olg1978

защита информации от неправомерного изъятия

В этой теме 8 сообщений

Всех приветствую.

Слово "неправомерное" добавил для политкорректности.

В свете последних событий с изъятием компьютеров в СУ-155, отцы командиры велели озаботиться.

Данные на серверах и флешках мы уже шифруем, но проблема в том, что в процессе работы с ними пользователей конфиденциалка растекается по рабочим станциям и ноутбукам персонала. Отслеживать ее там практически не реально.

Есть ли возможность запретить сохранение данных скопированных по сети на компьютерах ?

Переход на терминалы уже рассмотрели и отказались.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Попробуйте также шифровать все на рабочих станциях.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всех приветствую.

Слово "неправомерное" добавил для политкорректности.

В свете последних событий с изъятием компьютеров в СУ-155, отцы командиры велели озаботиться.

Данные на серверах и флешках мы уже шифруем, но проблема в том, что в процессе работы с ними пользователей конфиденциалка растекается по рабочим станциям и ноутбукам персонала. Отслеживать ее там практически не реально.

Есть ли возможность запретить сохранение данных скопированных по сети на компьютерах ?

Переход на терминалы уже рассмотрели и отказались.

http://ict.com.ua/?lng=1&sec=10&art=21

Вас может заинтересовать

- разграничение доступа пользователей к выбранным каталогам (папкам), размещенным на рабочих станциях и файловых серверах ЛВС, что позволяет организовать одновременную совместную работу нескольких пользователей ЛВС, имеющих разные служебные обязанности и права по доступу к ИсОД;

- управление потоками информации и блокировку потоков информации, приводящих к снижению ее уровня конфиденциальности;

- разграничение доступа прикладных программ к выбранным каталогам и находящимся в них файлам, что позволяет обеспечить защиту ИсОД от случайного удаления, модификации и соблюсти технологию ее обработки;

То есть, если пользователь открывает документ, имеющий некий уровень конфиденциальности, то:

а) открыть его он сможет только прописанным в соответствующей политике ПО (например, Microsoft Word)

б) Сохранить его он сможет только в каталог с уровнем конфиденциальности не ниже уровня конфиденциальности документа.

Недостатки:

- система откровенно дорогая (от 3000 руб. до 12000 руб. за одно контролируемое рабочее место или сервер, в зависимости от количества лицензий).

- не поддерживает Windows Vista

В состав ЛВС могут входить файловые серверы, функционирующие под управлением ОС MS Windows 2000 Server/ MS Windows 2003 Server, и рабочие станции, функционирующие под управлением ОС MS Windows 2000 Professional/ MS Windows XP Professional.
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Попробуйте также шифровать все на рабочих станциях.

каким образом ? что помешает пользователю сохранить данные в не шифруемом месте ?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
каким образом ? что помешает пользователю сохранить данные в не шифруемом месте ?

Смотря что именно считать нешифруемым местом. Если жесткие диски, то их можно шифровать. Если необходимо контролировать все потенциально возможные места хранения, а не только жесткие диски ПК, то необходимо шифровать и все сервера, в том числе почту, файловые сервера, сервера-приложения и т. п. Решения для этого есть, в том числе и у нас.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
каким образом ? что помешает пользователю сохранить данные в не шифруемом месте ?

Коллега имел в виду принудительное прозрачное шифрование всех жестких дисков полностью. С существующими средствами все это можно сделать централизовано на базе единых политик безопасности. У пользователей появится только одно визуальное отличие - двухфакторная аутентификаций в системе (к стандартной добавится еще одна от шифрования).

Варианты: Symantec Endpoint Encryption

McAfee Endpoint Encryption

Так же подобная задача решается при помощи современных DLP систем, но это будет явно дороже по цене и сложнее, нужно быть к этому готовым, скажу сразу. Для такой задачи сгодятся не все DLP. Необходимый функционал - агенты на рабочих станциях, которые будут контролировать действия пользователя с конфиденциальными данными.

Если требуется защитить офис на 500 рабочих станций и меньше, то стоит присмотреться к McAfee Host DLP (ссылка на анг. сорри) или Trend Micro LeakProof (стоит дождаться версии 5.0, сейчас в бете). Эти продукты решают поставленную вами задачу и делают еще много всего другого - закрывают большинство каналов утечки данных за пределы компании.

Если компания крупная, то стоит рассмотреть Symantec DLP и Websense DSS. Если время терпит, то стоит включить в список InfoWatch (такой функционал у них в разработке сейчас).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У нас, кстати, также планируется новая версия Zdisk. Zdisk будет дополнительно унифицирован с другими решениями, будет обновлена система централизованного менеджмента агентов и ключей шифрования.

А вообще Сергей правильно заметил, что необходимо выбирать подобную систему в зависимости от размера инфраструктуры. Если офис небольшой, то можно выбрать практически любое решение от известного разработчика, а если машин хотя бы более 100, необходимо кропотливо подходить к выбору систем шифрования.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Есть ли возможность запретить сохранение данных скопированных по сети на компьютерах ?

Рекомендую посмотреть SecrecyKeeper. Продукт позволяет решить именно Вашу задачу.

Пользователям присваиваются уровни допуска, ресурсам уровни секретности. После этого рабочим станциям ставите уровень безопасности доступа равным уровню секретности ресурса с которым пользователь этого ПК должен работать и уровень безопасности хранения для этого ПК оставляете по умолчанию ("общедоступно"). Теперь пользователь сможет работать с "грифованным" ресурсом, но не сможет сохранять грифованные данные на своем ПК.

Сами пользуемся этим продуктом для решения в том числе и подобной задачи уже полгода - довольны. Агенты стоят более чем на 200 рабочих станциях. Стоимость одной лицензии начинается от 1100 руб и идет вниз с ростом количества лицензий.

Вот тут обсуждение этого продукта и подхода вообще http://www.anti-malware.ru/forum/index.php?showtopic=5012

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS