lucru se face folosind echipamente de rețea).


Selectarea modului de operare Zgate

Componenta Zgate Web merită o poveste separată. Este instalat direct pe poarta de internet corporativă. În același timp, acest subsistem dobândește capacitatea de a monitoriza traficul HTTP, FTP și IM, adică de a-l procesa pentru a detecta încercările de a trimite informații confidențiale prin interfețe de e-mail web și ICQ, publicându-le pe forumuri, servere FTP și rețele sociale. rețele etc. Apropo, despre ICQ. Funcția de blocare a mesajelor IM este disponibilă în multe produse similare. Cu toate acestea, nu există „ICQ” în ele. Pur și simplu pentru că este cel mai răspândit în țările de limbă rusă.

Principiul de funcționare al componentei Zgate Web este destul de simplu. De fiecare dată când informațiile sunt trimise către oricare dintre serviciile controlate, sistemul va genera un mesaj special. Conține informațiile în sine și câteva date de service. Este trimis la serverul principal Zgate și procesat conform regulilor specificate. Desigur, trimiterea de informații nu este blocată în serviciul în sine. Adică, Zgate Web funcționează numai în modul de înregistrare. Cu ajutorul acestuia, nu puteți preveni scurgerile izolate de date, dar le puteți detecta rapid și opri activitățile unui atacator voluntar sau involuntar.


Configurarea componentei Web Zgate

Modul în care informațiile sunt procesate în Zgate și procedura de filtrare este determinată de politică, care este elaborată de ofițerul de securitate sau alt angajat responsabil. Reprezintă o serie de condiții, fiecare dintre ele corespunde unei acțiuni specifice. Toate mesajele primite sunt „rulate” prin ele secvenţial, unul după altul. Și dacă oricare dintre condiții este îndeplinită, atunci acțiunea asociată acesteia este lansată.


Sistem de filtrare

În total, sistemul oferă 8 tipuri de condiții, după cum se spune, „pentru toate ocaziile”. Primul dintre acestea este tipul de fișier atașat. Cu ajutorul acestuia, puteți detecta încercările de a trimite obiecte cu un anumit format. Este de remarcat faptul că analiza este efectuată nu prin extensie, ci prin structura internă a fișierului și puteți specifica atât tipuri specifice de obiecte, cât și grupurile acestora (de exemplu, toate arhivele, videoclipurile etc.). Al doilea tip de condiții este verificarea de către o aplicație externă. Ca aplicație, poate acționa ca un program obișnuit lansat de la Linie de comanda, și scenariul.


Condiții în sistemul de filtrare

Dar despre următoarea condiție merită să insistăm mai detaliat. Vorbim despre analiza de conținut a informațiilor transmise. În primul rând, este necesar să remarcăm „omnivorul” lui Zgate. Faptul este că programul „înțelege” un număr mare de formate diferite. Prin urmare, poate analiza nu numai textul simplu, ci și aproape orice atașament. O altă caracteristică a analizei de conținut sunt marile sale capabilități. Poate consta într-o simplă căutare a unei apariții în textul unui mesaj sau în orice alt câmp al unui anumit cuvânt, sau o analiză cu drepturi depline, inclusiv luarea în considerare a formelor gramaticale ale cuvintelor, rădăcinile și transliterarea. Dar asta nu este tot. Mențiune specială merită sistemul de analiză a modelelor și a expresiilor regulate. Cu ajutorul acestuia, puteți detecta cu ușurință prezența datelor într-un anumit format în mesaje, de exemplu, seria și numerele pașapoartelor, numărul de telefon, numărul contractului, numărul contului bancar etc. Acest lucru, printre altele, vă permite să consolidați protecția datelor cu caracter personal prelucrate de companie.


Modele pentru identificarea diverselor informații confidențiale

Al patrulea tip de condiții este analiza adreselor indicate în scrisoare. Adică, căutând printre ele anumite șiruri. Al cincilea - analiza fișierelor criptate. Când este executat, atributele mesajului și/sau obiectele imbricate sunt verificate. Al șaselea tip de condiții este verificarea diverșilor parametri ai literelor. Al șaptelea este analiza dicționarului. În timpul acestui proces, sistemul detectează prezența cuvintelor din dicționarele pre-create în mesaj. Și, în sfârșit, ultimul, al optulea tip de afecțiune este compus. Reprezintă două sau mai multe alte condiții combinate de operatori logici.

Apropo, trebuie să spunem separat despre dicționarele pe care le-am menționat în descrierea condițiilor. Sunt grupuri de cuvinte combinate printr-o singură caracteristică și sunt utilizate în diferite metode de filtrare. Cel mai logic lucru de făcut este să creați dicționare care sunt foarte probabil să vă permită să clasificați un mesaj într-o categorie sau alta. Conținutul acestora poate fi introdus manual sau importat din cele existente fișiere text. Există o altă opțiune pentru generarea dicționarelor - automată. Când îl folosește, administratorul trebuie pur și simplu să specifice folderul care conține documentele relevante. Programul în sine le va analiza, va selecta cuvintele necesare și le va atribui caracteristicile de greutate. Pentru compilarea de înaltă calitate a dicționarelor, este necesar să se indice nu numai fișierele confidențiale, ci și obiectele care nu conțin informații sensibile. În general, procesul de generare automată este cel mai asemănător cu instruirea antispam pe publicitate și scrisorile obișnuite. Și acest lucru nu este surprinzător, deoarece ambele țări folosesc tehnologii similare.


Exemplu de dicționar pe o temă financiară

Apropo de dicționare, nu putem să nu menționăm și o altă tehnologie de detectare a datelor confidențiale implementată în Zgate. Vorbim despre amprentele digitale. Esenta aceasta metoda este după cum urmează. Administratorul poate indica folderelor de sistem care conțin date confidențiale. Programul va analiza toate documentele din ele și va crea „amprente digitale” - seturi de date care vă permit să determinați o încercare de a transfera nu numai întregul conținut al fișierului, ci și părțile sale individuale. Vă rugăm să rețineți că sistemul monitorizează automat starea folderelor specificate de acesta și creează în mod independent „amprente” pentru toate obiectele care apar din nou în ele.


Crearea unei categorii cu amprentele digitale ale fișierelor

Ei bine, acum nu mai rămâne decât să ne dăm seama de acțiunile implementate în sistemul de protecție în cauză. În total, sunt deja 14 vândute în Zgate. Cu toate acestea, cea mai mare parte determină acțiunile care sunt efectuate cu mesajul. Printre acestea se numără, în special, ștergerea fără trimitere (adică blocarea transmiterii unei scrisori), plasarea acesteia într-o arhivă, adăugarea sau ștergerea atașamentelor, modificarea diferitelor câmpuri, inserarea de text etc. Printre acestea se numără mai ales de remarcat plasarea unei scrisori în carantină. Această acțiune vă permite să „amânați” un mesaj pentru verificare manuală de către un ofițer de securitate, care va decide soarta ulterioară a acestuia. Foarte interesantă este și acțiunea care vă permite să blocați o conexiune IM. Poate fi folosit pentru a bloca instantaneu canalul prin care a fost transmis un mesaj cu informații confidențiale.

