Перейти к содержанию
andrey golubev

защита от инсайдеров - помогите с выбором

Recommended Posts

skif
И дело соввсем не в специализированном софте. Дело - в мозге Администратора Безопасности.

Читаем постановку задачи и ответы на уточняющие вопросы.

Доступ к почте на общедоступных почтовых Интернет-системах (mail.ru, yandex.ru и т.д.) разрешен.

из какого сегмента? где обрабатывается конф. информация?

да, и изменить это печальный факт возможности нет

Опишите пожалуйста, как предотвратить утечку в данной ситуации без спец софта ? Особенно если слово "сегмент" заменить словом "компьютер"

Чуть не забыл:

лучший способ защиты от инсайдеров - сегментирование доступа таким образом, чтобы потенциальный инсайдер не имел представления о функционировании системы в целом, а разглашение Информации, которой он владеет, не являлось бы критичным.

(то есть по части Информации нельзя было бы узнать всю Информацию)

Дополнительно:

разграничение доступа к сегментам внутреннем сети, содержащим критичную Информацию,

картирование свитчей с указанием доступных портов. Цель: исключение несанкционированного подключения к локальной Сети.

Вы путаете понятия несанкционированного распространения и несанкционированного доступа. Инсайдер имеет доступ к конфиденциальной информации абсолютно легально. Более того он сам ее создавать может - исходники программ, аналитика, схемы, финансовые отчеты и т.п. И утечка этой информации критична по определению.

Сейчас возникли определённые трудности с передачей критичной Информации по сетям общего пользования: трафик, перемещаемый по европейским сетям будет перехватываться и анализироваться. Имейте это в виду.

Это уже совсем другая песня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Кстати ссылочкой на последнюю бету не поделитесь ? Облазил весь сайт, нет там беты, только релиз.

http://www.secrecykeeper.com/download/index.html

самый нижний в списке оказался -

SecrecyKeeper v3.0 beta

Скриншотик сбросить? :D

Для вас является странным, что человек решающий задачу и желающий обсудить свои варианты решения со специалистами в задаче разбирается ?

я даже рад этому. Но начал он - заметьте - не с Perimetrix или Панциря, а сходу согласился, что SecrecyKeeper - очень даже ничего, и на мои посты вполне обоснованно о нем говорил. Что, в общем, озадачивает. Ежели он настолько хорош в теме - зачем открыл топик? Вывод тривиален.

IT-Shark

+1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
skif
http://www.secrecykeeper.com/download/index.html

самый нижний в списке оказался -

SecrecyKeeper v3.0 beta

Скриншотик сбросить? :D

смотрите русскую часть http://www.secrecykeeper.com/download/index-r.html

Но начал он - заметьте - не с Perimetrix или Панциря, а сходу согласился, что SecrecyKeeper - очень даже ничего, и на мои посты вполне обоснованно о нем говорил. Что, в общем, озадачивает. Ежели он настолько хорош в теме - зачем открыл топик? Вывод тривиален.

А что озадачивает ? Он сам пишет (от 14.07.2008, 11:04) продукт он уже рассматривал, и пишет почему он его не устроил.

И в ТЗ кстати две части. И причем по второй кроме одного моего предложения по IW TM других не было. Но чтобы меня не обвинили еще и в рекламе IW прибавлю Дозор Джет. Мониторит почту и веб, но пропускает аську. Зато в отличии от IWTM использующего дорогой оракл, архивы может хранить в бесплатном постгрессе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Perimetrix - реализован полномочный доступ, что с моей точки зрения для данной задачи гораздо удобнее, чем интересен - начальная расстановка грифов основана на контентном анализе документов, т.е. может выполняться автоматически.

У Perimetrix есть реализованный продукт? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
skif
У Perimetrix есть реализованный продукт? :rolleyes:

На сайте написано, что есть и даже не один, а целый комплекс. В контектсе данной темы интересны SafeUse и SafeEdge. Демок не видел, не звонил и не писал. А у вас есть какие-то сомнения по поводу наличия и реализации ? Я смотрел их буклеты - достаточно интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark

skif, компания Perimetrix ещё слишком молода. Потому - то AlexandrВ Shabanov и задал свой вопрос.

