Внутрішні загрози: новий виклик корпоративним службам ІБ. Методи боротьби з інсайдерами

Останнім часом все видання, що публікують матеріали з інформаційної безпеки просто переповнені повідомленнями і аналітичними статтями про те, що найстрашнішою загрозою сьогодні стають інсайдерами. Ця тема обговорюється на конференціях по ІБ. Виробники засобів захисту починають наперебій запевняти, що їх засіб захисту практично розроблялося для боротьби саме з цією загрозою.

Почасти, загальна заклопотаність цією проблемою цілком з'ясовна: за даними світової статистики (наприклад, звіти ФБР «Computer Crime and Security Survey») максимального збитку компанії несуть саме від цієї загрози.

Однак, при уважному аналізі всіх публікацій, виступів і заяв, помічаєш деякі недоладності:

Термін інсайдера всюди дається без визначення, як щось само собою зрозуміле
Поняття інсайдера і зловмисника, який би всередині мережі практично злилися
Розповідають про загрози інсайдерів, наводять приклади втрачених ноутбуків з інформацією
Говорячи про інсайдерів збиваються на тему звичайних атак типу побору пароля, спроби скористатися чужим логіном, злом комп'ютера колеги і т.п.

Зазвичай, наявність подібних недоречностей говорить або про щирому омані / нерозуміння авторами предмета і спроби приховати це за красивим терміном, або ж свідомої маніпуляції читачем.

Наріжним каменем теми інсайдерів ставитися бажання боротися з ними усіма доступними засобами.

До речі, ситуація, що склалася трохи нагадує епопею боротьби зі спамом, яка активно велася року два назад. Ніхто не заперечує, проблема спаму є. Але вона в більшій мірі стосується провайдерів, які змушені зберігати на своїх серверах значні обсяги листів, ніж корпоративних користувачів, проте багатьох майже змусили прийняти цю ідею.

Як розібратися в предметі, зрозуміти і оцінити ризики, які інсайдери несуть саме Вашому підприємству і вибрати дійсно адекватні заходи захисту?

Почати ж пропоную з самого головного, без чого немає сенсу продовжувати подальша розмова - з визначення того явища, яке ми будемо обговорювати, а саме поняття терміна «Інсайдер».

Термін «інсайдер»

Щоб не змушувати читача ритися в довідниках і словниках, я спробував пошукати визначення цього терміна в мережі Інтернет.

Поняття «інсайдер» визначається там як «член будь-якої групи людей, яка має доступ до інформації, недоступною широкому загалу. Термін використовується в контексті, пов'язаному з секретної, прихованої або будь-якої іншої закритою інформацією або знаннями: інсайдер - це член групи, що володіє інформацією, що є тільки у цієї групи ».

Наступне визначення, яке дав Інтернет (http://abc.informbureau.com/html/einaeaad.htm) звучало так: «ІНСАЙДЕР (англ, insider, від inside буквально всередині) особа, яка має в силу свого службового чи сімейного стану доступ до конфіденційної інформації про справи компанії. Йдеться про посадових осіб, директорів, головних акціонерів корпорації з широким володінням акціями і їх найближчих родичів. »

Повторимо ще раз: ключовими словами в обох визначеннях є «мають доступ до інформації». Уже ці визначення дозволяє переформулювати проблему «інсайдерів».

Отже, вже слід не валити все в одну купу, а зрозуміти, що є проблема внутрішнього зловмисника. При цьому вона ділиться на

інсайдера, що має доступ до інформації
співробітника, який намагається такий доступ отримати.

Важливо, що в обох знайдених нами визначеннях звучало поняття інформації.

Поняття «інформації»

Поняття «Інформація» за своєю суттю є вкрай дискусійним. У кожній області знання це розуміється по своєму. Це призводить до того, що самі поняття багатьма починає сприйматися інтуїтивно.

Але нам, для подальшого обговорення, буде потрібно чітке розуміння цього терміна. Отже, пропоную вважати що

інформація - це пояснення, научіння, яке то зведення.

Пропоную не змішувати поняття «інформації» з поняттям

дані - це представлення фактів і ідей в формалізованому вигляді, придатному для передачі та обробки в деякому інформаційному процесі.

Тепер, для конструктивного продовження діалогу, давайте остаточно розберемося з цими поняттями. Найлегше зробити це на прикладах:

Сподіваюся, що мені вдалося продемонструвати різницю між цими поняттями.

Розуміти цю різницю просто необхідно хоча б для того, щоб розуміти, що ми збираємося захищати (дані або інформацію) і що для цього необхідно

Чому бояться інсайдерів

Отже. За нашими визначень можна зрозуміти, що інсайдер - це, звичайно, є директори і старші менеджери, а також власники компанії.

Створений сьогодні образ інсайдера асоціюється з тим, що інсайдери

виносять списки клієнтів
виносять документи
виносять бази даних
виносять інформацію.

Все це, за їхніми твердженнями, завдає компаніям значної шкоди і неминуче тягнуть втрату клієнтів.

До речі, практично ніде не з'являється загроза знищення або навмисного спотворення даних ... На це ніхто не звертає уваги або просто методів для захисту від цих загроз поки немає?

Але навіть якщо повторювати тільки найпопулярніші загрози як мантру, стає страшно. І побоювання дійсно не марні: світова статистика інцидентів говорить що і збитки і втрата клієнтів - реальні. Але важливо пам'ятати, що тепер ми навчилися розділяти поняття інсайдера і звичайного співробітника.

Ось тільки давайте спробуємо розібратися. У нас є 4 варіанти:

	дані	інформація
співробітник	співробітник намагається винести дані	співробітник намагається винести інформацію
інсайдер	інсайдер намагається винести дані	інсайдер намагається винести інформацію

Завдання, які ми можемо поставити собі в боротьбі з інсайдерами - просто формулюються:

Відповідність вимогам нормативних актів і стандартів
збереження інформації
збереження даних
Виявлення каналів витоку
доказ непричетність

Але чи всі вони легко можуть бути реалізовані? І які технічні засоби можуть нам допомогти?

Боротьба з інсайдерами технічними засобами і її результати

Якщо компанія просто хоче відповідати певним вимогам, які до неї пред'являє держава або професійне співтовариство, то задача зводиться навіть не до придбання і впровадження будь-якого засобу захисту, а до грамотного документування процесів забезпечення безпеки в організації.

По самому визначенню інформації, яке ми дали, припинити витік інформації - можливо тільки шляхами:

Самоконтролю інсайдерів, щоб, бува, не розголосити цю інформацію
Призначення на керівні посади відповідальних, перевірених, морально стійких людей
Акцентування уваги цих людей на те, що не вся інформація призначається для широкої публіки.

На жаль, ця проблема цілком лежить в області людського фактора. Сумно, але з нею не завжди справляються навіть найкращі спецслужби.

З проблемної витоку даних (файлів, баз даних, друкованих копій документів і т.п.) боротися можна. Але можна саме боротися. Перемогти цю проблему теж не можна, і ось чому. Як би ми не обмежили доступ людей до інформації:

Людина може показати документ на моніторі / в роздруківці колезі, з яким він не призначений.
Людина може забути документ в принтері, в їдальні, залишити без нагляду кабінет або кейс або сейф
Людина може виписати з екрану на листочок
Людина може зачитати по телефону або наговорити на диктофон
Можна сфотографувати екран монітора на фотокамеру стільникового телефону
Людина врешті-решт може просто запам'ятати змісту документа.

Крім усього іншого, той же ноутбук з даними може бути втрачено або украден.А заодно і разом з усіма ключами на той випадок, якщо дані там зберігалися в захищеному вигляді.

Рішення проблем відстеження каналів витоку ось для вирішення цього завдання технічні засоби якраз можуть створити грунт: зібрати повну статистику звернень до ресурсу, скоррелировать факт звернення, скажімо, до файлу з відправленням цього ж файлу поштою і т.п. Єдина неприємність - технічні засоби можуть дати дуже багато інформації, перевіряти і аналізувати яку доведеться, все таки, саме людям. Тобто ще раз: технічні засоби не дадуть результату.

Якщо говорити про доведення непричетності, то можливість вирішити цю проблему технічними засобами - теж під великим питанням. Але причина цього навіть більше політична, ніж технічна. Уявіть: в один день виходить стаття про те, що в компанії ХХХ стався витік черговий бази даних. Журналісти на всі лади мусують цю тему, опитують експертів з безпеки про причини, згадують історію витоків, ворожать про причини цієї тощо Сенсація ... Ваші заяви про те, що компанія непричетна, і інформація витекла немає від Вас - мало кого цікавлять, а якщо їх і опублікують, то на наступний день, коли інтерес до теми вже вщухне.

Крім того, дати 100% гарантію, що витік стався не від вас - ніхто не зможе. Ви зможете тільки показати, як, в тому числі і технічними засобами, ви піклуєтеся про їх збереження.

Про що не говорять борці з інсайдерами

Будь-які засоби захисту створюють незручності - це аксіома. Будь-які впроваджуються засоби захисту так чи інакше треба обслуговувати - закон життя. Тобто встановити засіб захисту і не стежити за тим, які результати він видає - нерозумно.

Тепер про результати.

Уявіть собі, що у вас мережу близько 1000 комп'ютерів, на кожному з яких хоч раз в день в USB порт встромляють флешку / мобільник / фотоапарат. Значить Ви щодня змушені аналізувати мінімум 1000 подій, пов'язаних з використанням цих пристроїв. Не думаю, що терпіння вистачить більше ніж на 2 дні.

Рішення заборонити всі - теж не завжди найправильніше. Через кілька хвилин начальник запитає, чому не читається його флешка, а співробітник відділу реклами буде питати про те, як тепер йому передавати в друкарню макети листівок і т.п.

Можна намагатися говорити, що якщо ми контролюємо, скажімо, всі звернення до файлу з даними, то він захищений. Принаймні ми зможемо знайти крайнього, хто цей файл розголосив. Це так, якщо ми схопили його за руку, наприклад при спробі переслати файл по пошті. В іншому випадку - це схоже на самообман.

Якщо доступ до файлу мають всі кому не лінь, то під підозру в першу чергу потраплять ті, кому він не потрібен. Але ніяких гарантій тут немає, і без колишнього оперативника ми не розберемося

Якщо доступ до файлу був розмежований, ви дізнаєтеся, що інформацією користувалися ті, хто до неї допущений ... Це цінно, але, як би сказати, марно. Можна виявити деякі особливості: наприклад, хтось звернувся до файлу посеред ночі. Напевно це незвично, але ще нема про що не говорить, особливо якщо господар облікового запису користувача заперечує факту звернення.

Говорячи про контроль, треба розуміти, що від інсайдера ми не захистимося, а від співробітника цей файл повинен бути закритий.

Так стеження або розмежування

Золоте, і тому невиконуюча правило: впроваджувати засоби захисту треба відповідно до політиками безпеки.

Звичайно непогано, що впровадження системи контролю електронної пошти спонукало організацію до того, щоб розібратися, що ж кому можна пересилати, яку інформацію слід вважати конфіденційною.

Але якби уявлення про те, що можна а що не можна було сформовано заздалегідь, компанія могла б підібрати більш задовольняє її рішення, якщо взагалі погодилася б з тим, що їй це засіб необхідно.

Але і це ще не все.

Важливо, щоб люди, які працюють в організації і відповідають за її безпеку вирішили для себе раз і назавжди, що їм потрібніше і простіше:

Зберігати всі дані в загальній купі і намагатися знайти того, хто її відіслав за межі організації
Розмежувати доступ до даних так, щоб вони були доступні тільки тим кому вони потрібні.

Перший варіант - видовищний, демонстративний. Всі бачать, що ось фахівці відділу безпеки повзають рачки і заклеюють USB порти. А сьогодні не працює пошта - впроваджують нову систему контролю.

Другий шлях - це копітка робота з аналізу того, що кому потрібно, трудомісткі настройки механізмів розмежування доступу і т.п.

Кожен вибирає свій шлях сам, але перший - більше нагадує пошук монетки під ліхтарем: її там шукають не тому що там втратили, а тому що там світліше.

Лукава статистика інцидентів

Якщо вже яка тема починає розроблятися професіоналами пера, то в купу починає валитися все.

Хотілося б відзначити що ніяким чином під поняття «загрози інсайдерів» не підпадають, і отже технічними засобами контролю за інформацією не блокуються:

Втрати ноутбуків, флешок і т.п. - це халатність.
Крадіжки ноутбуків, комп'ютерів, вінчестерів з резервними копіями - це щось на кшталт злому
Витік інформації від дії вірусів
Витоку інформації при зломі мережі, нехай навіть співробітником

До інсайдерської загрозу не належать і такі випадки, як витік бази клієнтів разом з директором з продажу.

Можна відібрати у нього на виході його телефонну книжку, але як відібрати сформовані відносини з замовником, роки спільного навчання в інституті і т.п.?