Două acțiuni se deosebesc oarecum - procesarea prin metoda Bayesiană și procesarea prin metoda amprentei. Ambele sunt concepute pentru a verifica mesajele pentru a vedea dacă conțin informații sensibile. Doar primul folosește dicționare și analize statistice, iar al doilea folosește amprente digitale. Aceste acțiuni pot fi efectuate atunci când o anumită condiție este îndeplinită, de exemplu, dacă adresa destinatarului nu se află într-un domeniu corporativ. În plus, ele (ca oricare altele) pot fi setate să fie aplicate necondiționat tuturor mesajelor trimise. În acest caz, sistemul va analiza literele și le va atribui anumitor categorii (dacă, desigur, acest lucru este posibil). Dar pentru aceste categorii puteți deja să creați condiții cu implementarea anumitor acțiuni.


Acțiuni în sistemul Zgate

Ei bine, la sfârșitul conversației noastre de astăzi despre Zgate, putem rezuma puțin. Acest sistem de protecție se bazează în primul rând pe analiza conținutului mesajelor. Această abordare este cea mai comună pentru protejarea împotriva scurgerii de informații confidențiale pe Internet. Desigur, analiza conținutului nu oferă un grad de protecție de 100% și este mai degrabă probabilistică în natură. Cu toate acestea, utilizarea sa previne majoritatea cazurilor de transfer neautorizat de date sensibile. Ar trebui companiile să-l folosească sau nu? Fiecare trebuie să decidă singur acest lucru, evaluând costurile implementării și posibile problemeîn caz de scurgere de informații. Este demn de remarcat faptul că Zgate face o treabă excelentă în capturarea expresiilor regulate, ceea ce îl face foarte mijloace eficiente protecția datelor cu caracter personal prelucrate de companie.

Studii recente de securitate a informațiilor, cum ar fi CSI/FBI ComputerCrimeAndSecuritySurvey anual, au arătat că pierderile financiare pentru companii din cauza majorității amenințărilor sunt în scădere de la an la an. Cu toate acestea, există mai multe riscuri de la care pierderile cresc. Una dintre ele este furtul deliberat de informații confidențiale sau încălcarea regulilor de manipulare a acestora de către acei angajați al căror acces la datele comerciale este necesar pentru îndeplinirea atribuțiilor lor oficiale. Se numesc persoane din interior.

În marea majoritate a cazurilor, furtul de informații confidențiale se realizează folosind medii mobile: CD-uri și DVD-uri, dispozitive ZIP și, cel mai important, tot felul de unități USB. Distribuția lor în masă a dus la înflorirea insiderismului în întreaga lume. Șefii majorității băncilor sunt bine conștienți de pericolele, de exemplu, ca o bază de date cu datele personale ale clienților lor sau, mai mult, tranzacțiile pe conturile lor să cadă în mâinile structurilor criminale. Și încearcă să combată eventualul furt de informații folosind metode organizatorice pe care le au la dispoziție.

Cu toate acestea, metodele organizatorice în acest caz sunt ineficiente. Astăzi puteți organiza transferul de informații între computere folosind o unitate flash în miniatură, telefon mobil, mp3 player, cameră digitală... Desigur, puteți încerca să interziceți introducerea tuturor acestor dispozitive în birou, dar acest lucru, în primul rând, va afecta negativ relațiile cu angajații și, în al doilea rând, va fi în continuare imposibil de stabilit cu adevărat control eficient asupra oamenilor foarte dificil - banca nu " Cutie poștală" Și chiar și dezactivarea tuturor dispozitivelor de pe computere care pot fi folosite pentru a scrie informații pe medii externe (discuri FDD și ZIP, unități CD și DVD etc.) și porturile USB nu va ajuta. La urma urmei, primele sunt necesare pentru lucru, iar cele din urmă sunt conectate la diverse periferice: imprimante, scanere etc. Și nimeni nu poate opri o persoană să închidă imprimanta pentru un minut, să introducă o unitate flash în portul liber și să copieze în ea Informații importante. Desigur, puteți găsi modalități originale de a vă proteja. De exemplu, o bancă a încercat această metodă de rezolvare a problemei: au umplut joncțiunea portului USB și a cablului cu rășină epoxidică, „legând” strâns pe acesta din urmă de computer. Dar, din fericire, astăzi există metode de control mai moderne, fiabile și flexibile.

Cel mai eficient mijloc de minimizare a riscurilor asociate cu persoanele din interior este un special software, care controlează în mod dinamic toate dispozitivele și porturile computerului care pot fi folosite pentru a copia informații. Principiul muncii lor este următorul. Permisiunile de utilizare a diferitelor porturi și dispozitive sunt setate pentru fiecare grup de utilizatori sau pentru fiecare utilizator în mod individual. Cel mai mare avantaj al unui astfel de software este flexibilitatea. Puteți introduce restricții pentru anumite tipuri de dispozitive, modelele acestora și instanțe individuale. Acest lucru vă permite să implementați politici foarte complexe de distribuire a drepturilor de acces.

De exemplu, ați putea dori să permiteți unor angajați să folosească orice imprimante sau scanere conectate la porturile USB. Cu toate acestea, toate celelalte dispozitive introduse în acest port vor rămâne inaccesibile. Dacă banca folosește un sistem de autentificare a utilizatorilor bazat pe jetoane, atunci în setări puteți specifica modelul cheii utilizat. Atunci utilizatorii vor avea voie să folosească numai dispozitivele achiziționate de companie, iar toate celelalte vor fi inutile.

Pe baza principiului de funcționare a sistemelor de protecție descris mai sus, puteți înțelege ce puncte sunt importante atunci când alegeți programe care implementează blocarea dinamică a dispozitivelor de înregistrare și a porturilor de computer. În primul rând, este versatilitatea. Sistemul de protecție trebuie să acopere întreaga gamă de porturi și dispozitive de intrare/ieșire posibile. În caz contrar, riscul de furt de informații comerciale rămâne inacceptabil de mare. În al doilea rând, software-ul în cauză trebuie să fie flexibil și să vă permită să creați reguli folosind o cantitate mare de informații diverse despre dispozitive: tipurile acestora, producătorii de modele, numerele unice pe care le are fiecare instanță etc. Și în al treilea rând, sistemul de protecție a insiderului trebuie să se poată integra cu sistemul informațional al băncii, în special cu ActiveDirectory. În caz contrar, administratorul sau ofițerul de securitate va trebui să mențină două baze de date de utilizatori și computere, ceea ce nu numai că este incomod, dar crește și riscul de erori.

Protejarea informațiilor împotriva utilizării din interior software

Alexandru Antipov

Sper că articolul în sine și mai ales discuția acestuia vor ajuta la identificarea diferitelor nuanțe ale utilizării instrumentelor software și vor deveni un punct de plecare în dezvoltarea unei soluții la problema descrisă pentru specialiștii în securitatea informațiilor.


nahna

De mult timp, divizia de marketing a companiei Infowatch convinge toate părțile interesate - specialiști IT, precum și cei mai avansați manageri IT, că cea mai mare parte a prejudiciului cauzat de o încălcare a securității informaționale a companiei revine persoanelor din interior - angajații divulgând secretele comertului. Scopul este clar - trebuie să creăm cerere pentru produsul fabricat. Iar argumentele par destul de solide și convingătoare.

Formularea problemei

Construiți un sistem pentru protejarea informațiilor împotriva furtului de către personal pe o rețea LAN Director activ Windows 2000/2003. Stațiile de lucru ale utilizatorului sub Control Windows XP. Managementul întreprinderii și contabilitatea bazate pe produse 1C.
Informațiile secrete sunt stocate în trei moduri:
  1. DB 1C - acces la rețea prin RDP ( acces la terminal);
  2. foldere partajate pe serverele de fișiere - acces la rețea;
  3. local pe computerul angajatului;
Canale de scurgere - Internet și medii amovibile (unități flash, telefoane, playere etc.). Utilizarea internetului și a suporturilor amovibile nu poate fi interzisă, deoarece acestea sunt necesare pentru îndeplinirea atribuțiilor oficiale.