И ещё: в любом DLP важно не отслеживание, а предотвращение утечки!

А посему человека исключить из цепочки ну никак нельзя.

Кстати, технические меры идут последним пунктом. Основное - работа с персоналом!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
skif
в любом DLP важно не отслеживание, а предотвращение утечки!

Полностью согласен.

А посему человека исключить из цепочки ну никак нельзя.

Человека исключать нельзя, но роль его минимизировать можно. И продукты качественно реализующие полномочный доступ в комплексе с грамотной настройкой сети на мой взгляд это позволяют. Слово "качественно" подразумевает реализацию не для галочки, как это сделано в системах предназначенных для сертификации, а для использования.

Не много не внятно написал - имел в виду следующее. Современные ОС хорошо контролируют доступ, но совсем не контролируют распространение информации. Для контроля распространения необходим полномочный доступ. Он реализован в сторонних продуктах. В висте кстати тоже появился, но заточен для защиты системы.

Кстати, технические меры идут последним пунктом. Основное - работа с персоналом!

С этим не согласен. Работать с персоналом надо конечно, но это профилактика нарушения, а не защита от него.

Я считаю, что при решении этой задачи необходимо в первую очередь технически ограничить возможности сотрудников по перемещению информации до его производственной необходимости. После этого в зависимости от профиля организации от 80 до 90% возможностей по кражи ин-фы устраняется. А оставшееся - это контроль, т.е. инфа уйдет, но останется возможность выяснить через кого. Могу еще сказать что эти 10-20% можно еще снизить за счет оперативных мероприятий, но во-первых это не относится ни к данному форуму, ни к теме ветки, а во-вторых для этого нужна заточенная под такое СБ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
С этим не согласен.

а то, что в голове инсайдера - как вами рекламируемый продукт предотвратит эту утечку? Видимо, никак. Потому с чего начали, к тому и пришли. Вышел человек из офиса, передал информацию - от этого он инсайдером быть не перестал. Поэтому - вашу рекламу - в портмоне.

ЗЫ И что то топикстартер затих..... Он же глубокий спец - как в продуктах, так и в политиках. Очень интересно послушать начальника транспортного цеха! Проблема инсайдера - это ж проблема.... Правдв, очень просил помощи в выборе, хотя даже не спорил.... выбор им сделан загодя, реклама прошла, осталось выяснить - какой резонанс в группее воздействия.... Как по мне - не очень получилось

ЗЗЫ. И процентами поосторожнее. Рекламистов люблю, но абсолютно не доверяю. Инсайдерский инциденты погуглите - там будут иные цифири.

смотрите русскую часть http://www.secrecykeeper.com/download/index-r.html

по вашему мнению, это что-то существенно должно изменить? я всегда полагал, что мировая (англоязычная) часть во всяком случае никак не должна отличаться от русскоязычной. Потому - даже не смотрю

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
Читаем постановку задачи и ответы на уточняющие вопросы.

Доступ к почте на общедоступных почтовых Интернет-системах (mail.ru, yandex.ru и т.д.) разрешен.

из какого сегмента? где обрабатывается конф. информация?

да, и изменить это печальный факт возможности нет

Опишите пожалуйста, как предотвратить утечку в данной ситуации без спец софта ? Особенно если слово "сегмент" заменить словом "компьютер"

:blink: Чем бесплатные почтовые сервисы не угодили? Спамом?

А кто мешает запретить открывать письма от неизвестных отправителей и разрешить пользоваться только безопасными почтовыми клиентами?

И вообще, грамотно настроенный АнтиСпам упразднён????

Требую разъяснений!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
blink.gif Чем бесплатные почтовые сервисы не угодили? Спамом?

А кто мешает запретить открывать письма от неизвестных отправителей и разрешить пользоваться только безопасными почтовыми клиентами?

Возможностью утечки конфиденциальной информации через банальное письмо, отправленное через не менее банальный веб-интерфейс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
skif
а то, что в голове инсайдера - как вами рекламируемый продукт предотвратит эту утечку? Видимо, никак. Потому с чего начали, к тому и пришли. Вышел человек из офиса, передал информацию - от этого он инсайдером быть не перестал. Поэтому - вашу рекламу - в портмоне.