Важливо не дозволяти себе втягнути у вирішення проблеми, якої немає, або яка не вирішується принципово.

висновки

Зробити якийсь конкретний висновок з проблеми не можна. Правда життя в тому, що проблем, пов'язаних з інсайдерами, дуже багато. Деякі фахівці з безпеки, як це не сумно, часом обмежені в поглядах на ту чи іншу проблему саме в силу свого професіоналізму.

Приклад: інформація для них - це файли і бази даних (перша помилка - плутанина понять даних і інформації). І він починає боротися з цими витоками як може: знову ж відмова від відчужуваних носіїв, контроль пошти, контроль за числом друкованих копій документа і постановка їх на облік, перевірка портфелів на виході з будівлі і ще і ще ... При цьому, справжній інсайдер, який , до слова, часто в курсі цих засобів контролю, скористається для відправки документа факсом.

Так може перш ніж кидатися у вир боротьби з проблемою, варто оцінити цю проблему, порівняти її з іншими і зробити більш обгрунтований вибір?

Для ефективного захисту від інсайдерів в першу чергу необхідно забезпечити контроль над усіма комунікаційними каналами - від звичайного офісного принтера до звичайної флешки і фотокамери мобільника.

Методи захисту від інсайдерів:

* Апаратна аутентифікація співробітників (наприклад, за допомогою USB-ключа або смарт-карти);
* Аудит всіх дій всіх користувачів (включаючи адміністраторів) в мережі;
* Використання потужних програмно-апаратних засобів захисту конфіденційної інформації від інсайдерів;
* Навчання співробітників, що відповідають за інформаційну безпеку;
* Підвищення особистої відповідальності співробітників;
* Постійна робота з персоналом, які мають доступ до конфіденційної інформації (інструктаж, навчання, перевірка знань правил і обов'язків щодо дотримання інформаційної безпеки і т.д.);
* Відповідність рівня зарплати рівню конфіденційності інформації (в розумних межах!);
* Шифрування конфіденційних даних;
* Але найголовніше, звичайно, людський фактор: хоча людина - найслабша ланка в системі безпеки, але і найважливіше! Боротьба з інсайдерами не повинна перетворюватися на тотальне стеження всіх за всіма. У компанії повинен бути здоровий моральний клімат, який сприяє дотриманню корпоративного кодексу честі!

За підсумками щорічного опитування Інституту комп'ютерної безпеки (CSI, Computer Security Institute), в 2007 р фахівці з безпеки виділили три основні проблеми, з якими їм довелося стикатися протягом року: 59% визнали загрозою № 1 інсайдерів, 52% - віруси і 50 % - втрату мобільного носія (ноутбука, флеш-накопичувача). Отже, проблема внутрішніх порушників в Америці вперше почала превалювати над проблемою вірусів. На жаль, такою інформацією з Росії ми не маємо в своєму розпорядженні, проте є підстави стверджувати, що ситуація в нашій країні, як мінімум, схожа. Так, в ході круглого столу з проблеми витоку інформації внаслідок дій інсайдерів, що проходив в жовтні на щорічній конференції Aladdin, прозвучали результати опитування системних адміністраторів державних установ, як відомо, мають невисокий рівень доходу. На питання, за яку суму у них можна отримати конфіденційні дані, тільки 10% опитаних відповіли, що ніколи не підуть на таке посадовий злочин, близько половини опитаних готові ризикнути за великі гроші, а приблизно 40% готові піти на це за будь-яку винагороду. Як то кажуть, коментарі зайві. Основна складність організації захисту від інсайдера полягає в тому, що він законний користувач системи і за службовим обов'язком має доступ до конфіденційної інформації. Те, як співробітник розпоряджається цим доступом в рамках службових повноважень або за їх межами, відстежити досить складно. Розглянемо основні завдання боротьби з внутрішніми порушниками (див. Таблицю).

Останні дослідження в області інформаційної безпеки, наприклад щорічне CSI / FBI Computer Crime And Security Survey, показало, що фінансові втрати компаній від більшості загроз рік від року знижуються. Однак є кілька ризиків, збитки від яких ростуть. Одне з них - навмисне злодійство конфіденційної інформації або ж порушення правил поводження з нею тими співробітниками, доступ яких до комерційних даними необхідний для виконання службових обов'язків. Їх називають інсайдерами.

У переважній більшості випадків крадіжки конфіденційної інформації здійснюється за допомогою мобільних носіїв: CD і DVD-дисків, ZIP-пристроїв і, найголовніше, всіляких USB- накопичувачів. Саме їх масове поширення і призвело до розквіту інсайдсрства по всьому світу. Керівники більшості банків прекрасно розуміють, чим може загрожувати, наприклад, потрапляння бази даних з персональними даними їх клієнтів або, тим більше, проводками по їх рахунках в руки кримінальних структур. І вони намагаються боротися з імовірним крадіжкою інформації доступними їм організаційними методами.

Однак організаційні методи в даному випадку неефективні. Сьогодні можна організувати перенесення інформації між комп'ютерами за допомогою мініатюрної флешки, стільникового телефону, ТРЗ-плссра, цифрового фотоапарата ... Звичайно, можна спробувати заборонити проносити на територію офісу всі ці пристрої, проте це, по-перше, негативно позначиться на відносинах з співробітниками , а по-друге, налагодити реально діючий контроль над людьми все одно дуже складно - банк не «поштову скриньку». І навіть відключення на комп'ютерах усіх пристроїв, які можуть використовуватися для запису інформації на зовнішні носії (FDD і ZIP-диски, CD та DVD-приводи і т.п.), і USB-портів не допоможе. Адже перші потрібні для роботи, а до других підключається різна периферія: принтери, сканери і т.п. І ніхто нс може перешкодити людині відключити на хвилину принтер, вставити в звільнився порт флеш-диск і скопіювати на нього важливу інформацію. Можна, звичайно, знайти оригінальні способи захисту. Наприклад, в одному банку спробували такий метод вирішення проблеми: залили місце з'єднання USB-порту і кабелю епоксидною смолою, намертво «прив'язавши» останній до комп'ютера. Але, на щастя, сьогодні існують більш сучасні, надійні та гнучкі способи контролю.

Найефективнішим засобом мінімізації ризиків, пов'язаних з інсайдерами, є спеціальне програмне забезпечення, яке здійснює динамічне управління всіма пристроями і портами комп'ютера, які можуть використовуватися для копіювання інформації. Принцип їх роботи такий. Для кожної групи користувачів або для кожного користувача окремо задаються дозволу на використання різних портів і пристроїв. Найбільша перевага такого ПО - гнучкість. Вводити обмеження можна для конкретних типів пристроїв, їх моделей і окремих екземплярів. Це дозволяє реалізовувати дуже складні політики розподілу прав доступу.

