INVA-Портал!

Инсайдеры - это сотрудники компании, случайно или намеренно совершающие действия, которые могут привести к раскрытию конфиденциальной информации конкурентам или злоумышленникам. Возможно, внешних атак на корпоративную информацию больше - и это не только конкуренты и злоумышленники, но и различные вирусы, трояны, иные вредоносные программы. Однако возможности инсайдера значительно выше, и потери от раскрытия им информации могут быть значительно выше. Тем более что от внешних угроз хорошо ли, плохо ли, но защищаться научились. Сложнее защититься от собственных сотрудников.

Сотрудники имеют доступ к значительным объемам корпоративной информации. И не только к той, к которой они должны иметь доступ по своему статусу. Зачастую доступ к корпоративной информации внутри компании разграничивается очень слабо, и ее существенная часть оказывается "в открытом доступе". Получить ее и передать вовне - задача не слишком сложная. А современные внешние устройства позволяют сохранять на них огромные объемы информации и не требуют для этого особых усилий и специальных дополнительных устройств. Подключился человек к USB-порту, который теперь есть на каждом компьютере, и "слил" интересующую его информацию.

В современных условиях защититься от кражи информации только организационными и воспитательными мерами невозможно. Требуются и специальные технические и программные продукты, которые бы могли поставить реальный заслон доступа к информации, которая не предназначена для конкретного сотрудника, а также фиксировали любые обращения к защищенным с их помощью данным.

Одним из решений такого рода является программа DeviceLock, позволяющая определить права доступа сотрудников к дисководам, устройствам считывания/записи, внешним портам и позволяющая выполнять централизованную настройку. Иное решение, предназначенное для защиты информации, предлагает компания Smart Protection Labs. Это SecretsSaver - принципиально новая система защиты конфиденциальной информации от угроз, исходящих от "доверенных" и "посвященных" сотрудников вашего предприятия. Система функционирует в доменах Windows 2000/2003 и на рабочих станциях под управлением ОС Windows 2000/XP/2003.

SecretsSaver расширяет стандартную систему безопасности Windows, реализуя мандатный (полномочный) контроль доступа. В основе механизма, реализованного в этой системе, лежит разделение информации по степеням секретности, а разделение сотрудников предприятия - по уровням допуска. Изначально информация подразделяется на три группы: общая, служебная и секретная, а для пользователей установлены три группы допуска: общий допуск пользователя, допуск к сети и допуск к сменным носителям. Уровни допуска определяют максимальный гриф информации, к которой сотрудник может получить доступ, гриф информации, которую он может передавать по сети и копировать на внешние носители.

Дополнительно в системе предусмотрена возможность устанавливать уровень безопасности компьютера (он определяет, с каким максимальным грифом секретности может быть открыта информация на данном компьютере) и уровень безопасности сервера, определяющий, какая информация (гриф секретности) хранится на том или ином сервере. Это необходимо для случаев, когда на сервере установлены системы, работающие по клиент-серверной технологии.

Система устанавливается в два этапа. На первом выполняется установка ядра системы и консоли управления. (Для этого пользователь должен войти в локальную сеть с правами администратора домена.) На втором этапе выполняется установка агентов на локальные компьютеры. SecretsSaver интегрирована в Active Directory, что дает возможность для установки агентов использовать его свойства.

Все управление уровнями доступа, параметрами секретности информации, уровнями безопасности осуществляется через консоль. Основная панель консоли разделена на две части. В левой части панели можно выбрать параметры, для которых требуется установить, изменить или просмотреть характеристики доступа (пользователи и компьютеры). Здесь же - доступ к логам программы, в которых фиксируется вся работа пользователей при доступе к защищенным файлам и папкам.

В правой части панели отображается информация, соответствующая сделанному выбору. Данные о пользователях и компьютерах берутся из данных домена. Для установки агента нужно выбрать требуемый компьютер и запустить процедуру установки (она выполняется без вмешательства пользователя компьютера). После установки агента можно выполнить назначение уровня безопасности компьютера и уровня секретности сетевой информации. Это действие выполняется при выборе требуемого компьютера в одном и том же окне настройки. (Уровни безопасности компьютера и сетевой информации, к которой он предоставляет доступ, могут быть различными.)

Однако, прежде чем приступать к назначению прав доступа, определению уровней секретности информации и остальных параметров, крайне желательно провести анализ и определить, какая информация будет иметь тот или иной гриф секретности и кто из сотрудников будем иметь тот или иной параметр доступа к соответствующей группе информации. Например, менеджерам по продажам совершенно необязательно иметь доступ к информации по закупкам. Поэтому уровень секретности информации может быть установлен как "конфиденциальный", а уровень доступа менеджеров по продажам к этой информации - как "общедоступный". В результате данная информация для них доступна не будет. Аналогично необходимо проработать все возможные группы информации и группы сотрудников для предотвращения возможности доступа к закрытой для кого-либо информации.

Подобно тому, как назначаются уровни безопасности компьютеров, назначаются и уровни допуска пользователей. Перейдя на закладку "Пользователи", в правой части панели управления будет выведен список всех зарегистрированных пользователей домена с указанием, какой уровень допуска к той или иной информации он имеет. Выбрав необходимого пользователя, можно установить или изменить его уровень допуска, уровень допуска к сетевой информации и уровень допуска к сменным носителям. (Локально изменить эти характеристики нельзя.) А разграничение доступа к информации одинакового уровня секретности осуществляется уже с помощью стандартных средств управления доступом ОС Windows.

Все было бы хорошо, если бы не одно "но". При такой системе разграничения доступа к локальной и сетевой (передаваемой по локальной сети) информации затруднительно обмениваться ею даже в случае необходимости. Но и здесь есть решение. Для обеспечения необходимого удобства обмена в локальной сети можно поставить два дополнительных файловых сервера: один - для доступа к информации, имеющей гриф "служебная"; другой - для доступа к секретной информации. Несколько неудобно, но зато прекрасно вписывается в схему разделения прав.

Как уже говорилось, система обеспечивает не только разграничение доступа, но и полное протоколирование всех действий. В системе предусмотрено, что не протоколируются никакие действия, связанные с общедоступной информацией. Для всей остальной, имеющей гриф "служебная" или "секретная", ведутся журналы событий. В этих журналах фиксируются удачные и неудачные попытки доступа к документам, попытки копирования документов на сменные носители, включая флеш-диски, удачные и неудачные попытки подключения к серверам, предоставляющим доступ к служебной и секретной информации. Поскольку таких записей может быть очень много, предусмотрена система фильтров, когда отображение записи может выполняться либо по имени пользователя, либо по названию компьютера.

Использование системы SecretsSaver в организации не может, конечно, решить всех проблем по защите информации. В то же время она помогает резко сократить возможности кражи информации собственными сотрудниками.

softkey.info