Вы упустили пару моментов:

1. Топикстартер выложил четкое ТЗ. Он не просил анализировать проблему полностью. Он просил помочь выбрать продукты закрывающие описанный функционал. Кстати я вам об этом уже писал.

2. Наличие информации которую можно вынести в голове и передать устно, еще не значит, что не надо защищать информ ресурс созданный сотрудниками, хранимый в цифровом виде и к которому рядовые (а следовательно многочисленные) сотрудники имеют законный доступ. Вот о защите именно этого ресурса от кражи и идет речь в данном топике. Попробуйте вынести в голове финансовый отчет, исходный код программного модуля, рабочие материалы фильма или схемы здания. Неужели вы этого не понимаете ?

ЗЫ И что то топикстартер затих..... Он же глубокий спец - как в продуктах, так и в политиках. Очень интересно послушать начальника транспортного цеха! Проблема инсайдера - это ж проблема.... Правдв, очень просил помощи в выборе, хотя даже не спорил.... выбор им сделан загодя, реклама прошла, осталось выяснить - какой резонанс в группее воздействия.... Как по мне - не очень получилось

А с чем ему было спорить ? С вашей интуицией ? Так это категория иррациональная типа женской логики. А ни одного аргумента вы так и не привели. Потому что этика. Вы кстати определитесь - кто мы с топикстартером провокаторы или рекламщики.

ЗЗЫ. И процентами поосторожнее. Рекламистов люблю, но абсолютно не доверяю. Инсайдерский инциденты погуглите - там будут иные цифири.

В гугле инфа по инцидентам которые во первых стали известны хозяевам инфы, а во вторых, которые эти хозяева решили огласке предать, вернее которые замолчать сложно. 90% - утечка персональных данных и 6% - комерческой тайны (источник отчеты инфовотч). А основной канал - сотрудник прощелкавший ноутбук или выкинувший сервер не утилизировав диски. Т.е. халатность. Информации по преднамеренным кражам настолько мало, что делать на основе нее какие-то выводы просто нельзя.

Поэтому цифры я привел из собственного опыта. И при необходимости могу их обосновать. Только это не есть тема данной ветки - обсуждение продуктов соответствующих ТЗ, к которой я в очередной раз предлагаю вам вернуться. Если вам по теме сказать нечего, то чего флудить то ? Просто потому что молчать не привыкли ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
рекламщики.

тоже повторюсь - именно это, не более. Мне все ясно, спасибо за внимание, можно не отвечать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
skif
:blink: Чем бесплатные почтовые сервисы не угодили? Спамом?

А кто мешает запретить открывать письма от неизвестных отправителей и разрешить пользоваться только безопасными почтовыми клиентами?

И вообще, грамотно настроенный АнтиСпам упразднён????

Антиспам как средство защиты от инсайдеров ? Пять баллов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Найдите хорошего системного интегратора, который умеет делать DLP. Выбор решения появится в процессе анализа ситуации. DLP - это не коробочный софт.

я и начал с интеграторов. эти ребята не то что анализ ситуации, они и ТЗ не все читают. мне были предложены следующие продукты:

1. Infowatch Trafic Monitor - в принципе соответствует требованиям ТЗ, как средство архивирования трафика

2. Infowatch Device Monitor - требованиям ТЗ не соответствует, секретную информацию от несекретной отличать не умеет

3. Device Lock - требованиям ТЗ не соответствует, секретную информацию от несекретной отличать не умеет

4. zLock - требованиям ТЗ не соответствует, секретную информацию от несекретной отличать не умеет

5. Perimetrix Safe Space - это комплекс из трех продуктов, по описанию нам подходит SafeUse - для контроля рабочих станций и SafeEdge - для архивирования трафика. SafeUse реализует мандатный (полномочный) контроль доступа. Уже недели две ждем ТКП от интегратора. Пока планируем пилотный проект с этим продуктом.

в настоящее время запустили пилот на SecrecyKeeper. думаю, что запустим пилот и для Perimetrix'а, т.к. использовать компоненты от одного производителя - это конечно соблазн.