Наприклад, деяким співробітникам можна дозволити використовувати будь-як принтери і сканери, підключені до USB-портів. Всі ж інші пристрої, вставлені в цей порт, залишаться недоступними. Якщо ж у банку застосовується система аутентифікації користувачів, заснована на токенах, то в налаштуваннях можна вказати використовувану модель ключів. Тоді користувачам буде дозволено використовувати тільки придбані компанією пристрої, а всі інші виявляться марними.

Виходячи з описаного вище принципу роботи систем захисту, можна зрозуміти, які моменти важливі при виборі програм, що реалізують динамічне блокування пристроїв запису і портів комп'ютера. По-перше, це універсальність. Система захисту повинна охоплювати весь спектр можливих портів і пристроїв введення-виведення інформації. Інакше ризик крадіжки комерційної інформації залишається неприпустимо високим. По-друге, розглядається ПО повинно бути гнучким і дозволяти створювати правила з використанням великої кількості різноманітної інформації про пристрої: їх типів, виробників моделей, унікальних номерів, які є у кожного примірника тощо Ну і, по-третє, система захисту від інсайдерів повинна мати можливість інтеграції з інформаційною системою банку, зокрема з Active Directory. В іншому випадку адміністратору або офіцеру безпеки доведеться вести по дві бази користувачів і комп'ютерів, що нс тільки незручно, але й збільшує ризики виникнення помилок.

На сьогоднішній день існує два основних канали витоку конфіденційної інформації: пристрої, підключені до комп'ютера (всілякі знімні накопичувачі, включаючи «флешки», CD / DVD-диски та ін., Принтери) і інтернет (електронна пошта, ICQ, соціальні мережі і т. д.). А тому, коли компанія «дозріває» на впровадження системи захисту від них, бажано підійти до розв'язання цієї комплексно. Проблема полягає в тому, що для перекриття різних каналів використовуються різні підходи. В одному випадку найбільш ефективним способом захисту буде контроль над використанням знімних накопичувачів, а в другому - різні варіанти контентної фільтрації, що дозволяє заблокувати передачу конфіденційних даних у зовнішню мережу. А тому компаніям для захисту від інсайдерів доводиться використовувати два продукти, які в сумі утворюють комплексну систему безпеки. Природно, краще використовувати інструменти одного розробника. В цьому випадку полегшується процес їх впровадження, адміністрування, а також навчання співробітників. Як приклад можна привести продукти компанії SecurIT: Zlock і Zgate.

Zlock: захист від витоків через знімні накопичувачі

Програма Zlock з'явилася на ринку вже досить давно. І ми вже. В принципі, повторюватися немає сенсу. Однак з моменту публікації статті вийшла дві нових версії Zlock, в яких з'явився ряд важливих функцій. Ось про них варто розповісти, нехай навіть і дуже коротко.

В першу чергу варто відзначити можливість призначення комп'ютера декількох політик, які самостійно застосовуються в залежності від того, чи ваш комп'ютер підключено до корпоративної мережі безпосередньо, через VPN або ж працює автономно. Це дозволяє, зокрема, автоматично блокувати USB-порти і CD / DVD-приводи при відключенні ПК від локальної мережі. В цілому дана функція збільшує безпеку інформації, розміщеної на ноутбуках, які співробітники можуть виносити з офісу на виїзди або для роботи вдома.

Друга нова можливість - надання працівникам компанії тимчасового доступу до заблокованих пристроїв або навіть групам пристроїв по телефону. Принцип її роботи полягає в обміні генеруються програмою секретними кодами між користувачем і відповідальним за інформаційну безпеку співробітником. Примітно, що дозвіл на використання може видаватися не тільки постійне, але й тимчасове (на певний час або до завершення сеансу роботи). Даний інструмент можна вважати деяким послабленням в системі захисту, проте він дозволяє підвищити оперативність реагування ІТ-відділу на запити бізнесу.

Наступним важливим нововведенням в нових версіях Zlock є контроль над використанням принтерів. Після його налаштування система захисту буде записувати в спеціальний журнал все кількість звернень від користувачів до друкуючих пристроїв. Але і це ще не все. У Zlock з'явилося тіньове копіювання всіх надрукованих документів. Вони записуються в форматі PDF і є повною копією виводяться на друк сторінок незалежно від того, який файл був відправлений на принтер. Це дозволяє запобігти витоку конфіденційної інформації на паперових аркушах, коли інсайдер роздруковує дані з метою їх виносу з офісу. Також в системі захисту з'явилося тіньове копіювання інформації, що записується на CD / DVD-диски.

Важливим нововведенням стала поява серверного компонента Zlock Enterprise Management Server. Він забезпечує централізоване зберігання і поширення політик безпеки та інших параметрів програми та істотно полегшує адміністрування Zlock в великих і розподілених інформаційних системах. Також не можна не згадати появу власної системи аутентифікації, яка, при необхідності, дозволяє відмовитися від використання доменних і локальних користувачів Windows.

Крім цього, в останній версії Zlock з'явилося кілька не таких помітних, але теж досить важливих функцій: контроль цілісності клієнтського модуля з можливістю блокування входу користувача при виявленні втручань, розширені можливості по впровадженні системи захисту, підтримка СУБД Oracle і т. П.

Zgate: захист від витоків через інтернет

Отже, Zgate. Як ми вже говорили, цей продукт являє собою систему захисту від витоку конфіденційної інформації через інтернет. Структурно Zgate складається з трьох частин. Основний є серверний компонент, який і здійснює всі операції по обробці даних. Він може інсталюватися як на окремий комп'ютер, так і на вже працюють в корпоративній інформаційній системі вузли - інтернет-шлюз, контролер домену, поштовий шлюз і т. П. Даний модуль в свою чергу складається з трьох компонентів: для контролю SMTP-трафіку, контролю внутрішньої пошти сервера Microsoft Exchange 2007/2010, а також Zgate Web (він відповідає за контроль HTTP-, FTP- і IM-трафіку).

Друга частина системи захисту - сервер журналювання. Він використовується для збору інформації про події з одного або декількох серверів Zgate, її обробки і зберігання. Цей модуль особливо корисний у великих і територіально розподілених корпоративних системах, оскільки забезпечує централізований доступ до всіх даних. Третя частина - консоль управління. В її якості використовується стандартна для продуктів компанії SecurIT консоль, а тому детально зупинятися на ній ми не будемо. Відзначимо тільки, що за допомогою даного модуля можна керувати системою не лише локально, але і віддалено.

