Хранитель секретов компании
Наверное, никому не нужно объяснять, что у любой компании есть свои собственные секретные документы. И это совсем не обязательно что-то противозаконное. Бухгалтерская отчетность, договоры с партнерами, персональные данные клиентов... Этот список можно долго продолжать. И если любой из данных документов попадет к конкурентам компании или просто в открытый доступ, компания может понести серьезные финансовые убытки. Да и улучшению имиджа такой факт явно способствовать не будет. Это понимают все, в том числе и руководители предприятий. Понимают и стараются максимально обезопасить конфиденциальные данные от различных угроз. Но при этом почему-то все забывают защитить их от собственных сотрудников. Между тем утечки коммерческой информации - очень серьезная проблема, наносящая компаниям во всем мире огромный ущерб.
На первый взгляд кажется, что защитить коммерческую информацию от сотрудников самой компании нельзя. И действительно, закрыть им доступ к данным нельзя - без них работа будет просто-напросто невозможна. Большинство чисто административных мер тоже остаются малоэффективными. Причиной этому стало массовое распространение устройств, которые могут использоваться для переноса информации: флеш-память, КПК, мобильные телефоны, цифровые фотоаппараты, mp3-плееры и т. д. Все они могут подключаться к компьютеру и использоваться для воровства коммерческих данных. Поэтому единственным действительно эффективным способом защиты от инсайдеров является специальное программное обеспечение, не позволяющее информации покидать рабочий компьютер. Для примера можно взять продукт SecretsSaver Corporate, разработанный специалистами компании Smart Protection Labs.
Итак, SecretsSaver Corporate. Этот продукт представляет собой систему защиты коммерческой информации от несанкционированного распространения. Благодаря этой программе ни один сотрудник компании не сможет вынести (неважно, с какими целями и намерениями) со своего компьютера неразрешенные данные. В то же время он сможет без каких-либо проблем и неудобств работать с ними. Принцип работы системы SecretsSaver Corporate таков. Сотрудник, отвечающий за информационную безопасность фирмы, настраивает политику доступа, в которой описывает права различных людей на доступ к тем или иным данным и устройствам. Все это делается с помощью специального конфигурационного модуля, установленного на компьютере офицера по безопасности. Данные параметры хранятся в зашифрованном виде, так что для доступа к ним необходимо иметь ключ. Современные представления об информационной безопасности требуют обеспечить его хранение на сменном носителе. Это позволит избежать несанкционированного изменения политики системы защиты. На остальных же ПК корпоративной сети устанавливаются специальные агенты. Эти программы запускаются вместе с операционной системой и не могут быть выгружены самими пользователями. В их задачи входит управление ПК с целью практической реализации заданной политики. То есть, говоря простым языком, эти агенты разрешают или запрещают доступ к данным и устройствам в зависимости от прав текущего пользователя.
Для управления системой защиты информации в SecretsSaver Corporate вводится три новых понятия: уровень секретности информации, уровень допуска сотрудника и уровень безопасности компьютера. Для того чтобы понять логику работы, необходимо подробно рассмотреть каждое из них. Уровень секретности информации - параметр достаточно простой. По умолчанию определены три его значения: общедоступная, служебная и секретная. При первоначальной настройке системы защиты ответственный сотрудник присваивает разным файлам соответствующие их статусу уровни.
Второй параметр гораздо интересней. Дело в том, что уровень допуска сотрудника состоит из трех частей: уровень допуска пользователя, уровень допуска к сети и уровень допуска к сменным носителям. Первая из них определяет максимальный уровень секретности информации, к которой человек может получить доступ (доступ к разным документам в пределах одного уровня секретности разграничивается с помощью стандартных средств Windows). То есть общедоступные данные могут быть использованы любыми сотрудниками. А вот для того чтобы открыть служебный или секретный документ, необходимо обладать соответствующими правами. Вторая часть уровня допуска определяет возможности пользователя по передаче данных по сети. Здесь действуют правила, подобные описанным выше. Ну и, наконец, последняя часть, уровень допуска к сменным носителям, определяет, какую информацию сотрудник может выносить со своего компьютера. Такой подход позволяет создавать чрезвычайно гибкие политики работы пользователей с любой информацией.
Третий параметр, уровень безопасности компьютера, определяет, с какой информацией можно работать на нем. То есть на машине со служебным уровнем невозможно открыть файлы, имеющие статус секретных. Это очень важный момент, которым ни в коем случае нельзя пренебрегать. Ведь разные компьютеры действительно имеют различную безопасность. К некоторым машинам гораздо легче получить доступ. Кроме того, нелояльный сотрудник может установить на своем ПК какое-нибудь шпионское программное обеспечение. А еще нельзя забывать, что в операционной системе и некоторых утилитах могут оставаться следы работы с документами. Так что запрет на использование конфиденциальной информации на потенциально небезопасных ПК - решение вполне логичное.