что касается Infowatch Trafic Monitor, то это продукт известен достаточно давно, развивается с учетом пожеланий трудящихся, но цена очень высокая.

для мониторинга трафика нашел еще вот такое SurfAnalyzer. кто-нибудь сталкивался с продуктом ? впечатления ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
я и начал с интеграторов. эти ребята не то что анализ ситуации, они и ТЗ не все читают. мне были предложены следующие продукты:

1. Infowatch Trafic Monitor - в принципе соответствует требованиям ТЗ, как средство архивирования трафика

2. Infowatch Device Monitor - требованиям ТЗ не соответствует, секретную информацию от несекретной отличать не умеет

3. Device Lock - требованиям ТЗ не соответствует, секретную информацию от несекретной отличать не умеет

4. zLock - требованиям ТЗ не соответствует, секретную информацию от несекретной отличать не умеет

5. Perimetrix Safe Space - это комплекс из трех продуктов, по описанию нам подходит SafeUse - для контроля рабочих станций и SafeEdge - для архивирования трафика. SafeUse реализует мандатный (полномочный) контроль доступа. Уже недели две ждем ТКП от интегратора. Пока планируем пилотный проект с этим продуктом.

в настоящее время запустили пилот на SecrecyKeeper. думаю, что запустим пилот и для Perimetrix'а, т.к. использовать компоненты от одного производителя - это конечно соблазн.

что касается Infowatch Trafic Monitor, то это продукт известен достаточно давно, развивается с учетом пожеланий трудящихся, но цена очень высокая.

для мониторинга трафика нашел еще вот такое SurfAnalyzer. кто-нибудь сталкивался с продуктом ? впечатления ?

Простите, а как Вы организовали остальные уровни обеспечения???

Согласно методологии комплексного подхода выделяется 4 уровня мер:

1. Законодательные;

2. Административные (приказы и другие действия руководства организации, связанные с защищаемыми системами);

3. процедурные (меры безопасности, ориентированные на людей);

4. программно - технические.

Речь сейчас идёт о четвёртом уровне. А первые три имеют место быть?

эти ребята не то что анализ ситуации, они и ТЗ не все читают.

Вы о ком????

А с чем ему было спорить ? С вашей интуицией ? Так это категория иррациональная типа женской логики. А ни одного аргумента вы так и не привели. Потому что этика. Вы кстати определитесь - кто мы с топикстартером провокаторы или рекламщики.

skif, Вы не провокаторы и не рекламщики. Вы - третья колонна. Касательно Интуиции - лучше Вам свою карму здесь не портить. Не пристало новичку со старожилами бодаться - относитесь к чужому мнению чуть более уважительно. Кстати, Alexgr - уважаемый специалист в своей области и я согласен с тем, что

то, что в голове инсайдера - как вами рекламируемый продукт предотвратит эту утечку? Видимо, никак. Потому с чего начали, к тому и пришли. Вышел человек из офиса, передал информацию - от этого он инсайдером быть не перестал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
Возможностью утечки конфиденциальной информации через банальное письмо, отправленное через не менее банальный веб-интерфейс

Ой, блин!

А что мешает издать распоряжение о том, что любая Инфорамция отправленная с адреса(ов) [email protected] является собственностью компании и в отношении неё действуют Положения, предусматривающие уголовную ответственность за её незаконное распространение????

Никакие Продукты не помогут, если в голове работника не сформировался и не закрепился устойчивый рефлекс неотвратимости наказания за раздачу секретов на стороне!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Речь сейчас идёт о четвёртом уровне. А первые три имеют место быть?

имеют, но я не планирую обсуждать их на форуме.

Вы о ком????

об интеграторах которым мы выслали тз и предложение поучаствовать в конкурсе на поставку системы защиты

а какие вопросы нам уточняющие задавали, это вообще супер, как в анекдоте - "и унитаз приносил и задницу предъявлял, а туалетную бумагу все равно не продали"

хотя допускаю, что мы просто не интересны им как клиенты. всего 200 рабочих станций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
имеют, но я не планирую обсуждать их на форуме.