консоль управління

Система Zgate може працювати в декількох режимах. Причому їх доступність залежить від способу застосування препарату. Перші два режими припускають роботу в якості поштового проксі-сервера. Для їх реалізації система інсталюється між корпоративним поштовим сервером і «зовнішнім світом» (або між поштовим сервером і сервером відправки, якщо вони розділені). В цьому випадку Zgate може як фільтрувати трафік (затримувати порушують і сумнівні повідомлення), так і тільки журналіровать його (пропускати всі повідомлення, однак зберігати їх в архіві).

Другий спосіб впровадження передбачає використання системи захисту спільно з Microsoft Exchange 2007 або 2010. Для цього необхідно інсталювати Zgate безпосередньо на корпоративний поштовий сервер. При цьому також є два режими: фільтрація і журнал. Крім цього існує і ще один варіант впровадження. Йдеться про журнал повідомлень в режимі віддзеркалювати трафіку. Природно, для його використання необхідно забезпечити надходження на комп'ютер, на якому встановлений Zgate, цього самого віддзеркалювати трафіку (зазвичай це здійснюється засобами мережевого обладнання).

Вибір режиму роботи Zgate

Окремої розповіді заслуговує компонент Zgate Web. Він встановлюється безпосередньо на корпоративний інтернет-шлюз. При цьому дана підсистема отримує можливість контролювати HTTP-, FTP- і IM-трафік, тобто обробляти його з метою виявлення спроб відправки конфіденційної інформації через поштові веб-інтерфейси і «аську», публікації її на форумах, FTP-серверах, в соціальних мережах та ін. До речі, про «асьці». Блокування IM-месенджерів є в багатьох подібних продуктах. Однак саме «аськи» в них немає. Просто тому, що саме в російськомовних країнах вона набула найбільшого поширення.

Принцип роботи компонента Zgate Web досить простий. При кожній відправці інформації в будь-якому з контрольованих сервісів система буде генерувати спеціальне повідомлення. У ньому міститься сама інформація і деякі службові дані. Воно відправляється на основний сервер Zgate і обробляється відповідно до заданих правил. Природно, відправка інформації в самому сервісі не блокується. Тобто Zgate Web працює тільки в режимі журналювання. З його допомогою можна запобігти поодинокі витоку даних, але зате можна швидко їх виявити і припинити діяльність вільного або мимовільного зловмисника.

Налаштування компонента Zgate Web

Способи обробки інформації в Zgate і порядок фільтрації задає політикою, яка розробляється офіцером з безпеки або іншим відповідальним співробітником. Вона являє собою ряд умов, кожному з яких відповідає певна дія. Усі вхідні повідомлення «прогоняются» по ним послідовно один за одним. І якщо якийсь з умов виконується, то запускається асоційоване з ним дію.

система фільтрації

Всього в системі передбачено 8 типів умов, як то кажуть, «на всі випадки життя». Перше з них - тип файлу вкладення. З його допомогою можна виявити спроби переміщення об'єктів того чи іншого формату. Варто зазначити, що аналіз ведеться не по розширенню, а по внутрішній структурі файлу, причому можна задавати як конкретні типи об'єктів, так і їх групи (наприклад, всі архіви, відеозапису та ін.). Другий тип умов - перевірка зовнішнім додатком. Як додаток може виступати як звичайна програма, яка запускається з командного рядка, так і скрипт.

Умови в системі фільтрації

А ось на наступній умові варто зупинитися докладніше. Йдеться про контентному аналізі інформації, що передається. В першу чергу необхідно відзначити «всеїдність» Zgate. Справа в тому, що програма «розуміє» велику кількість різних форматів. А тому вона може аналізувати не тільки простий текст, а й практично будь-які вкладення. Іншою особливістю контентного аналізу є його великі можливості. Він може полягати як в простому пошуку входження в текст повідомлення або будь-яке інше поле певного слова, так і в повноцінному аналізі, в тому числі і з урахуванням граматичних словоформ, стемінг і трансліта. Але це ще не все. Окремої згадки заслуговує система аналізу по шаблонах і регулярними виразами. З її допомогою можна легко виявити в повідомленнях наявність даних певного формату, наприклад, серія та номера паспорта, номер телефону, номер договору, номер банківського рахунку та ін. Це, крім усього іншого, дозволяє посилити захист персональних даних, що знаходяться в обробці компанії.

Шаблони для виявлення різної конфіденційної інформації

Четвертий тип умов - аналіз адрес, вказаних в листі. Тобто пошук серед них певні рядків. П'ятий - аналіз зашифрованих файлів. При його виконанні перевіряються атрибути повідомлення і / або вкладених об'єктів. Шостий тип умов полягає в перевірці різних параметрів листів. Сьомий - аналіз за словником. В ході нього система виявляє наявність в повідомленні слів з заздалегідь створених словників. Ну і, нарешті, останній, восьмий тип умови - складовою. Він являє собою два або більше інших умов, об'єднаних логічними операторами.

До речі, про словники, згаданих нами в описі умов, потрібно сказати окремо. Вони являють собою групи слів, об'єднаних за однією ознакою, і використовуються в різних методах фільтрації. Логічно створювати словники, які з великою часткою ймовірністю дозволяють віднести повідомлення до тієї чи іншої категорії. Їх вміст можна вводити вручну або імпортувати дані з уже існуючих текстових файлів. Існує і ще один варіант генерації словників - автоматичний. При його використанні адміністратору досить просто вказати папку, в якій містяться відповідні документи. Програма сама проаналізує їх, вибере потрібні слова і розставить їх вагові характеристики. Для якісного складання словників необхідно вказувати не тільки конфіденційні файли, але і об'єкти, що не містять закриту інформацію. Загалом, процес автоматичної генерації найбільше схожий на навчання антиспаму на рекламних і звичайних листах. І це не дивно, бо і там, і там використовуються схожі технології.

Приклад словника на фінансову тему

Говорячи про словники, не можна також не згадати про ще одну технологію виявлення конфіденційних даних, реалізованої в Zgate. Йдеться про цифрові відбитки. Суть даного методу полягає в наступному. Адміністратор може вказати системі папки, в яких містяться конфіденційні дані. Програма проаналізує всі документи в них і створить «цифрові відбитки» - набори даних, які дозволяють визначити спробу передачі не тільки всього вмісту файлу, але і окремих його частин. Зверніть увагу, що система автоматично веде облік зазначених їй папок і самостійно створює «відбитки» для всіх новопосталих в них об'єктів.