Ce este pe piata

Am împărțit sistemele luate în considerare în trei clase:
  1. Sisteme bazate pe analizoare de context - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Dozor Jet etc.
  2. Sisteme bazate pe blocarea statică a dispozitivului - DeviceLock, ZLock, InfoWatch Net Monitor.
  3. Sisteme bazate pe blocarea dinamică a dispozitivelor - SecrecyKeeper, Strazh, Accord, SecretNet.

Sisteme bazate pe analizoare de context

Principiul de funcționare:
Cuvintele cheie sunt căutate în informațiile transmise, iar pe baza rezultatelor căutării se ia o decizie cu privire la necesitatea blocării transmiterii.

În opinia mea, InfoWatch Traffic Monitor (www.infowatch.ru) are capabilitățile maxime dintre produsele enumerate. Baza este motorul Kaspersky Antispam bine dovedit, care ține cont cel mai pe deplin de particularitățile limbii ruse. Spre deosebire de alte produse, InfoWatch Traffic Monitor, la analiză, ține cont nu doar de prezența anumitor rânduri în datele verificate, ci și de greutatea predeterminată a fiecărui rând. Astfel, atunci când se ia o decizie finală, nu se ține cont doar de apariția anumitor cuvinte, ci și de combinațiile în care acestea apar, ceea ce permite creșterea flexibilității analizorului. Funcțiile rămase sunt standard pentru acest tip de produs - analiza arhivelor, documentelor MS Office, capacitatea de a bloca transferul fișierelor într-un format necunoscut sau arhive protejate cu parolă.

Dezavantaje ale sistemelor luate în considerare bazate pe analiza contextuală:

  • Sunt monitorizate doar două protocoale - HTTP și SMTP (pentru InfoWatch Traffic Monitor, iar pentru traficul HTTP sunt verificate doar datele transmise prin solicitări POST, ceea ce vă permite să organizați un canal de scurgere folosind transferul de date folosind metoda GET);
  • Dispozitivele de transfer de date nu sunt controlate - dischete, CD-uri, DVD-uri, unități USB etc. (InfoWatch are un produs pentru acest caz: InfoWatch Net Monitor).
  • pentru a ocoli sistemele construite pe baza analizei de conținut, este suficient să folosiți cea mai simplă codificare a textului (de exemplu: secret -> с1е1к1р1е1т), sau steganografia;
  • următoarea problemă nu poate fi rezolvată prin metoda analizei de conținut - nu îmi vine în minte o descriere formală adecvată, așa că voi da doar un exemplu: există două fișiere Excel - în primul sunt prețuri cu amănuntul (informații publice), în al doilea - prețurile cu ridicata pentru un anumit client (informații private), conținutul fișierelor diferă doar numere. Aceste fișiere nu pot fi distinse utilizând analiza de conținut.
Concluzie:
Analiza contextuală este potrivită doar pentru crearea arhivelor de trafic și contracararea scurgerilor accidentale de informații și nu rezolvă problema.

Sisteme bazate pe blocarea statică a dispozitivelor

Principiul de funcționare:
Utilizatorilor li se atribuie drepturi de acces la dispozitivele controlate, similare cu drepturile de acces la fișiere. În principiu, aproape același efect poate fi obținut folosind mecanismele standard Windows.

Zlock (www.securit.ru) - produsul a apărut relativ recent, deci are o funcționalitate minimă (nu număr bibelouri) și nu funcționează deosebit de bine, de exemplu, consola de management se blochează uneori când încearcă să salvezi setări.

DeviceLock (www.smartline.ru) este un produs mai interesant; este pe piață de destul de mult timp, așa că funcționează mult mai stabil și are funcționalități mai diverse. De exemplu, permite copierea umbră a informațiilor transmise, ceea ce poate ajuta la investigarea unui incident, dar nu la prevenirea acestuia. În plus, o astfel de investigație va fi efectuată cel mai probabil atunci când scurgerea devine cunoscută, adică. o perioadă semnificativă de timp după ce a apărut.

InfoWatch Net Monitor (www.infowatch.ru) constă din module - DeviceMonitor (analog cu Zlock), FileMonitor, OfficeMonitor, AdobeMonitor și PrintMonitor. DeviceMonitor este un analog al lui Zlock, funcționalitate standard, fără stafide. FileMonitor - controlul accesului la fișiere. OfficeMonitor și AdobeMonitor vă permit să controlați modul în care sunt gestionate fișierele în aplicațiile lor respective. În prezent, este destul de dificil să veniți cu o aplicație utilă, mai degrabă decât jucărie, pentru FileMonitor, OfficeMonitor și AdobeMonitor, dar în versiunile viitoare ar trebui să fie posibilă efectuarea unei analize contextuale a datelor procesate. Poate că atunci aceste module își vor dezvălui potențialul. Deși este de remarcat faptul că sarcina de analiză contextuală a operațiunilor cu fișiere nu este banală, mai ales dacă baza de filtrare a conținutului este aceeași ca în Monitorul traficului, adică. reţea.

Separat, este necesar să spunem despre protejarea agentului de un utilizator cu drepturi de administrator local.
ZLock și InfoWatch Net Monitor pur și simplu nu au o astfel de protecție. Acestea. utilizatorul poate opri agentul, poate copia datele și poate porni din nou agentul.

DeviceLock are o astfel de protecție, ceea ce este un plus sigur. Se bazează pe interceptarea apelurilor de sistem pentru lucrul cu registrul, Sistemul de fișiereși managementul proceselor. Un alt avantaj este că protecția funcționează și în modul sigur. Dar există și un minus - pentru a dezactiva protecția, este suficient să restabiliți Tabelul de descrieri de servicii, care se poate face prin descărcarea unui driver simplu.

Dezavantaje ale sistemelor considerate bazate pe blocarea statică a dispozitivelor:

  • Transmiterea informațiilor către rețea nu este controlată.
  • -Nu știe să distingă informațiile clasificate de informațiile nesecrete. Funcționează pe principiul că fie totul este posibil, fie nimic nu este imposibil.
  • Protecția împotriva descărcării agentului este absentă sau ușor ocolită.
Concluzie:
Nu este indicat să se implementeze astfel de sisteme, deoarece nu rezolvă problema.

Sisteme bazate pe blocarea dinamică a dispozitivului

Principiul de funcționare:
accesul la canalele de transmisie este blocat în funcție de nivelul de acces al utilizatorului și de gradul de secretizare a informațiilor cu care se lucrează. Pentru a implementa acest principiu, aceste produse folosesc mecanismul de control al accesului autorizat. Acest mecanism nu apare foarte des, așa că mă voi opri mai detaliat asupra lui.

Controlul autoritar (forțat) al accesului, spre deosebire de cel discreționar (implementat în sistemul de securitate Windows NT și o versiune ulterioară), este că proprietarul unei resurse (de exemplu, un fișier) nu poate slăbi cerințele de acces la această resursă, dar poate întărește-le doar în limitele nivelului tău. Doar un utilizator cu puteri speciale - un ofițer de securitate a informațiilor sau un administrator - poate relaxa cerințele.