Ну а теперь давайте разберем логику работы системы защиты коммерческих данных SecretsSaver Corporate на довольно простом примере. Допустим, нам необходимо настроить права допуска сотрудника финансового отдела компании. При этом будем считать, что уровни секретности документов мы уже задали. Наиболее оптимальным вариантом будет такой: уровень допуска пользователя - секретный, уровень допуска к сети - служебный, уровень допуска к сменным носителям - общедоступный. В этом случае сотрудник финансового отдела сможет без проблем работать с секретной информацией, размещенной на его компьютере. Речь идет о данных, которые он использует в работе, и документах, которые он создает на их основе. При этом по сети сотрудник может отправлять только служебную информацию: первичные формы, планы мероприятий, цены продаж и т. п. Секретные же данные он будет получать от своего непосредственного начальника, который имеет право на передачу их между компьютерами. Ну а если посмотреть на допуск рассматриваемого сотрудника к мобильным носителям, то можно увидеть, что он не может ничего вынести со своего компьютера. Таким образом, для этого пользователя мы полностью решили задачу защиты коммерческой информации. Ведь он может спокойно работать со всеми нужными ему данными, но не может скопировать их. Кроме того, секретная информация выдается ему вышестоящим начальством, так что исключается вариант просмотра этим работником лишней, не предназначенной ему информации.
Практическая реализация программы такова. Первоначально пользователь работает в общедоступном режиме. Но как только он попытается открыть файл с другим уровнем секретности, система проверит права данного сотрудника и, если ему действительно разрешено такое действие, перейдет в служебный или секретный режимы работы. Чем они отличаются от обычного? Все очень просто. Только в этом режиме пользователь сможет работать с файлами, имеющими отличные от общедоступного уровни секретности. Кроме того, у программы SecretsSaver Corporate есть еще одна особенность. Любым созданным или измененным документам автоматически присваивается уровень секретности, соответствующий режиму, в котором в данный момент находится система. Это условие необходимо, поскольку иначе пользователи могут легко обойти систему защиты путем копирования секретной информации из исходных файлов в любые другие.
Кстати, разработчики продукта SecretsSaver Corporate предусмотрели в своем детище еще одну очень важную функцию. Речь идет о ведении журнала о различных событиях для каждого компьютера, на котором установлен агент. В частности, в нем отмечаются входы пользователей в систему и выходы из нее и технические данные о работе агентов. Но самое главное в журнале - это полный лог доступа к информации. Он содержит данные обо всех удачных и неудачных операциях (попытки открытия, передачи по сети, копирования на внешние носители) с объектами, имеющими уровень секретности выше общедоступного. Анализ такого лога поможет определить нелояльно настроенных сотрудников компании, проявляющих нездоровый интерес к служебной и секретной информации. Более того, в некоторых случаях при утечке коммерческих данных этот журнал может оказать просто неоценимую помощь в поиске и доказательстве вины инсайдера.
У продукта SecretsSaver Corporate есть две версии. Возможности первой из них мы уже рассмотрели. Во втором варианте, который называется SecretsSaver Corporate Pro, появляются две дополнительные функции: отображение текущего уровня секретности на удаленных компьютерах и возможность устанавливать и просматривать уровень секретности файла из консоли управления прямо по сети. Обе они предназначены для мониторинга и быстрого управления системой защиты и могут оказать большую помощь в крупных компаниях с большим количеством рабочих компьютеров.
Ну а напоследок давайте поговорим о ценах на рассмотренный продукт. На каждый компьютер, на котором будет работать система защиты, необходимо приобрести отдельную лицензию. Ее стоимость зависит от общего количества таких ПК. Так, например, цена на обычную версию SecretsSaver Corporate колеблется от 1200 (от 1 до 5 компьютеров) до 500 (от 101 до 500 компьютеров) рублей. При этом цена профессиональной версии составляет от 1500 (от 1 до 20 ПК) до 800 (от 101 до 500 ПК) рублей. Кому-то может показаться, что стоимость системы защиты велика. Однако нельзя забывать, что во многих случаях утечка коммерческой информации может нанести гораздо более серьезный ущерб. Таким образом, приобретение программы SecretsSaver Corporate вполне оправданно.
Марат Давлетханов
08.02.2006
http://infobez.ru/article.asp?ob_no=3651
|
