защита информации от неправомерного изъятия

[olg1978 0]

Всех приветствую.

Слово "неправомерное" добавил для политкорректности.

В свете последних событий с изъятием компьютеров в СУ-155, отцы командиры велели озаботиться.

Данные на серверах и флешках мы уже шифруем, но проблема в том, что в процессе работы с ними пользователей конфиденциалка растекается по рабочим станциям и ноутбукам персонала. Отслеживать ее там практически не реально.

Есть ли возможность запретить сохранение данных скопированных по сети на компьютерах ?

Переход на терминалы уже рассмотрели и отказались.

[Алeксaндр Кoвaлев 0]

Попробуйте также шифровать все на рабочих станциях.

[dot_sent 140]

Всех приветствую.

Слово "неправомерное" добавил для политкорректности.

В свете последних событий с изъятием компьютеров в СУ-155, отцы командиры велели озаботиться.

Данные на серверах и флешках мы уже шифруем, но проблема в том, что в процессе работы с ними пользователей конфиденциалка растекается по рабочим станциям и ноутбукам персонала. Отслеживать ее там практически не реально.

Есть ли возможность запретить сохранение данных скопированных по сети на компьютерах ?

Переход на терминалы уже рассмотрели и отказались.

http://ict.com.ua/?lng=1&sec=10&art=21

Вас может заинтересовать

- разграничение доступа пользователей к выбранным каталогам (папкам), размещенным на рабочих станциях и файловых серверах ЛВС, что позволяет организовать одновременную совместную работу нескольких пользователей ЛВС, имеющих разные служебные обязанности и права по доступу к ИсОД;

- управление потоками информации и блокировку потоков информации, приводящих к снижению ее уровня конфиденциальности;

- разграничение доступа прикладных программ к выбранным каталогам и находящимся в них файлам, что позволяет обеспечить защиту ИсОД от случайного удаления, модификации и соблюсти технологию ее обработки;

То есть, если пользователь открывает документ, имеющий некий уровень конфиденциальности, то:

а) открыть его он сможет только прописанным в соответствующей политике ПО (например, Microsoft Word)

б) Сохранить его он сможет только в каталог с уровнем конфиденциальности не ниже уровня конфиденциальности документа.

Недостатки:

- система откровенно дорогая (от 3000 руб. до 12000 руб. за одно контролируемое рабочее место или сервер, в зависимости от количества лицензий).

- не поддерживает Windows Vista

В состав ЛВС могут входить файловые серверы, функционирующие под управлением ОС MS Windows 2000 Server/ MS Windows 2003 Server, и рабочие станции, функционирующие под управлением ОС MS Windows 2000 Professional/ MS Windows XP Professional.

[olg1978 0]

Попробуйте также шифровать все на рабочих станциях.

каким образом ? что помешает пользователю сохранить данные в не шифруемом месте ?

[Алeксaндр Кoвaлев 0]

каким образом ? что помешает пользователю сохранить данные в не шифруемом месте ?

Смотря что именно считать нешифруемым местом. Если жесткие диски, то их можно шифровать. Если необходимо контролировать все потенциально возможные места хранения, а не только жесткие диски ПК, то необходимо шифровать и все сервера, в том числе почту, файловые сервера, сервера-приложения и т. п. Решения для этого есть, в том числе и у нас.

[Сергей Ильин 1538]

каким образом ? что помешает пользователю сохранить данные в не шифруемом месте ?

Коллега имел в виду принудительное прозрачное шифрование всех жестких дисков полностью. С существующими средствами все это можно сделать централизовано на базе единых политик безопасности. У пользователей появится только одно визуальное отличие - двухфакторная аутентификаций в системе (к стандартной добавится еще одна от шифрования).

Варианты: Symantec Endpoint Encryption

McAfee Endpoint Encryption

Так же подобная задача решается при помощи современных DLP систем, но это будет явно дороже по цене и сложнее, нужно быть к этому готовым, скажу сразу. Для такой задачи сгодятся не все DLP. Необходимый функционал - агенты на рабочих станциях, которые будут контролировать действия пользователя с конфиденциальными данными.

Если требуется защитить офис на 500 рабочих станций и меньше, то стоит присмотреться к McAfee Host DLP (ссылка на анг. сорри) или Trend Micro LeakProof (стоит дождаться версии 5.0, сейчас в бете). Эти продукты решают поставленную вами задачу и делают еще много всего другого - закрывают большинство каналов утечки данных за пределы компании.

Если компания крупная, то стоит рассмотреть Symantec DLP и Websense DSS. Если время терпит, то стоит включить в список InfoWatch (такой функционал у них в разработке сейчас).

[Алeксaндр Кoвaлев 0]

У нас, кстати, также планируется новая версия Zdisk. Zdisk будет дополнительно унифицирован с другими решениями, будет обновлена система централизованного менеджмента агентов и ключей шифрования.

А вообще Сергей правильно заметил, что необходимо выбирать подобную систему в зависимости от размера инфраструктуры. Если офис небольшой, то можно выбрать практически любое решение от известного разработчика, а если машин хотя бы более 100, необходимо кропотливо подходить к выбору систем шифрования.

[andrey golubev 15]

Есть ли возможность запретить сохранение данных скопированных по сети на компьютерах ?

Рекомендую посмотреть SecrecyKeeper. Продукт позволяет решить именно Вашу задачу.

Пользователям присваиваются уровни допуска, ресурсам уровни секретности. После этого рабочим станциям ставите уровень безопасности доступа равным уровню секретности ресурса с которым пользователь этого ПК должен работать и уровень безопасности хранения для этого ПК оставляете по умолчанию ("общедоступно"). Теперь пользователь сможет работать с "грифованным" ресурсом, но не сможет сохранять грифованные данные на своем ПК.

Сами пользуемся этим продуктом для решения в том числе и подобной задачи уже полгода - довольны. Агенты стоят более чем на 200 рабочих станциях. Стоимость одной лицензии начинается от 1100 руб и идет вниз с ростом количества лицензий.

Вот тут обсуждение этого продукта и подхода вообще http://www.anti-malware.ru/forum/index.php?showtopic=5012