Scopul principal al dezvoltarii de produse precum Guardian, Accord, SecretNet, DallasLock si altele a fost posibilitatea de a certifica sisteme informatice in care vor fi instalate aceste produse pentru conformitatea cu cerintele Comisiei Tehnice de Stat (acum FSTEC). O astfel de certificare este obligatorie pentru sistemele informatice în care sunt prelucrate date guvernamentale. un secret, care asigura în principal cererea de produse de la întreprinderile de stat.

Prin urmare, setul de funcții implementate în aceste produse a fost determinat de cerințele documentelor relevante. Ceea ce, la rândul său, a condus la faptul că cea mai mare parte a funcționalității implementate în produse fie dublează standardul Funcționalitatea Windows(curățarea obiectelor după ștergere, curățarea memoriei RAM), sau o folosește implicit (controlul accesului discriminat). Și dezvoltatorii DallasLock au mers și mai departe prin implementarea controlului de acces obligatoriu pentru sistemul lor prin mecanismul de control discreționar Windows.

Utilizarea practică a unor astfel de produse este extrem de incomod; de exemplu, DallasLock necesită recompartimentare pentru instalare hard disk, care trebuie efectuată și cu ajutorul unui software terță parte. Foarte des, după certificare, aceste sisteme au fost eliminate sau dezactivate.

SecrecyKeeper (www.secrecykeeper.com) este un alt produs care implementează un mecanism de control al accesului autorizat. Potrivit dezvoltatorilor, SecrecyKeeper a fost dezvoltat special pentru a rezolva o problemă specifică - prevenirea furtului de informații într-o organizație comercială. Prin urmare, din nou potrivit dezvoltatorilor, o atenție deosebită în timpul dezvoltării a fost acordată simplității și ușurinței în utilizare, atât pentru administratorii de sistem, cât și pentru utilizatorii obișnuiți. Cât de reușit a avut acest lucru trebuie să judece consumatorul, adică. S.U.A. În plus, SecrecyKeeper implementează o serie de mecanisme care sunt absente în celelalte sisteme menționate - de exemplu, capacitatea de a seta nivelul de confidențialitate pentru resursele cu acces la distanță și un mecanism de protecție a agentului.
Controlul mișcării informațiilor în SecrecyKeeper este implementat pe baza nivelului de secretizare a informațiilor, nivelurilor de permisiuni ale utilizatorului și nivelului de securitate a computerului, care pot lua valorile public, secret și top secret. Nivelul de securitate a informațiilor vă permite să clasificați informațiile procesate în sistem în trei categorii:

informații publice - nu secrete, nu există restricții atunci când lucrați cu acestea;

secret - informații secrete, atunci când se lucrează cu ea, se introduc restricții în funcție de Nivelurile de Permisiune ale Utilizatorului;

top secret - informații extrem de secrete; atunci când lucrați cu acestea, sunt introduse restricții în funcție de Nivelurile de Permisiune ale Utilizatorului.

Nivelul de securitate a informațiilor poate fi setat pentru un fișier, unitate de rețeași portul computerului pe care rulează un serviciu.

Nivelurile de autorizare a utilizatorului vă permit să determinați modul în care un utilizator poate muta informațiile pe baza nivelului său de securitate. Există următoarele niveluri de permisiuni ale utilizatorului:

Nivel de Permisiune utilizator - limitează nivelul maxim de securitate al informațiilor la care poate accesa un angajat;

Nivelul de acces la rețea - limitează nivelul maxim de securitate al informațiilor pe care un angajat îl poate transmite prin rețea;

Nivelul de acces la suporturi amovibile - limitează nivelul maxim de securitate al informațiilor pe care un angajat îl poate copia pe medii externe.

Nivelul de acces la imprimantă - limitează nivelul maxim de securitate al informațiilor pe care un angajat îl poate imprima.

Nivelul de securitate al computerului - determină nivelul maxim de securitate al informațiilor care pot fi stocate și procesate pe un computer.

Accesul la informații cu un nivel de securitate publică poate fi asigurat de un angajat cu orice autorizație de securitate. Astfel de informații pot fi transmise prin rețea și copiate pe medii externe fără restricții. Istoricul lucrului cu informații clasificate drept publice nu este urmărit.

Accesul la informații cu un nivel de securitate secret poate fi obținut numai de către angajații al căror nivel de autorizare este egal cu secret sau mai mare. Doar angajații al căror nivel de acces la rețea este secret sau mai mare pot transmite astfel de informații în rețea. Numai angajații al căror nivel de acces la mediile amovibile este secret sau mai mare pot copia astfel de informații pe medii externe. Doar angajații al căror nivel de acces la imprimantă este secret sau mai mare pot imprima astfel de informații. Istoricul lucrului cu informații cu nivel secret, de ex. sunt înregistrate încercările de a-l accesa, încercările de a-l transmite prin rețea, încercările de a-l copia pe un suport extern sau de a-l tipări.

Accesul la informații cu un nivel de secret strict poate fi obținut numai de către angajații al căror nivel de autorizare este egal cu cel de secret. Doar angajații al căror nivel de acces la rețea este egal cu cel mai secret pot transmite astfel de informații în rețea. Numai angajații al căror nivel de acces la mediile amovibile este egal cu cel mai secret pot copia astfel de informații pe medii externe. Doar angajații al căror nivel de acces la imprimantă este egal cu cel mai secret pot imprima astfel de informații. Istoricul lucrului cu informații cu un nivel superior secret, de ex. sunt înregistrate încercările de a-l accesa, încercările de a-l transmite prin rețea, încercările de a-l copia pe un suport extern sau de a-l tipări.

Exemplu: permiteți unui angajat să aibă un nivel de permisiune egal cu secret superior, un nivel de acces la rețea egal cu secret, un nivel de acces media amovibil egal cu public și un nivel de acces la imprimantă egal cu secret; în acest caz, un angajat poate obține acces la un document cu orice nivel de secret, angajatul poate transfera informații în rețea cu un nivel de secret nu mai mare decât secret, copia, de exemplu, pe dischete, angajatul poate doar informații cu nivelul secretului public, iar angajatul poate imprima orice informație pe o imprimantă.

Pentru a gestiona difuzarea informațiilor în întreaga întreprindere, fiecărui computer atribuit unui angajat i se atribuie un Nivel de Securitate Informatică. Acest nivel limitează nivelul maxim de securitate al informațiilor pe care orice angajat îl poate accesa de pe un anumit computer, indiferent de nivelurile de autorizare ale angajatului. Acea. dacă un angajat are un nivel de autorizare egal cu top secret și computerul pe care se află acest moment lucrari are un Nivel de Securitate egal cu public, atunci angajatul nu va putea accesa informatii cu un nivel de securitate mai mare decat public de la aceasta statie de lucru.

Înarmați cu teorie, să încercăm să folosim SecrecyKeeper pentru a rezolva problema. Informațiile procesate în sistemul informațional al întreprinderii abstracte luate în considerare (vezi enunțul problemei) pot fi descrise într-un mod simplificat folosind următorul tabel:

Angajații întreprinderii și domeniul lor de interese sunt descriși folosind cel de-al doilea tabel:

Lăsați următoarele servere să fie utilizate în întreprindere:
Server 1C
Server de fișiere cu bile:
SecretDocs - conține documente secrete
PublicDocs - conține documente disponibile public

Vă rugăm să rețineți că capabilitățile standard sunt utilizate pentru a organiza controlul standard al accesului sistem de operareși software de aplicație, de ex. pentru a preveni, de exemplu, ca un manager să acceseze datele personale ale angajaților, nu este nevoie să se introducă sisteme suplimentare de protecție. Vorbim în special despre contracararea difuzării de informații la care angajatul are acces legal.