Обсуждения не требуется.

об интеграторах которым мы выслали тз и предложение поучаствовать в конкурсе на поставку системы защиты

а какие вопросы нам уточняющие задавали, это вообще супер, как в анекдоте - "и унитаз приносил и задницу предъявлял, а туалетную бумагу все равно не продали"

хотя допускаю, что мы просто не интересны им как клиенты. всего 200 рабочих станций.

Им нужно деньги получить - только и всего. Есть шаблон - они пользуются именно им.

200 рабочих станций - это не так мало, но и не так много.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
2. Infowatch Device Monitor - требованиям ТЗ не соответствует, секретную информацию от несекретной отличать не умеет

3. Device Lock - требованиям ТЗ не соответствует, секретную информацию от несекретной отличать не умеет

2. InfoWatch Device Monitor - секретную информацию отличать умеет, но не проходит по цене, так как требует установленного Traffic Monitor, в который входит Oracle Enterprise

3. DeviceLock - секретную информацию отличать может при теневом копировании (т.е. нет режима блокирования, только on-line оповещение о копировании конфиденциальной информации). Но с ценой та же проблема - для анализа требуется движок либо Infowatch Traffic Monitor, либо SearchInform

Если стоит задача динамического контроля портов в зависимости от содержимого копирования, то можно еще посмотреть Websense DSS + Safend и Sanctuary Device Control.

Можно пойти другим путем: любое решение по контролю портов умеет запрещать копирование файлов с определенными аттрибутами. Таким образом, если вы в состоянии пометить конфиденциальную информацию, и защитить эти метки от снятия или наоборот, переноса контента из помеченных файлов в непомеченные, то решите задачу любым портовым фильтром.

Выбор средств для решения задачи расстановки и удержания меток достаточно широк - от Security Studio до Microsoft RMS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
2. InfoWatch Device Monitor - секретную информацию отличать умеет, но не проходит по цене, так как требует установленного Traffic Monitor, в который входит Oracle Enterprise

3. DeviceLock - секретную информацию отличать может при теневом копировании (т.е. нет режима блокирования, только on-line оповещение о копировании конфиденциальной информации). Но с ценой та же проблема - для анализа требуется движок либо Infowatch Traffic Monitor, либо SearchInform

Если правильно понимаю, речь идет о контентном анализе. Но у нас далеко не вся критическая информация текстовая. И контентный анализ работает не для всякого текста - например, как отличить секретный исходник программного модуля от несекретного ? Или документ представляющий из себя таблицу, сожержащую только цифры, без заголовков. Или копирование инфы на ноутбук через локалку. Слишком много вариантов обхода, которые могут быть реализованы не специалистом, а у нас народ творческий работает.

Если стоит задача динамического контроля портов в зависимости от содержимого копирования, то можно еще посмотреть Websense DSS + Safend и Sanctuary Device Control.

Можно пойти другим путем: любое решение по контролю портов умеет запрещать копирование файлов с определенными аттрибутами. Таким образом, если вы в состоянии пометить конфиденциальную информацию, и защитить эти метки от снятия или наоборот, переноса контента из помеченных файлов в непомеченные, то решите задачу любым портовым фильтром.

Выбор средств для решения задачи расстановки и удержания меток достаточно широк - от Security Studio до Microsoft RMS.

Большое спасибо, за содержательный пост. Обязательно ознакомимся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рустэм Хайретдинов
Если правильно понимаю, речь идет о контентном анализе. Но у нас далеко не вся критическая информация текстовая. И контентный анализ работает не для всякого текста - например, как отличить секретный исходник программного модуля от несекретного ? Или документ представляющий из себя таблицу, сожержащую только цифры, без заголовков. Или копирование инфы на ноутбук через локалку. Слишком много вариантов обхода, которые могут быть реализованы не специалистом, а у нас народ творческий работает.

Контентный анализ (т.е. анализ содержимого, а контейнера) бывает разный - можно слова искать, можно контентные метки, можно считать статистику символов, можно сравнивать хеш документа с хешем образца, можно искать значимые цитаты и т.д. Некоторые перечисленные методы помогают защищать и код, и чертежи, и базы данных.

