olg1978

защита информации от неправомерного изъятия

В этой теме 8 сообщений

Всех приветствую.

Слово "неправомерное" добавил для политкорректности.

В свете последних событий с изъятием компьютеров в СУ-155, отцы командиры велели озаботиться.

Данные на серверах и флешках мы уже шифруем, но проблема в том, что в процессе работы с ними пользователей конфиденциалка растекается по рабочим станциям и ноутбукам персонала. Отслеживать ее там практически не реально.

Есть ли возможность запретить сохранение данных скопированных по сети на компьютерах ?

Переход на терминалы уже рассмотрели и отказались.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Попробуйте также шифровать все на рабочих станциях.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всех приветствую.

Слово "неправомерное" добавил для политкорректности.

В свете последних событий с изъятием компьютеров в СУ-155, отцы командиры велели озаботиться.

Данные на серверах и флешках мы уже шифруем, но проблема в том, что в процессе работы с ними пользователей конфиденциалка растекается по рабочим станциям и ноутбукам персонала. Отслеживать ее там практически не реально.

Есть ли возможность запретить сохранение данных скопированных по сети на компьютерах ?

Переход на терминалы уже рассмотрели и отказались.

http://ict.com.ua/?lng=1&sec=10&art=21

Вас может заинтересовать

- разграничение доступа пользователей к выбранным каталогам (папкам), размещенным на рабочих станциях и файловых серверах ЛВС, что позволяет организовать одновременную совместную работу нескольких пользователей ЛВС, имеющих разные служебные обязанности и права по доступу к ИсОД;

- управление потоками информации и блокировку потоков информации, приводящих к снижению ее уровня конфиденциальности;

- разграничение доступа прикладных программ к выбранным каталогам и находящимся в них файлам, что позволяет обеспечить защиту ИсОД от случайного удаления, модификации и соблюсти технологию ее обработки;

То есть, если пользователь открывает документ, имеющий некий уровень конфиденциальности, то:

а) открыть его он сможет только прописанным в соответствующей политике ПО (например, Microsoft Word)

б) Сохранить его он сможет только в каталог с уровнем конфиденциальности не ниже уровня конфиденциальности документа.

Недостатки:

- система откровенно дорогая (от 3000 руб. до 12000 руб. за одно контролируемое рабочее место или сервер, в зависимости от количества лицензий).

- не поддерживает Windows Vista

В состав ЛВС могут входить файловые серверы, функционирующие под управлением ОС MS Windows 2000 Server/ MS Windows 2003 Server, и рабочие станции, функционирующие под управлением ОС MS Windows 2000 Professional/ MS Windows XP Professional.
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Попробуйте также шифровать все на рабочих станциях.

каким образом ? что помешает пользователю сохранить данные в не шифруемом месте ?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
каким образом ? что помешает пользователю сохранить данные в не шифруемом месте ?

Смотря что именно считать нешифруемым местом. Если жесткие диски, то их можно шифровать. Если необходимо контролировать все потенциально возможные места хранения, а не только жесткие диски ПК, то необходимо шифровать и все сервера, в том числе почту, файловые сервера, сервера-приложения и т. п. Решения для этого есть, в том числе и у нас.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
каким образом ? что помешает пользователю сохранить данные в не шифруемом месте ?

Коллега имел в виду принудительное прозрачное шифрование всех жестких дисков полностью. С существующими средствами все это можно сделать централизовано на базе единых политик безопасности. У пользователей появится только одно визуальное отличие - двухфакторная аутентификаций в системе (к стандартной добавится еще одна от шифрования).

Варианты: Symantec Endpoint Encryption

McAfee Endpoint Encryption

Так же подобная задача решается при помощи современных DLP систем, но это будет явно дороже по цене и сложнее, нужно быть к этому готовым, скажу сразу. Для такой задачи сгодятся не все DLP. Необходимый функционал - агенты на рабочих станциях, которые будут контролировать действия пользователя с конфиденциальными данными.