Să trecem la configurația reală a SecrecyKeeper.
Nu voi descrie procesul de instalare a consolei de management și a agenților, totul este cât se poate de simplu - consultați documentația programului.
Configurarea sistemului constă în efectuarea următorilor pași.

Pasul 1. Instalați agenți pe toate computerele, cu excepția serverelor - acest lucru îi împiedică imediat să obțină informații pentru care Nivelul de secretizare este setat mai mare decât public.

Pasul 2. Atribuiți niveluri de autorizare angajaților conform următorului tabel:

Nivel de permisiune utilizator Nivel de acces la rețea Nivel de acces la mediile amovibile Nivel de acces la imprimantă
director secret secret secret secret
administrator secret public public secret
ofițer personal secret public public secret
contabil secret public secret secret
secretar public public public public

Pasul 3. Atribuiți niveluri de securitate a computerului după cum urmează:

Pasul 4. Configurați nivelurile de securitate a informațiilor pe servere:

Pasul 5. Configurați nivelurile de securitate a informațiilor pe computerele angajaților pentru fișierele locale. Aceasta este partea care consumă cel mai mult timp, deoarece este necesar să înțelegeți clar care angajați lucrează cu ce informații și cât de critice sunt aceste informații. Dacă organizația dvs. a fost supusă unui audit de securitate a informațiilor, rezultatele acestuia pot face sarcina mult mai ușoară.

Pasul 6. Dacă este necesar, SecrecyKeeper vă permite să limitați lista de programe pe care utilizatorii au voie să le ruleze. Acest mecanism este implementat independent de Politica de restricții software Windows și poate fi utilizat dacă, de exemplu, este necesar să se impună restricții utilizatorilor cu drepturi de administrator.

Astfel, cu ajutorul SecrecyKeeper, este posibilă reducerea semnificativă a riscului de difuzare neautorizată a informațiilor clasificate - atât scurgeri, cât și furt.

Defecte:
- dificultate cu configurare inițială niveluri de confidențialitate pentru fișierele locale;

Concluzie generala:
Oportunitățile maxime de protejare a informațiilor împotriva persoanelor din interior sunt oferite de software-ul care are capacitatea de a regla dinamic accesul la canalele de transmitere a informațiilor, în funcție de gradul de secretizare a informațiilor cu care se lucrează și de nivelul de autorizare de securitate a angajatului.

Companie este un serviciu unic pentru cumpărători, dezvoltatori, dealeri și parteneri afiliați. Mai mult, acesta este unul dintre cele mai bune magazine online Software în Rusia, Ucraina, Kazahstan, care oferă clienților o gamă largă, multe metode de plată, procesare promptă (adesea instantanee) a comenzii, urmărirea procesului comenzii într-o secțiune personală.

Recent, problema protecției împotriva amenințărilor interne a devenit o adevărată provocare pentru lumea inteligibilă și consacrată a securității informațiilor corporative. Presa vorbește despre persoane din interior, cercetătorii și analiștii avertizează asupra posibilelor pierderi și necazuri, iar fluxurile de știri sunt pline de rapoarte despre încă un incident care a dus la scurgerea a sute de mii de înregistrări ale clienților din cauza unei erori sau a neglijenței unui angajat. Să încercăm să ne dăm seama dacă această problemă este atât de gravă, dacă trebuie tratată și ce instrumente și tehnologii disponibile există pentru a o rezolva.

În primul rând, merită să se stabilească că o amenințare la adresa confidențialității datelor este internă dacă sursa acesteia este un angajat al întreprinderii sau o altă persoană care are acces legal la aceste date. Astfel, atunci când vorbim despre amenințări interne, vorbim despre oricare acțiuni posibile utilizatori legali, intenționați sau accidental, care pot duce la scurgerea de informații confidențiale în afara rețelei corporative a întreprinderii. Pentru a completa imaginea, merită adăugat că astfel de utilizatori sunt adesea numiți insideri, deși acest termen are alte semnificații.

Relevanța problemei amenințărilor interne este confirmată de rezultatele studiilor recente. În special, în octombrie 2008, au fost anunțate rezultatele unui studiu comun al Compuware și Ponemon Institue, potrivit căruia insiders sunt cea mai frecventă cauză a scurgerilor de date (75% dintre incidente din Statele Unite), în timp ce hackerii au fost doar pe locul cinci. loc. În studiul anual din 2008 al Computer Security Institute (CSI), cifrele pentru numărul de incidente de amenințări din interior sunt următoarele:

Numărul de incidente ca procent înseamnă cel din numărul total de respondenți acest tip incident a avut loc în procentul specificat de organizații. După cum se poate observa din aceste cifre, aproape fiecare organizație are riscul de a suferi de amenințări interne. Prin comparație, conform aceluiași raport, virușii au afectat 50% dintre organizațiile chestionate, iar hackerii infiltrandu-se retea locala doar 13% au întâlnit-o.

Prin urmare, amenintari interne– aceasta este realitatea de astăzi și nu un mit inventat de analiști și vânzători. Așa că cei care, în mod demodat, cred că securitatea informațiilor corporative este un firewall și un antivirus, trebuie să arunce o privire mai amplă asupra problemei cât mai curând posibil.

Legea „Cu privire la Datele cu Caracter Personal” crește și gradul de tensiune, conform căruia organizațiile și oficialii vor trebui să răspundă nu numai în fața managementului lor, ci și în fața clienților lor și a legii pentru manipularea necorespunzătoare a datelor cu caracter personal.

Modelul intrusului

În mod tradițional, atunci când luăm în considerare amenințările și apărările împotriva acestora, ar trebui să începem cu o analiză a modelului adversarului. După cum am menționat deja, vom vorbi despre persoane din interior - angajați ai organizației și alți utilizatori care au acces legal la informații confidențiale. De regulă, cu aceste cuvinte, toată lumea se gândește la un angajat de birou care lucrează pe un computer ca parte a unei rețele corporative, care nu părăsește biroul organizației în timp ce lucrează. Cu toate acestea, o astfel de reprezentare este incompletă. Este necesară extinderea acestuia pentru a include și alte tipuri de persoane cu acces legal la informații care pot părăsi biroul organizației. Aceștia ar putea fi călători de afaceri cu laptopuri, sau cei care lucrează atât la birou, cât și acasă, curieri care transportă media cu informații, în primul rând benzi magnetice cu copie de rezervă etc.

O astfel de considerație extinsă a modelului de intrus, în primul rând, se încadrează în concept, deoarece amenințările prezentate de acești intruși se referă și la cele interne și, în al doilea rând, ne permite să analizăm problema mai larg, luând în considerare toate opțiuni posibile combate aceste amenințări.