Сратегии защиты в зависимости от условий:

1. Если есть образцы секретного (в идеале еще нужны образцы похожего, но не секретного, например пустые формы) - практичнее использовать метки или хеш с образцов, при перемещении инфы искать их.

2. Если есть только перечень информации, составляющей коммерческую тайну, но нет образцов - тогда только анализ контекта и стоп-слов.

Часто компании ставят для начала сниффер типа SearchInform на месяц-другой, чтобы, не вмешиваясь в бизнес - процессы, понять контентные маршруты - "кто - какой контент - в каком виде - куда - по какому каналу" переносит. Получается картина "as is". Анализируют архив, пытаются понять, как должно выглядеть "to be",какие маршруты разрешить, а какие - закрыть. И заодно понять, что можно эффективно метить, что нельзя. И потом уже выбирают технические и организационные методы - какие документы чем метить и где хранить, какие каналы закрывать совсем, какие динамически, какие просто архивировать.

Удачи вам, вы замахнулись сразу на глобальное решение. Главное не слушайте умельцев, которые расскажут вам, что все продукты можно обмануть или сломать :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Контентный анализ (т.е. анализ содержимого, а контейнера) бывает разный - можно слова искать, можно контентные метки, можно считать статистику символов, можно сравнивать хеш документа с хешем образца, можно искать значимые цитаты и т.д. Некоторые перечисленные методы помогают защищать и код, и чертежи, и базы данных.

я не спорю, что есть куча компаний, где контентный анализ решает проблему. но в нашей ситуации есть два момента, которые делают это решение не надежным:

1. это большое количество пользователей умеющих программировать, т.е. любой вариант с кодированием информации может быть реализован, а после этого и слов не будет и хеши изменяться

2. есть ряд пользователей работающих с секретами, которые обмениваются шифрованными письмами, причем доступа к ключам (официального) у СБ нет. не хотелось бы, оставлять им возможность сливать инфу, по крайней мере затруднить это максимально.

3. копирование на ноутбук.

поэтому, в качестве основного, мы ищем решение, которое позволит блокировать доступ к каналу передачи после доступа к секретной информации. по результатам анализа продуктов представленных на рынке, мы пришли к выводу, что лучше всего для этой цели подходит полномочный доступ. примерно год назад наиболее полно требуемый нам функционал был реализован в SecrecyKeeper, но он хранил настройки в ActiveDirectory, а это для нас не приемлимо, т.к. требует слишком плотного взаимодействия с ИТ-отделом. другие подобные продукты - мы смотрели SecretNet, Страж, DallasLock по своей реализации полномочки значительно уступают - например ни кто из них не умеет ставить гриф на сетевой ресурс (а это практически все финансовые данные хранящиеся в 1С или любой другой системе управления - они же все сетевые). сейчас опять вернулись к этой задаче, вроде и продукты новые появились (я про Perimetrix SafeUse) и старые обновились (SK перенес настройки в БД и оставил каталог в покое). смотрим.

но понятно, что любую защиту можно обойти, поэтому наша задача максимально затруднить это - для этого как раз орг меры (ограничения полномочий пользователей, контроль запускаемых программ, опечатывание сис блоков и т.п.) и вторая линия в виде архивации трафика для обеспечения расследования инциндента, если он все таки произойдет.

Удачи вам, вы замахнулись сразу на глобальное решение. Главное не слушайте умельцев, которые расскажут вам, что все продукты можно обмануть или сломать :).

спасибо.

обычно умельцы, которые об этом говорят, сами ни когда и ни чего не ломали. но фразу о том, что абсолютной защиты не бывает запомнили крепко :)

кстати, нашел еще один продукт для мониторинга FortiNet называется, на нашем рынке недавно, продвигаются Информзащитой (вернее их дочкой). работает как прозрачный прокси, может захватывать веб, почту и аську. там еще АВ, IPS, веб-фильтрация. стоит вполне приемлимо. кто-нибудь в работе это чудо видел ? впечатления ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

andrey golubev

Сталкивался я в свое время с малоизвестной на российском рынке системой под названием "Гриф" (http://ict.com.ua/?lng=1&sec=10&art=21). Разработка украинская. Возможно, Вас она заинтересует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IT-Shark
2. есть ряд пользователей работающих с секретами, которые обмениваются шифрованными письмами, причем доступа к ключам (официального) у СБ нет. не хотелось бы, оставлять им возможность сливать инфу, по крайней мере затруднить это максимально.