Створення категорії з цифровими відбитками файлів

Ну а тепер залишилося тільки розібратися з діями, реалізованими в даній системі захисту. Всього їх реалізовано в Zgate аж 14 штук. Втім, велика частина визначає ті дії, які вчиняються з повідомленням. До них відноситься, зокрема, видалення без відправки (тобто, фактично, блокування передачі листа), приміщення в архів, щоб додати або вилучити вкладень, зміни різних полів, вставка тексту та ін. Серед них особливо варто відзначити приміщення листи в карантин. Дана дія дозволяє «відкласти» повідомлення для ручної перевірки офіцером безпеки, який і буде приймати рішення про його подальшу долю. Також дуже цікаво дію, що дозволяє заблокувати IM-з'єднання. Його можна використовувати для моментальної блокування каналу, по якому було передано повідомлення з конфіденційною інформацією.

Дещо осібно стоять дві дії - обробка методом Байеса і обробка методом відбитків. Обидва вони призначені для перевірки повідомлень на предмет знаходження в них конфіденційної інформації. Тільки в першому використовуються словники і статистичний аналіз, а в другому - цифрові відбитки. Ці дії можуть виконуватися при виконанні певної умови, наприклад, якщо адреса одержувача знаходиться не в корпоративному домені. Крім того, їх (втім, як і будь-які інші) можна виставити для безумовного застосування до всіх вихідних повідомлень. В цьому випадку система буде аналізувати листи і відносити їх до тих чи інших категорій (якщо, звичайно, це можливо). А ось за цими категоріями вже можна робити умови з виконанням певних дій.

Дії в системі Zgate

Ну і на завершення нашої сьогоднішньої розмови про Zgate можна підвести невеликий підсумок. Дана система захисту заснована в першу чергу на контентному аналізі повідомлень. Такий підхід є найбільш поширеним для захисту від витоку конфіденційної інформації через Інтернет. Природно, контентний аналіз не дає стовідсоткової ступеня захисту і носить скоріше імовірнісний характер. Проте, його використання дозволяє запобігти більшу частину випадків несанкціонованої передачі секретних даних. Застосовувати її компаніям чи ні? Це кожен повинен вирішити сам для себе, оцінивши витрати на впровадження і можливі проблеми в разі витоку інформації. Варто відзначити, що Zgate відмінно справляється з «виловом» регулярних виразів, що робить його досить ефективним засобом захисту персональних даних, що знаходяться в обробці у компанії.

Сподіваюся, що сама стаття і особливо її обговорення допоможуть виявити різні нюанси застосування програмних засобів і стануть відправною точкою в розробці рішення описаної задачі, для фахівців з ІБ.

nahna

Маркетинговий підрозділ компанії Інфовотч, вже протягом тривалого часу переконує всіх зацікавлених осіб - ІТ-фахівців, а також найбільш просунутих в області ІТ керівників, що велика частина збитку від порушення ІБ компанії доводиться на інсайдерів - співробітників розголошувати комерційну таємницю. Мета зрозуміла - треба створювати попит на що випускається продукт. Та й доводи виглядають цілком солідно і переконливо.

Постановка задачі

Побудувати систему захисту інформації від крадіжки персоналом в ЛВС на базі Active Directory Windows 2000/2003. Робочі станції користувачів під управлінням Windows XP. Управління підприємством і бухгалтерський облік на базі продуктів 1С.
Секретна інформація зберігається трьома способами:

БД 1С - доступ по мережі через RDP (термінальний доступ);
розшарені папки на файлових серверах - доступ по мережі;
локально на ПК співробітника;

Канали витоку - інтернет і змінні носії (флешки, телефони, плеєри і т.п.). Забороняти використання інтернет і змінних носіїв не можна, так як вони необхідні для виконання службових обов'язків.

Що є на ринку

Розглянуті системи я розділив на три класи:

Системи на основі контекстних аналізаторів - Surf Control, MIME Sweeper, InfoWatch Traffic Monitor, Дозор Джет і т.п.
Системи на основі статичної блокування пристроїв - DeviceLock, ZLock, InfoWatch Net Monitor.
Системи на основі динамічного блокування пристроїв - SecrecyKeeper, Страж, Акорд, SecretNet.

Системи на основі контекстних аналізаторів

Принцип роботи:
В інформації, що передається шукаються ключові слова, за результатами пошуку приймається рішення про необхідність блокування передачі.

Максимальними можливостями серед перерахованих продуктів, на мій погляд, має InfoWatch Traffic Monitor (www.infowatch.ru). За основу взято непогано себе зарекомендував движок Касперський Антиспам, найбільш повно враховує особливості російської мови. На відміну від інших продуктів, InfoWatch Traffic Monitor, при аналізі враховує не тільки наявність певних рядків у перевірених даних, а й заздалегідь заданий вага кожного рядка. Таким чином при прийнятті остаточного рішення, враховується не тільки входження певних слів, а й те, в яких поєднаннях вони зустрічаються, що дозволяє підвищити гнучкість аналізатора. Інші можливості стандартні для такого роду продуктів - аналіз архівів, документів MS Office, можливість блокування передачі файлів невідомого формату або запаролених архівів.

Недоліки розглянутих системи на основі контекстного аналізу:

Контролюються тільки два протоколи - HTTP і SMTP (для InfoWatch Traffic Monitor, причому для HTTP трафіку перевіряються тільки дані передаються за допомогою POST-запитів, що дозволяє організувати канал витоку за допомогою передачі даних методом GET);
Чи не контролюються пристрою перенесення даних - дискети, CD, DVD, USB-диски і т.п. (У Інфовотч на цей випадок є продукт InfoWatch Net Monitor).
для обходу систем побудованих на основі тематичного аналізу, досить застосувати найпростішу кодування тексту (наприклад: секрет -\u003e с1е1к1р1е1т), або стеганографії;
наступна завдання не вирішується методом контентного аналізу - відповідного формального опису в голову не приходить, тому просто наведу приклад: є два екселевскіх файлу - в першому роздрібні ціни (публічна інформація), у другому - оптові для певного клієнта (закрита інформація), вміст файлів розрізняється тільки цифрами. За допомогою контентного аналізу ці файли розрізнити не можна.

висновок:
контекстний аналіз годиться тільки для створення архівів трафіку і протидії випадкової витоку інформації і поставлене завдання не вирішує.