Se pot distinge următoarele tipuri principale de infractori interni:

  • Angajat neloial/resentimentat.Încălcatorii din această categorie pot acționa intenționat, de exemplu, schimbând locul de muncă și dorind să obțină informații confidențiale pentru a interesa un nou angajator, sau emoțional, dacă s-au considerat ofensați, dorind astfel să se răzbune. Sunt periculoși pentru că sunt cei mai motivați să provoace daune organizației în care lucrează în prezent. De regulă, numărul incidentelor care implică angajați neloiali este mic, dar poate crește în situații de condiții economice nefavorabile și reduceri masive de personal.
  • Un angajat infiltrat, mituit sau manipulat.În acest caz despre care vorbim despre orice acțiuni intenționate, de obicei în scopul spionajului industrial în condiții de concurență intensă. Pentru a colecta informații confidențiale, fie își introduc propria persoană într-o companie concurentă în anumite scopuri, fie găsesc un angajat mai puțin loial și îl mită, fie forțează un angajat loial, dar neglijent să predea informații confidențiale prin inginerie socială. Numărul de incidente de acest fel este de obicei chiar mai mic decât cele anterioare, datorită faptului că în majoritatea segmentelor economiei din Federația Rusă concurența nu este foarte dezvoltată sau este implementată în alte moduri.
  • Angajat neglijent. Acest tip un contravenient este un angajat loial, dar neatent sau neglijent, care poate încălca politica securitatea internăîntreprindere din cauza ignoranței sau uitării ei. Un astfel de angajat ar putea să trimită din greșeală un e-mail cu un fișier sensibil atașat persoanei greșite sau să ia acasă o unitate flash cu informații confidențiale la care să lucreze în weekend și să o piardă. Acest tip include și angajații care pierd laptopuri și benzi magnetice. Potrivit multor experți, acest tip de insider este responsabil pentru majoritatea scurgerilor de informații confidențiale.

Astfel, motivele și, în consecință, cursul de acțiune al potențialilor contravenienți pot diferi semnificativ. În funcție de aceasta, ar trebui să abordați sarcina de a asigura securitatea internă a organizației.

Tehnologii de protecție împotriva amenințărilor interne

În ciuda tinereții relative a acestui segment de piață, clienții au deja multe dintre care să aleagă, în funcție de obiectivele și capacitățile lor financiare. Este de remarcat faptul că acum practic nu există pe piață vânzători specializați exclusiv în amenințări interne. Această situație a apărut nu doar din cauza imaturității acestui segment, ci și din cauza politicii agresive și uneori haotice de fuziuni și achiziții realizate de producătorii de produse tradiționale de securitate și alți vânzători interesați de o prezență pe acest segment. Merită să amintim compania RSA Data Security, care a devenit o divizie a EMC în 2006, achiziționarea de către NetApp a startup-ului Decru, care a dezvoltat sisteme de protecție a stocării serverelor și copii de rezervăîn 2005, achiziționarea de către Symantec a furnizorului de DLP Vontu în 2007 etc.

În ciuda faptului că un număr mare de astfel de tranzacții indică perspective bune pentru dezvoltarea acestui segment, ele nu beneficiază întotdeauna de calitatea produselor care intră sub aripa. marile corporații. Produsele încep să se dezvolte mai lent, iar dezvoltatorii nu răspund la fel de repede la cerințele pieței în comparație cu o companie foarte specializată. Aceasta este o boală binecunoscută a marilor companii, care, după cum știm, pierd în mobilitate și eficiență în fața fraților mai mici. Pe de altă parte, calitatea serviciilor și disponibilitatea produselor pentru clienții din diferite părți ale lumii se îmbunătățesc datorită dezvoltării rețelei lor de servicii și vânzări.

Să luăm în considerare principalele tehnologii utilizate în prezent pentru neutralizarea amenințărilor interne, avantajele și dezavantajele acestora.

Controlul documentelor

Tehnologia de control al documentelor este încorporată în produsele moderne de gestionare a drepturilor, cum ar fi Microsoft Windows Servicii de gestionare a drepturilor, Adobe LiveCycle Rights Management ES și Oracle Information Rights Management.

Principiul de funcționare al acestor sisteme este de a atribui reguli de utilizare pentru fiecare document și de a controla aceste drepturi în aplicațiile care lucrează cu documente de acest tip. De exemplu, puteți crea un document Microsoft Wordși setați reguli pentru aceasta: cine îl poate vizualiza, cine poate edita și salva modificările și cine poate imprima. Aceste reguli sunt numite licență în termenii Windows RMS și sunt stocate împreună cu fișierul. Conținutul fișierului este criptat pentru a împiedica utilizatorii neautorizați să îl vizualizeze.

Acum, dacă orice utilizator încearcă să deschidă un astfel de fișier protejat, aplicația contactează un server RMS special, confirmă permisiunile utilizatorului și, dacă accesul la acest utilizator este permis, serverul transmite cheia aplicației pentru a decripta acest fișier și informații. despre drepturile acestui utilizator. Pe baza acestor informații, aplicația pune la dispoziția utilizatorului doar acele funcții pentru care acesta are drepturi. De exemplu, dacă unui utilizator nu i se permite să imprime un fișier, funcția de imprimare a aplicației nu va fi disponibilă.

Se pare că informațiile dintr-un astfel de fișier sunt sigure chiar dacă fișierul iese în afara rețelei corporative - este criptat. Funcționalitatea RMS este deja încorporată în aplicații Microsoft Office Ediția profesională 2003. Pentru a încorpora funcționalitatea RMS în aplicații de la alți dezvoltatori, Microsoft oferă un SDK special.

Sistemul de control al documentelor Adobe este construit într-un mod similar, dar se concentrează pe documente în format PDF. Oracle IRM este instalat pe computerele client ca agent și se integrează cu aplicațiile în timpul rulării.

Controlul documentelor este o parte importantă a conceptului general de protecție împotriva amenințărilor interne, dar trebuie luate în considerare limitările inerente ale acestei tehnologii. În primul rând, este conceput exclusiv pentru monitorizarea fișierelor documentelor. Dacă vorbim de fișiere sau baze de date nestructurate, această tehnologie nu funcționează. În al doilea rând, dacă un atacator, folosind SDK-ul acestui sistem, creează o aplicație simplă care va comunica cu serverul RMS, va primi o cheie de criptare de acolo și va salva documentul în text clar și lansează această aplicație în numele unui utilizator care are un nivel minim de acces la document, atunci acest sistem va fi ocolit. În plus, ar trebui să se țină cont de dificultățile la implementarea unui sistem de control al documentelor, dacă organizația a creat deja multe documente - sarcina de a clasifica inițial documentele și de a atribui drepturile de utilizare a acestora poate necesita un efort semnificativ.

Acest lucru nu înseamnă că sistemele de control al documentelor nu îndeplinesc sarcina, trebuie doar să ne amintim că securitatea informațiilor este o problemă complexă și, de regulă, nu este posibil să o rezolvăm cu ajutorul unui singur instrument.

Protecție împotriva scurgerilor

Termenul de prevenire a pierderii datelor (DLP) a apărut în vocabularul specialiștilor în securitatea informațiilor relativ recent și a devenit deja, fără exagerare, cel mai fierbinte subiect din ultimii ani. De regulă, abrevierea DLP se referă la sisteme care monitorizează posibilele canale de scurgere și le blochează dacă se încearcă trimiterea oricăror informații confidențiale prin aceste canale. În plus, în funcție sisteme similare deseori include capacitatea de a arhiva informațiile care trec prin ele pentru audituri ulterioare, investigații de incidente și analiza retrospectivă a riscurilor potențiale.

Există două tipuri de sisteme DLP: DLP de rețea și DLP gazdă.