Ээээ, как это у Службы безопасности доступа нет?

И что значит обмениваются шифрованными письмами? в Обход компании?

В таком случае имеет место нарушение политик и это должно наказываться!

3. копирование на ноутбук.

Да, действительно, ноутбуки - это проблема. Но и её можно избежать, если вся Информация, представляющая тайну, будет зашифрована.

Есть утилита TrueCrypt (англ.) - легко проверяется на закладки (есть исходники).

Есть, в конце концов специальные замки - локеры. Когда вы перевозите ноутбук, запертый таким замком, шансов попасть внутрь у злоумышленника нет никаких.

Но это всё полумеры. Главная мера - вдолбить в голову персонала тот факт, что любое разглашение, утеря, порча или намеренное искажение конфиденциальной Информации влечёт за собой немалую ответственность!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrey golubev
Ээээ, как это у Службы безопасности доступа нет?

И что значит обмениваются шифрованными письмами? в Обход компании?

В таком случае имеет место нарушение политик и это должно наказываться!

компания имеет кучу филиалов, топы постоянно в командировках, финансовая инфа шлется по почте в зашифрованном виде. у СБ права на мониторинг почты топов нет. отсутствие права не значит отсутствие возможности, но это уже другая песня

Да, действительно, ноутбуки - это проблема. Но и её можно избежать, если вся Информация, представляющая тайну, будет зашифрована.

Есть утилита TrueCrypt (англ.) - легко проверяется на закладки (есть исходники).

Есть, в конце концов специальные замки - локеры. Когда вы перевозите ноутбук, запертый таким замком, шансов попасть внутрь у злоумышленника нет никаких.

Но это всё полумеры. Главная мера - вдолбить в голову персонала тот факт, что любое разглашение, утеря, порча или намеренное искажение конфиденциальной Информации влечёт за собой немалую ответственность!

вы задачу не поняли. шифрование спасет от кражи или утери ноутбука, но не спасет от сотрудника, который в офисе скопирует данные на ноут, а дома скопирует их с ноута куда захочет. он то пароль от труекрипта знает. тоже самое и с локерами.

а вот насчет легкости поиска закладок - это вы погорячились. очень это трудоемкая и не дешевая работа. дешевле свой аналог написать. одна надежда на широкую общественность :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Tim
      Всем привет. Приятное впечатление оставила эта игра для андроид https://veadug.com/329-clash-royale.html При желании можете сами поиграть уже в эти выходные. Думаю, что игровой процесс сможет вас увлечь на долгое время.
    • Tim
      Здравствуйте всем. Что скажите про приложение Юла https://anderbot.com/ios/yula/ ? Оно лучше, чем Авито или нет? Интересно узнать мнение людей с опытом. Жду ваших комментариев по теме. Спасибо.
    • santy
      следует добавить (для 2 и 3), что при фильтрации по одному критерию из списка статус объекта не меняется. (т.е. не присваивается, и не пере_присваивается статус ?ВИРУС?  
    • PR55.RP55
      Из той же темы:  http://www.tehnari.ru/f35/t266702/ из лога FRST Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files\Windows Defender\MpCmdRun.exe) attempted to load \Device\HarddiskVolume5\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 20.0\x64\antimalware_provider.dll that did not meet the Microsoft signing level requirements. ...процесс не соответствует требованиям уровня подписи Майкрософт. Подпись есть но уровень не соответствует.
    • PR55.RP55
      + сделать возможность задать _временный критерий такой критерий  сохраняется только до завершения работы uVS  ( можно добавить чек-бокс ): Задать временный критерий [v] А затем должна быть возможность: "фильтровать список по одному единственному критерию из списка" Бывает, что нужно что-то найти - но нет смысла сохранять этот мусор в настройках.
×