Защита информации от кражи

По данным аналитиков, источник 80% угроз информационной безопасности компании - это ее собственный персонал. Сотрудники работают с документами составляющими комерческую тайну, следовательно они получают возможность нанести существенный урон предприятию передавая конфиденциальную информацию конкурентам, выкладывая в публичный доступ или предоставляя любым заинтересованным лицам. Причин для подобных действий может быть сколько угодно - конфликт с работодателем, внешние угрозы, шантаж, желание заработать и т.д. Возможностей тоже хватает - документы можно скопировать на usb-диск или дискету, послать по электронной почте или просто выложить в интернет.
Запретить доступ к документам содержащим комерческую тайну абсолютно всем сотрудникам нельзя - ведь кто-то же должен их создавать и обрабатывать. Но контролировать персонал имеющий доступ к секретной информации необходимо.
Системы Защиты Информации построенные на базе файерволов и антивирусов не могут защитить от хищений (краж) конфиденциальной информации предприятия, сотрудниками, имеющими в силу своих служебных обязанностей беспрепятственный доступ к секретным данным. Они просто для этого не предназначены.

В настоящее время можно выделить следующие способы защиты от кражи конфиденциальной информации сотрудниками:

1. Отключить дисководы, usb-порты, сеть - эффективность максимальная, затраты минимальны, но применить практически невозможно - через usb-порты часто подключают мышь с клавиатурой, сеть является основой ИТ-инфраструктуры предприятия и доступ в интернет в большинстве случаев нужен для работы. К тому же возможно, что сотруднику часто надо по работе переносить большие объемы информации (не вся же информация с которой он работает секретная), так что возможность подключать usb-диски желательно тоже оставить.

2. Передаваемую в сеть информацию фильтровать анализаторами трафика и блокировать передачу секретной. К сожалению эти методы годятся только для фильтрации входящей информации - т.е. для блокировки вирусов и развлекательного например контента. Максимум чего можно достичь - это защита от непреднамеренных действий персонала, влекущих случайную утечку секретной информации. От преднамеренного хищения конфиденциальных данных подобное ПО не спасет, т.к. защиту можно обмануть например с помощью скремблирования. К тому же остаются не подконтрольными съемные носители (в основном usb-диски и дискеты, т.к. пишущими оптическими приводами рабочие места оснащаются не очень часто).

3. Разграничение доступа к портам ввода/вывода. Большинство подобных программ представляет собой просто графический интерфейс, являющийся надстройкой над стандартными защитными механизмами ОС Windows, который позволяет устанавливать права доступа к различным портам (например usb) для любого пользователя. Это решение также не лишено серьезных недостатков:
во-первых - контроль не распространяется на информацию передаваемую по сети;
во-вторых - права статичны, т.е. невозможно разрешить пользователю копировать на usb-диск несекретную информацию и запретить копировать секретную.

4. Система Защиты Информации SecretsSaver Corporate - разрабатывалась с учетом недостатков первых трех способов. Основное назначение Системы Защиты Информации SecretsSaver Corporate - предотвращение несанкционированного распространения (краж и утечек) конфиденциальной информации.

SecretsSaver Corporate дает службе безопасности предприятия следующие возможности:

• реализовать полномочный контроль доступа к сменным носителям информации, таким как дискеты, usb- флеш-диски и т.п.;
• ограничить доступ к конфиденциальной информации сотрудников ИТ-подразделений;
• разделять информацию хранящуюся как на рабочих станциях сотрудников, так и на серверах по степени секретности;
• присвоить каждому сотруднику предприятия персональный уровень доступа к конфиденциальной информации;
• ограничить несанкционированное распространение конфиденциальной информации на основе степени секретности данных и уровней доступа сотрудников;
• динамически регулировать права доступа сотрудников к устройствам переноса информации (дискеты, usb-диски, интернет) в зависимости от уровня доступа сотрудника и
• уровней секретности документов с которыми ведется работа;
• предоставлять полную историю работы с конфиденциальной информацией.

Фактически SecretsSaver Corporate расширяет стандартную систему безопасности ОС Windows, внося в нее дополнительную функциональность:

1. На любой файл можно установить метку конфиденциальности - гриф (общедоступная, служебная, секретная);
2. Гриф может быть установлен на информацию доступ к которой предоставляется по сети (удаленно), такую как например базы данных, корпоративные интернет-порталы и т.п.
3. Для сотрудников вводятся следующие уровни доступа (каждый из которых также может принимать значения - общедоступная, служебная, секретная):
   • уровень доступа к информации - определяет к информации с каким максимальным грифом может получить доступ сотрудник;
   • уровень доступа к сети - определяет информацию с каким максимальным грифом, сотрудник может передать в сеть;
   • уровень доступа к сменным носителям - определяет информацию с каким максимальным грифом, сотрудник может скопировать на сменный носитель;

Небольшой пример, поясняющий принцип использования Системы Защиты Информации SecretsSaver Corporate:

Пусть есть сотрудник, для которого назначены следующие уровни доступа:

• уровень доступа к информации - секретная;
• уровень доступа к сети - общедоступная;
• уровень доступа к сменным носителям - служебная.

Пока сотрудник работает с общедоступными данными Система Защиты Информации никак себя не проявляет. Сотрудник может без ограничений пользоваться сетью, дискетами и usb-дисками. В процессе работы у сотрудника возникает необходимость открыть файл Секретный Документ.doc на который установлен гриф секретно. SecretsSaver Corporate перехватывает запрос на открытие файла и выдает пользователю запрос-сообщение о том что программа MsWord пытается получить доступ к секретной информации. Если сотрудник действительно хотел открыть файл, он дает подтверждение Системе Защиты, если он в данный момент к этому файлу не обращался, то видимо на компьютер проникла программа-шпион, которая пытается похитить секретную информацию и об этом факте необходимо сообщить в ИТ-отдел или Отдел Информационной Безопасности.

После открытия файла Секретный Документ.doc для сотрудника в соответствии с его уровнями доступа блокируется доступ к сети и доступ на запись к любому сменному носителю (дискеты, usb-диски и т.п.) на все оставшееся время сеанса. Любой созданный или сохраненный после этого момента документ получит гриф секретно (иначе можно скопировать содержимое секретного файла во вновь созданный и после перезагрузки секретная информация получит гриф общедоступно).

Если бы вместо файла Секретный Документ.doc имеющего гриф секретно, сотрудник открыл бы файл Служебный Документ.doc для которого установлен гриф служебная для него был бы заблокирован доступ к сети, но остался бы разрешенным доступ на запись к дискетам и usb-дискам.

Таким образом Система Защиты Информации SecretsSaver Corporate позволяет динамически изменять права доступа сотрудников к средствам переноса данных, в зависимости от уровня секретности информации с которой ведется работа.

Очевидно, что внедрение на предприятии Системы Защиты Информации SecretsSaver Corporate, поможет предотвратить не только случайные утечки информации, но и умышленные хищения (кражи) конфиденциальной информации предприятия.

SecretsSaver Corporate имеет лаконичный и понятный интерфейс управления, основанный на терминологии привычной и понятной бизнес-пользователям.