DLP de rețea funcționează pe principiul unui gateway de rețea, care filtrează toate datele care trec prin acesta. Evident, pe baza sarcinii de combatere a amenințărilor interne, interesul principal al unei astfel de filtrări constă în capacitatea de a controla datele transmise în afara rețelei corporative către Internet. DLP-urile de rețea vă permit să monitorizați e-mailurile de ieșire, traficul http și ftp, serviciile de mesagerie instantanee etc. Dacă sunt detectate informații sensibile, DLP-urile de rețea pot bloca fișierul transmis. Există, de asemenea, opțiuni pentru procesarea manuală a fișierelor suspecte. Fișierele suspecte sunt plasate în carantină, care este revizuită periodic de un ofițer de securitate și fie permite sau interzice transferul de fișiere. Cu toate acestea, datorită naturii protocolului, o astfel de prelucrare este posibilă numai pentru e-mail. Oportunități suplimentare de auditare și investigare a incidentelor sunt oferite prin arhivarea tuturor informațiilor care trec prin gateway, cu condiția ca această arhivă să fie revizuită periodic și să fie analizat conținutul ei pentru a identifica scurgerile apărute.

Una dintre principalele probleme în implementarea și implementarea sistemelor DLP este metoda de detectare a informațiilor confidențiale, adică momentul luării unei decizii cu privire la confidențialitatea informațiilor transmise și motivele care sunt luate în considerare la luarea unei astfel de decizii. . De regulă, acest lucru se face prin analiza conținutului documentele transferate, numită și analiză de conținut. Să luăm în considerare principalele abordări pentru detectarea informațiilor confidențiale.

  • Etichete. Această metodă este similară cu sistemele de control al documentelor discutate mai sus. Etichetele sunt încorporate în documente care descriu gradul de confidențialitate al informațiilor, ce se poate face cu acest document și cui trebuie trimise. Pe baza rezultatelor analizei etichetelor, sistemul DLP decide dacă este posibil acest document trimite afara sau nu. Unele sisteme DLP sunt inițial compatibile cu sistemele de gestionare a drepturilor pentru a utiliza etichetele pe care aceste sisteme le instalează; alte sisteme folosesc propriul format de etichetă.
  • Semnături. Această metodă constă în specificarea uneia sau mai multor secvențe de caractere, a căror prezență în textul fișierului transferat ar trebui să spună sistemului DLP că acest fișier conține informații confidențiale. Un număr mare de semnături pot fi organizate în dicționare.
  • metoda Bayes. Această metodă, folosită pentru combaterea spam-ului, poate fi folosită cu succes și în sistemele DLP. Pentru a aplica această metodă, se creează o listă de categorii și se indică o listă de cuvinte cu probabilitățile ca dacă cuvântul apare într-un fișier, atunci fișierul cu o probabilitate dată să aparțină sau să nu aparțină categoriei specificate.
  • Analiza morfologică.Metoda de analiză morfologică este similară cu cea de semnătură, diferența este că nu se analizează potrivirea 100% cu semnătura, ci se iau în considerare și cuvintele rădăcină similare.
  • Printuri digitale.Esența acestei metode este că o funcție hash este calculată pentru toate documentele confidențiale în așa fel încât, dacă documentul este ușor modificat, funcția hash va rămâne aceeași sau, de asemenea, se va modifica ușor. Astfel, procesul de detectare a documentelor confidențiale este mult simplificat. În ciuda laudelor entuziaste ale acestei tehnologii de la mulți vânzători și unii analiști, fiabilitatea ei lasă de dorit, iar dat fiind faptul că vânzătorii, sub diverse pretexte, preferă să lase detaliile implementării algoritmului de amprentă digitală în umbră, încredere. în ea nu crește.
  • Expresii obisnuite.Cunoscut de toți cei care s-au ocupat de programare, expresii obisnuite ușurează găsirea datelor șablonului în text, cum ar fi numere de telefon, informații despre pașaport, numere de cont bancar, numere de securitate socială etc.

Din lista de mai sus este ușor de observat că metodele de detectare fie nu garantează identificarea 100% a informațiilor confidențiale, deoarece nivelul de erori atât al primului, cât și al celui de-al doilea tip în ele este destul de ridicat, fie necesită o vigilență constantă a serviciului de securitate pentru a actualizați și mențineți o listă actualizată de semnături sau etichete de atribuire pentru documentele confidențiale.

În plus, criptarea traficului poate crea o anumită problemă în funcționarea rețelei DLP. Dacă cerințele de securitate vă cer să criptați mesajele de e-mail sau să utilizați SSL atunci când vă conectați la orice resurse web, problema determinării prezenței informațiilor confidențiale în fișierele transferate poate fi foarte dificil de rezolvat. Nu uitați că unele servicii de mesagerie instantanee, cum ar fi Skype, au criptare încorporată în mod implicit. Va trebui să refuzați să utilizați astfel de servicii sau să utilizați DLP gazdă pentru a le controla.

Cu toate acestea, în ciuda tuturor dificultăților, când setarea corectă Când este luată în serios, DLP-ul de rețea poate reduce semnificativ riscul scurgerii de informații confidențiale și poate oferi unei organizații un mijloc convenabil de control intern.

Gazdă DLP sunt instalate pe fiecare gazdă din rețea (pe stațiile de lucru client și, dacă este necesar, pe servere) și pot fi folosite și pentru a controla traficul pe Internet. Cu toate acestea, DLP-urile bazate pe gazdă sunt mai puțin răspândite în această capacitate și sunt utilizate în prezent în principal pentru control dispozitive externeși imprimante. După cum știți, un angajat care aduce la muncă o unitate flash sau un player MP3 reprezintă o amenințare mult mai mare la adresa securității informațiilor unei întreprinderi decât toți hackerii la un loc. Aceste sisteme mai sunt numite și instrumente de securitate a punctelor finale de rețea ( securitatea punctului final), deși acest termen este adesea folosit mai larg, de exemplu, produsele antivirus sunt uneori numite astfel.

După cum știți, problema utilizării dispozitivelor externe poate fi rezolvată fără a folosi niciun mijloc prin dezactivarea porturilor fie fizic, fie folosind sistemul de operare, fie administrativ prin interzicerea angajaților să aducă orice suport de stocare în birou. Cu toate acestea, în majoritatea cazurilor, abordarea „ieftină și veselă” este inacceptabilă, deoarece flexibilitatea necesară a serviciilor de informare cerută de procesele de afaceri nu este furnizată.

Din această cauză, a existat o anumită cerere pentru mijloace speciale, cu ajutorul căruia poți rezolva mai flexibil problema utilizării dispozitivelor și imprimantelor externe de către angajații companiei. Astfel de instrumente vă permit să configurați drepturile de acces pentru utilizatori tipuri variate dispozitive, de exemplu, pentru un grup de utilizatori să interzică lucrul cu medii și să le permită să lucreze cu imprimante, iar pentru altul - să permită lucrul cu medii în modul doar citire. Dacă este necesară înregistrarea informațiilor pe dispozitivele externe pentru utilizatorii individuali, se poate folosi tehnologia de copiere umbră, care asigură că toate informațiile care sunt salvate pe un dispozitiv extern sunt copiate pe server. Informațiile copiate pot fi analizate ulterior pentru a analiza acțiunile utilizatorului. Această tehnologie copiază totul, iar în prezent nu există sisteme care să permită analiza conținutului fișierelor stocate pentru a bloca funcționarea și a preveni scurgerile, așa cum fac DLP-urile de rețea. Cu toate acestea, o arhivă de copii umbră va oferi investigații de incident și analiză retrospectivă a evenimentelor din rețea, iar prezența unei astfel de arhive înseamnă că un potențial din interior poate fi prins și pedepsit pentru acțiunile lor. Acest lucru se poate dovedi a fi un obstacol semnificativ pentru el și un motiv semnificativ pentru a abandona acțiunile ostile.

De asemenea, merită menționat controlul asupra utilizării imprimantelor - copiile pe hârtie ale documentelor pot deveni și o sursă de scurgere. Hosted DLP vă permite să controlați accesul utilizatorilor la imprimante în același mod ca și alte dispozitive externe și să stocați copii ale documentelor tipărite în format grafic pentru analiza ulterioară. În plus, tehnologia filigranelor a devenit oarecum răspândită, care tipărește un cod unic pe fiecare pagină a unui document, care poate fi folosit pentru a determina exact cine, când și unde a tipărit acest document.

În ciuda avantajelor neîndoielnice ale DLP-ului bazat pe gazdă, acestea au o serie de dezavantaje asociate cu necesitatea de a instala software agent pe fiecare computer care se presupune a fi monitorizat. În primul rând, acest lucru poate cauza anumite dificultăți în ceea ce privește implementarea și gestionarea unor astfel de sisteme. În al doilea rând, un utilizator cu drepturi de administrator poate încerca să dezactiveze acest software pentru a efectua orice acțiuni nepermise de politica de securitate.

Cu toate acestea, pentru controlul fiabil al dispozitivelor externe, DLP-ul bazat pe gazdă este indispensabil, iar problemele menționate nu sunt de nerezolvat. Astfel, putem concluziona că conceptul de DLP este acum un instrument cu drepturi depline în arsenalul serviciilor de securitate corporativă în fața presiunii din ce în ce mai mari asupra acestora pentru a asigura controlul intern și protecția împotriva scurgerilor.

Conceptul IPC

În procesul de inventare a unor noi mijloace de combatere a amenințărilor interne, gândirea științifică și inginerească a societății moderne nu se oprește și, ținând cont de anumite neajunsuri ale mijloacelor care au fost discutate mai sus, piața sistemelor de protecție a scurgerilor de informații a ajuns la conceptul de IPC (Protecția și Controlul Informației). Acest termen a apărut relativ recent; se crede că a fost folosit pentru prima dată într-o revizuire a companiei de analiză IDC în 2007.

Esența acestui concept este combinarea metodelor DLP și de criptare. În acest concept, folosind DLP, informațiile care părăsesc rețeaua corporativă sunt controlate prin intermediul canale tehnice, iar criptarea este folosită pentru a proteja mediile de stocare care cad fizic sau pot cădea în mâinile unor persoane neautorizate.

Să ne uităm la cele mai comune tehnologii de criptare care pot fi utilizate în conceptul IPC.

  • Criptarea benzilor magnetice.În ciuda naturii arhaice a acestui tip de media, acesta continuă să fie utilizat în mod activ pentru Rezervă copieși pentru transferul unor volume mari de informații, deoarece încă nu are egal în ceea ce privește costul unitar al unui megaoctet stocat. În consecință, scurgerile de bandă continuă să încânte editorii de știri care le-au pus pe prima pagină și să frustreze CIO și echipele de securitate ale întreprinderilor care devin eroii unor astfel de rapoarte. Situația este agravată de faptul că astfel de casete conțin cantități foarte mari de date și, prin urmare, un număr mare de oameni pot deveni victimele escrocilor.
  • Criptarea stocărilor pe server.În ciuda faptului că stocarea pe server este foarte rar transportată, iar riscul pierderii acesteia este nemăsurat mai mic decât cel al benzii magnetice, un HDD din depozit poate cădea în mâinile infractorilor. Reparație, eliminare, modernizare - aceste evenimente apar cu suficientă regularitate pentru a anula acest risc. Iar situația persoanelor neautorizate care intră în birou nu este un eveniment cu totul imposibil.

Aici merită să facem o mică digresiune și să menționăm ideea greșită comună că, dacă un disc face parte dintr-o matrice RAID, atunci, se presupune, nu trebuie să vă faceți griji că va cădea în mâinile greșite. S-ar părea că alternarea datelor înregistrate în mai multe hard disk-uri, pe care controlerele RAID le efectuează, oferă un aspect ilizibil datelor care se află pe orice tip de hard. Din păcate, acest lucru nu este în întregime adevărat. Intercalarea are loc, dar în majoritatea dispozitivelor moderne se face la nivel de bloc de 512 octeți. Aceasta înseamnă că, în ciuda încălcării structurii și formatelor fișierelor, informațiile confidențiale pot fi extrase în continuare de pe un astfel de hard disk. Prin urmare, dacă există o cerință de a asigura confidențialitatea informațiilor atunci când sunt stocate într-o matrice RAID, criptarea rămâne singura opțiune de încredere.

  • Criptarea laptopurilor.Acest lucru s-a spus deja de nenumărate ori, dar totuși, pierderea laptopurilor cu informații confidențiale nu s-a înscris de mulți ani în topul celor cinci succese ale incidentelor.
  • Criptarea suporturilor amovibile.În acest caz, vorbim despre dispozitive USB portabile și, uneori, CD-uri și DVD-uri înregistrabile dacă sunt folosite în procesele de afaceri ale întreprinderii. Astfel de sisteme, precum și sistemele de criptare a hard disk-ului laptopului menționate mai sus, pot acționa adesea ca componente ale sistemelor DLP gazdă. În acest caz, se vorbește despre un fel de perimetru criptografic, care asigură criptarea automată transparentă a media în interior și incapacitatea de a decripta datele în afara acestuia.

Astfel, criptarea poate extinde semnificativ capacitățile sistemelor DLP și poate reduce riscul scurgerii de date confidențiale. În ciuda faptului că conceptul de IPC a luat contur relativ recent, iar alegerea soluțiilor complexe IPC de pe piață nu este foarte largă, industria explorează activ acest domeniu și este foarte posibil ca după ceva timp acest concept să devină standard facto pentru rezolvarea problemelor de securitate internă şi securitate internă.control.

concluzii

După cum se poate observa din această analiză, amenințările interne reprezintă un domeniu destul de nou în securitatea informațiilor, care, totuși, se dezvoltă activ și necesită o atenție sporită. Tehnologiile considerate de control al documentelor, DLP și IPC fac posibilă construirea unui sistem de control intern destul de fiabil și reducerea riscului de scurgere la un nivel acceptabil. Fără îndoială, această zonă a securității informațiilor va continua să se dezvolte, vor fi oferite tehnologii mai noi și mai avansate, dar astăzi multe organizații optează pentru o soluție sau alta, deoarece neatenția în materie de securitate a informațiilor poate fi prea costisitoare.

Alexey Raevsky
CEO al SecurIT



Popular în categoria:
Cum se creează un clip karaoke pe un computer?
Cum se creează un clip karaoke pe un computer?
citit
Aplicația Origin este necesară pentru joc, dar nu este instalată. FIFA 16 necesită Origin.
Aplicația Origin este necesară pentru a juca, dar nu este instalată FIFA...
citit
Înregistrarea unei pagini personale pe rețeaua socială Facebook
Înregistrarea unei pagini personale pe rețeaua socială Facebook
citit
Cum să rulați o scanare Nmap Nmap simplă
Cum să rulați o scanare Nmap Nmap simplă
citit

ultimele articole
Cum să rotiți o imagine cu câteva grade...
citit
Dezactivarea publicității în browserul Yandex Unde...
citit
Rezolvarea problemelor de conexiune Wi-Fi pe...
citit
Schimbați parola pe profilul Windows 10
citit
Instrucțiuni pentru configurarea routerelor fără fir...
citit
Cum să alegi un hard disk și care este mai bine să-l cumperi...
citit
Meizu pentru manechini. Apeluri si agenda....
citit
Descărcați programul PDFMaster
citit
Top