Системи на основі статичної блокування пристроїв

Принцип роботи:
користувачам присвоюються права доступу до контрольованих пристроїв, за аналогією з правами доступу до файлів. В принципі практично такого ж ефекту можна домогтися використовуючи штатні механізми Windows.

Zlock (www.securit.ru) - продукт з'явився порівняно недавно, тому має мінімальний функціонал (рюшечки я не вважаю), та й отлаженностью він не відрізняється, наприклад, консоль управління іноді падає при спробі зберегти настройки.

DeviceLock (www.smartline.ru) - продукт більш цікавий, на ринку досить давно, тому працює значно стабільніше і функціонал має більш різноманітний. Наприклад, дозволяє виконувати тіньове копіювання інформації, що передається, що може допомогти в розслідуванні інциндент, але не в його запобіганні. Крім того, таке розслідування швидше за все буде проводиться тоді, коли про витік стане відомо, тобто через значний проміжок часу після того, як вона відбудеться.

InfoWatch Net Monitor (www.infowatch.ru) складається з модулів - DeviceMonitor (аналог Zlock), FileMonitor, OfficeMonitor, AdobeMonitor і PrintMonitor. DeviceMonitor є аналогом Zlock, стандартний функціонал, без родзинок. FileMonitor - контроль звернення до файлів. OfficeMonitor і AdobeMonitor дозволяють контролювати роботу з файлами у відповідних додатках. Придумати корисне, а не іграшкове, застосування для FileMonitor, OfficeMonitor і AdobeMonitor в даний час досить важко, але в майбутніх версіях повинна з'явиться можливість контекстного аналізу по оброблюваних даних. Можливо тоді ці модулі і розкриють свій потенціал. Хоча варто зауважити, що завдання контекстного аналізу файлових операцій не є тривіальною, особливо якщо база контентної фільтрації буде таже, що і в Traffic Monitor, тобто мережевий.

Окремо необхідно сказати про захист агента від користувача з правами локального адміністратора.
У ZLock і InfoWatch Net Monitor такий захист просто відсутня. Тобто користувач може зупинити агента, скопіювати дані і знову запустити агента.

У DeviceLock такий захист є, що є безсумнівним плюсом. Вона заснована на перехопленні системних викликів роботи з реєстром, файлової системою і управління процесами. Ще одним плюсом є те, що захист працює і в safe-mode. Але є і мінус - для відключення захисту досить відновити Service Descriptor Table, що можна зробити завантаживши простенький драйвер.

Недоліки розглянутих систем на основі статичної блокування пристроїв:

Чи не контролюється передача інформації в мережу.
-Не вміє відрізняти секретну інформацію від не таємно. Працює за принципом або все можна, або нічого не можна.
Відсутня або легко обходиться захист від вивантаження агента.

висновок:
впроваджувати подібні системи не доцільно, тому що поставлене завдання вони не вирішують.

Системи на основі динамічного блокування пристроїв

Принцип роботи:
доступ до каналів передачі блокується в залежності від рівня допуску користувача і ступеня секретності інформації з якої ведеться робота. Для реалізації цього принципу зазначені продукти використовують механізм повноважного розмежування доступу. Цей механізм зустрічається не дуже часто, тому зупинюся на ньому докладніше.

Повноважний (примусовий) контроль доступу на відміну від дескріціонного (реалізованого в системі безпеки Windows NT і вище), полягає в тому, що господар ресурсу (наприклад файлу), не може послабити вимоги на доступ до цього ресурсу, а може тільки посилювати їх в межах свого рівня. Послаблювати вимоги може лише користувач наділений особливими повноваженнями - офіцер або адміністратор інформаційної безпеки.

Основною метою розробки продуктів типу Страж, Акорд, SecretNet, DallasLock і ще деяких, була можливість сертифікації інформаційних систем в яких дані продукти будуть встановлені, на відповідність вимогам Гостехкоммісіі (зараз ФСТЕК). Така сертифікація обов'язкова для інформаційних систем в яких обробляється держ. таємниця, що в основному і забезпечувало попит на продукти з боку держ підприємств.

Тому, набір функцій реалізованих в даних продуктах визначався вимогами відповідних документів. Що в свою чергу спричинило той факт, що більша частина реалізованого в продуктах функціоналу, або дублює штатний функціонал Windows (очищення об'єктів після видалення, очищення ОЗУ), або його неявно використовує (дескріцірнний контроль доступу). А розробники DallasLock пішли ще далі, реалізувавши мандатний контроль доступу своєї системи, через механізм дескріціонного контролю Windows.

Практичне застосування подібних продуктів вкрай не зручно, наприклад DallasLock для установки вимагає переразбівкі жорсткого диска, яку до того ж треба виконувати за допомогою стороннього ПО. Дуже часто після проходження сертифікації ці системи віддалялися або відключалися.

SecrecyKeeper (www.secrecykeeper.com) ще один продукт, який реалізує повноважний механізм контролю доступу. За словами розробників, розроблявся SecrecyKeeper саме для вирішення конкретного завдання - запобігання крадіжки інформації в комерційній організації. Тому, знову ж таки зі слів розробників, особливу увагу при розробці приділялася простоті і зручності використання, як для адміністраторів системи так і для простих користувачів. Наскільки це вдалося - судити споживачеві, тобто нам. Крім того в SecrecyKeeper реалізований ряд механізмів, які в інших згаданих системах відсутні - наприклад можливість встановлювати рівень секретності для ресурсів з віддаленим доступом та механізм захисту агента.
Контроль переміщення інформації в SecrecyKeeper реалізований на основі Рівня секретність Інформації, Рівнів Допуску Користувача і Рівня Безпеки Комп'ютера, які можуть набувати значень public, secret і top secret. Рівень секретність Інформації дозволяє класифікувати оброблювану в системі інформацію за трьома категоріями:

public - НЕ секретна інформація, при роботі з нею ніяких обмежень немає;

secret - секретна інформація, при роботі з нею вводяться обмеження в залежності від рівнів Допуску Користувача;

top secret - цілком таємна інформація, при роботі з нею вводяться обмеження в залежності від рівнів Допуску Користувача.

Рівень секретність Інформації може встановлюватися для файлу, мережевого диска і порту комп'ютера на якому запущена якась служба.

Рівні Допуску Користувача дозволяють визначити, як користувач може переміщати інформацію, в залежності від її Рівня секретність. Існують наступні Рівні Допуску Користувача:

Рівень Допуску Користувача - обмежує максимальний рівень секретність Інформації до якої, може отримати доступ співробітник;

Рівень Допуску до Мережі - обмежує максимальний рівень секретність Інформації, яку співробітник може передавати по мережі;

Рівень Допуску до Змінний Носіям - обмежує максимальний рівень секретність Інформації, яку співробітник може копіювати на зовнішні носії.

Рівень Допуску до Принтеру - обмежує максимальний рівень секретність Інформації, яку співробітник може роздрукувати.

Рівень Безпеки Комп'ютера - визначає максимальний рівень секретність Інформації, яка може зберігатися і оброблятися на комп'ютері.

Доступ до інформації має рівень секретності public, може бути здійснений співробітником з будь-яким рівнем допуску. Така інформація без обмежень може передаватися по мережі і копіюватися на зовнішні носії. Історія роботи з інформацією має рівень секретності public не відслідковуються.

Доступ до інформації має рівень секретності secret, можуть отримати тільки співробітники рівень допуску яких дорівнює secret або вище. Передавати таку інформацію в мережу можуть тільки співробітники рівень допуску до мережі яких, дорівнює secret і вище. Копіювати таку інформацію на зовнішні носії можуть тільки співробітники, рівень допуску до змінних носіїв яких, дорівнює secret і вище. Виводити таку інформацію на друк можуть тільки співробітники рівень допуску до принтеру яких, дорівнює secret і вище. Історія роботи з інформацією має рівень секретності secret, тобто спроби отримати до неї доступ, спроби передати її по мережі, спроби скопіювати її на зовнішні носії або роздрукувати - протоколюється.

Доступ до інформації має рівень секретності top secret, можуть отримати тільки співробітники рівень допуску яких дорівнює top secret. Передавати таку інформацію в мережу можуть тільки співробітники рівень допуску до мережі яких, дорівнює top secret. Копіювати таку інформацію на зовнішні носії можуть тільки співробітники, рівень допуску до змінних носіїв яких, дорівнює top secret. Виводити таку інформацію на друк можуть тільки співробітники рівень допуску до принтеру яких, дорівнює top secret. Історія роботи з інформацією має рівень секретності top secret, тобто спроби отримати до неї доступ, спроби передати її по мережі, спроби скопіювати її на зовнішні носії або роздрукувати - протоколюється.

Приклад: нехай співробітник має Рівень Допуску рівний top secret, Рівень Допуску до Мережі рівний secret, Рівень Допуску до Змінний Носіям рівний public і Рівень Допуску до Принтеру рівний top secret; в цьому випадку співробітник може отримати доступ до документа має будь-який рівень секретності, передати в мережу співробітник може інформацію має рівень секретності не вище ніж secret, копіювати, наприклад на дискети, співробітник може тільки інформацію з рівнем секретності public і роздруковувати на принтері співробітник може будь-яку інформацію .

Для управління поширенням інформації на підприємство кожногокомп'ютера закріпленому за співробітником, присвоюється Рівень Безпеки Комп'ютера. Цей рівень обмежує максимальний Рівень секретність Інформації, до якої будь-який співробітник може отримати доступ з даного комп'ютера, незалежно від рівнів допуску співробітника. Т.ч. якщо співробітник має Рівень Допуску рівним top secret, а комп'ютер на якому він в даний момент працює має Рівень Безпеки рівний public, то співробітник не зможе з цієї робочої станції отримати доступ до інформації з рівнем секретності вище ніж public.

Озброївшись теорією спробуємо застосувати SecrecyKeeper для вирішення поставленого завдання. Спрощено описати інформацію, оброблювану в інформаційній системі розглянутого абстрактного підприємства (див. Постановку задачі), можна за допомогою такої таблиці:

Співробітників підприємства і область їх посадових інтересів описується за допомогою другої таблиці:

нехай на підприємстві використовуються наступні сервера:
сервер 1С
Файловий сервер з кулями:
SecretDocs - містить секретні документи
PublicDocs - містить загальнодоступні документи

Зауважу, що для організації стандартного розмежування доступу використовуються штатні можливості операційної системи і прикладного програмного забезпечення, тобто для того, щоб запобігти доступ наприклад менеджера до персональних даних співробітників, додаткових систем захисту вводити не треба. Йдеться саме про протидію поширенню інформації, до якої співробітник має законний доступ.

Переходимо до безпосередньої налаштування SecrecyKeeper.
Процес установки консолі управління та агентів описувати не буду, там все максимально просто - см. Документацію до програми.
Налаштування системи складається з виконання наступних дій.

Крок 1. Встановити агенти на все ПК крім серверів - це відразу дозволяє запобігти потраплянню на них інформації для якої встановлено Рівень секретність вище ніж public.

Крок 2. Присвоїти співробітникам Рівні Допуску у відповідності з наступною таблицею:

	Рівень Допуску Користувача	Рівень Допуску до Мережі	Рівень Допуску до Змінний Носіям	Рівень Допуску до Принтеру
директор	secret	secret	secret	secret
менеджер	secret	public	public	secret
кадровик	secret	public	public	secret
бухгалтер	secret	public	secret	secret
секретар	public	public	public	public

Крок 3. Присвоїти Рівні Безпеки Комп'ютера наступним чином:

Крок 4. Налаштувати Рівні секретність Інформації на серверах:

Крок 5. Налаштувати Рівні секретність Інформації на ПК співробітників для локальних файлів. Це найбільш трудомістка частина, так як необхідно чітко уявляти, хто із співробітників з якою інформацією працює і наскільки ця інформація є критичною. Якщо в організації був проведений аудит інформаційної безпеки, його результати можуть значно полегшити завдання.

Крок 6. При необхідності SecrecyKeeper дозволяє обмежити список програм дозволених до запуску користувачам. Цей механізм реалізований незалежно від Windows Software Restriction Policy і може використовуватися якщо наприклад треба накласти обмеження і на користувачів з правами адміністратора.

Таким чином за допомогою SecrecyKeeper, можливо значно знизити ризик несанкціонованого поширення секретної інформації - як витоку, так і крадіжки.

недоліки:
- труднощі з первинною настройкою рівнів секретності для локальних файлів;

Загальний висновок:
максимальні можливості по захисту інформації від інсайдерів надає ПО володіє можливістю динамічно регулювати доступ до каналів передачі інформації, в залежності від ступеня секретності інформації з якої ведеться робота і рівня допуску співробітника.

компанія - це унікальний сервіс для покупців, розробників, дилерів і афіліат-партнерів. Крім того, це один з кращих Інтернет-магазинів ПО в Росії, Україні, Казахстані, який пропонує покупцям широкий асортимент, безліч способів оплати, оперативну (часто миттєву) обробку замовлення, відстеження процесу виконання замовлення в персональному розділі.