Если требуется защитить офис на 500 рабочих станций и меньше, то стоит присмотреться к McAfee Host DLP (ссылка на анг. сорри) или Trend Micro LeakProof (стоит дождаться версии 5.0, сейчас в бете). Эти продукты решают поставленную вами задачу и делают еще много всего другого - закрывают большинство каналов утечки данных за пределы компании.

Если компания крупная, то стоит рассмотреть Symantec DLP и Websense DSS. Если время терпит, то стоит включить в список InfoWatch (такой функционал у них в разработке сейчас).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У нас, кстати, также планируется новая версия Zdisk. Zdisk будет дополнительно унифицирован с другими решениями, будет обновлена система централизованного менеджмента агентов и ключей шифрования.

А вообще Сергей правильно заметил, что необходимо выбирать подобную систему в зависимости от размера инфраструктуры. Если офис небольшой, то можно выбрать практически любое решение от известного разработчика, а если машин хотя бы более 100, необходимо кропотливо подходить к выбору систем шифрования.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Есть ли возможность запретить сохранение данных скопированных по сети на компьютерах ?

Рекомендую посмотреть SecrecyKeeper. Продукт позволяет решить именно Вашу задачу.

Пользователям присваиваются уровни допуска, ресурсам уровни секретности. После этого рабочим станциям ставите уровень безопасности доступа равным уровню секретности ресурса с которым пользователь этого ПК должен работать и уровень безопасности хранения для этого ПК оставляете по умолчанию ("общедоступно"). Теперь пользователь сможет работать с "грифованным" ресурсом, но не сможет сохранять грифованные данные на своем ПК.

Сами пользуемся этим продуктом для решения в том числе и подобной задачи уже полгода - довольны. Агенты стоят более чем на 200 рабочих станциях. Стоимость одной лицензии начинается от 1100 руб и идет вниз с ростом количества лицензий.

Вот тут обсуждение этого продукта и подхода вообще http://www.anti-malware.ru/forum/index.php?showtopic=5012

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • AM_Bot
      Компания Tenable Network Security, разработчик легендарного сканера уязвимостей Nessus, объявила сегодня о рекордной выручке в более чем 50 млн долларов США за второй квартал 2017 года. Этот показатель на 50% превосходит аналогичный результат прошлого года. Такие показатели делают Tenable одной из крупнейших и быстро растущих частных компаний в сфере кибер-безопасности, отражая ее инновационность, и демонстрируют переосмысление подхода многих компаний к защите корпоративных ИТ-активов. Читать далее
    • AM_Bot
      Решение Secure Bank/Secure Portal резидента ИТ-кластера Фонда «Сколково», компании Group-IB включено в Единый реестр российских программ для электронных вычислительных машин или баз данных, созданный в соответствии с поправками к закону 188-ФЗ. Читать далее
    • AM_Bot
      Обнаруженные недавно образцы банковского трояна Ursnif включают функции анти-песочницы, основанные на сочетании положения курсора мыши и временных меток файлов. Также вредоносная программа, по словам экспертов Forcepoint, пытается украсть данные из почтового клиента Thunderbird. Читать далее
    • AM_Bot
      Киберпреступники, устанавливающие майнеры на Linux-серверы, используя при этом уязвимость Samba (EternalRed, SambaCry), теперь переключились и на Windows-системы, разработав специальный бэкдор. Читать далее
    • AM_Bot
      Практически каждый из нас привык пользоваться в повседневной жизни различными приложениями для звонков и отправки текстовых сообщений. У такого вида коммуникации есть неоспоримые плюсы: это удобно и зачастую бесплатно. Учитывая большое количество представленных мессенджеров и «звонилок», скорее всего, каждый пользователь рано или поздно задается вопросом — какие же из этих программ способны обеспечить максимальную безопасность? Читать далее