защита информации от кражи персоналом

[зашедший]

Приветствую, уважаемые

Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает.

Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы.

Угрозы видим такие:

1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне.

2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне.

3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет.

4. Системный администратор скопировал диск с БД и вынес.

 

Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе.

 

На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же.

Что делать по остальным угрозам пока не придумали.

 

Буду благодарен за любые советы.

[sten]

Приветствую, уважаемые

Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает.

Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы.

Угрозы видим такие:

1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне.

2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне.

3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет.

4. Системный администратор скопировал диск с БД и вынес.

 

Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе.

 

На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же.

Что делать по остальным угрозам пока не придумали.

 

Буду благодарен за любые советы.

6820[/snapback]

1. перлюстрация почты, включая анализ get\post (дабы web-mail засекать)

1.1. закрыть нахрен все внешние протоколы (фтп и прочее)

1.2. открытие протоколов, отличных от smtp, http - с санкции СБ-админа

2. логи доступа к БД

3. какой-либо spyware, отслеживающий активность usb и пишущий логи на сервер безопасности.

кстати, логи тоже писать надо на сервер СБ.

 

4. админов надо разносить.

Есть админ, а есть админ СБ. Второй, в частности, следит и за первым. Но не имеет доступа к данным.

 

Самое хреновое - п.3. И не потому что нет. Есть. Потому что админ имеет возможность контролировать работу spyware. Впрочем, если писать самим - то например непоступление квитанции от спая на сервер безопасности в положенное время (типа - "я тикаю") - основание подойти вместе с СБшником к машине.

[Krendel]

1. Добавить железо контроля доступа всех ПЭВМ. Когда у каждого кренделя будет по токену -> зарегламентировать порядок доступа к ПЭВМ. Отдельно сообщить персоналу, что вся деятельность в ЛВС контролируется. Сделать дополнения к должностным и ТД.

2. Размер БД. Если большой, то можно немного затруднить "переслал через Интернет": ограничения на размер отсылаемого по SMTP (заодно сбережете на трафике :)); ограничения на объем внешнего трафика; запрет HTTP на IP популярных почтовиков (их не так много как кажется).

3. частично продолжает п2, но более дорогой: сделайт систему контроля трафика и архив электропочты.

[зашедший]

спасибо за ответы

 

1. перлюстрация почты, включая анализ get\post (дабы web-mail засекать)

Вариант контекстного анализа трафика рассматривался (продукты MIMESweeper for Web и MIMESweeper for Smtp). Пришли к выводу, что от кражи надежной защиты не даст, максимум поможет выявить что она состоялась.

 

1.1. закрыть нахрен все внешние протоколы (фтп и прочее)

1.2. открытие протоколов, отличных от smtp, http - с санкции СБ-админа

2. логи доступа к БД

Это сделано.

 

3. какой-либо spyware, отслеживающий активность usb и пишущий логи на сервер безопасности.

Здесь те же недостатки, что и в пункте 1. Хотя если не найдем вариантов лучше, то видимо придется делать так.

 

4. админов надо разносить.

Есть админ, а есть админ СБ. Второй, в частности, следит и за первым. Но не имеет доступа к данным.

Это сделано.

 

 

 

1. Добавить железо контроля доступа всех ПЭВМ. Когда у каждого кренделя будет по токену -> зарегламентировать порядок доступа к ПЭВМ. Отдельно сообщить персоналу, что вся деятельность в ЛВС контролируется. Сделать дополнения к должностным и ТД.

Это из области защиты от несанкционированного доступа, это у нас есть. Мне интересна именно защита от тех, кто доступ уже получил (на зоконных основаниях).

 

2. Размер БД. Если большой, то можно немного затруднить "переслал через Интернет": ограничения на размер отсылаемого по SMTP (заодно сбережете на трафике :)); ограничения на объем внешнего трафика; запрет HTTP на IP популярных почтовиков (их не так много как кажется).

База большая, но во-первых - кроме админов никто не имеет доступа ко всем данным, во-вторых - утечка фрагментов (которые имеют не большой объем), тоже крайне не желательна.

 

3. частично продолжает п2, но более дорогой: сделайт систему контроля трафика и архив электропочты.

Это похоже на пункт 1, предложенный Sten. Недостаток в том, что не предотвращает, а только протоколирует.

 

[Albert R.]

Для закрытия USB есть софтинка USB Locker.

Надо будет помогу.

[Krendel]

Если это тот USB Locker, о котором думаю, то он выгружается юзверем через диспетчер задач :-(

[Albert R.]

Врать не буду не пробовал. Проше залить сургучём USB вход машине 8-)

[Toparenko]

Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает.

Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы.

Угрозы видим такие:

1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне.

2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне.

3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет.

4. Системный администратор скопировал диск с БД и вынес.

 

Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе.

 

На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же.

6820[/snapback]

СЗИ: "ПАНЦИРЬ" или "Dallas Lock 7.0"

Контент-анализ: "InfoWatch" для Windows или "Дозор-Джет" под UNIX

Возможно прийдется переводить БД на "ЛИНТЕР"

 

По персоналу:

Подразделение компьютерной безопасности в СБ (минимум: администратор безопасности - $1000-1500/мес, администратор безопасности БД - $1000-1500/мес)

 

Введение режимов защиты коммерческой тайны (см. Закон "О коммерческой тайне") и защиты информации, разработка политики обеспечения лояльности/мотивации персонала

 

Проблема 4 этим способом решена не будет:

- у Вас уже есть удаленный доступ администратора к управлению сервером БД (иначе в Вашем режиме администратор [БД] просто не сможет работать) - есть всегда возможность скачать БД на любой компьютер и (под видом вышедшего из строя) изъять жесткий диск или скопировать на внешний носитель уже с этого (или через этот) компьютера. Кроме того есть возможность перекачки БД по p2p-протоколу. Да и на сколько сотрудник СБ разбирается в действиях администратора в серверной?

 

Угрозы перечисленны далеко не все:

- пользователь задал отчет с критичными данными, вывел на твердую копию (бумагу) и унес

- пользователь унес копии/черновики документов

- пользователь переписал/запомнил данные и ушел к конкурентам

- пользователь изменил данные на ложные (в том числе перед уходом)

- пользователь уничтожил данные

- в результате технического сбоя данные частично или полностью уничтожены

- в результате вирусной активности данные уничтожены/модифицированы или "ушли"

- Вас ограбили и вынесли/уничтожили оргтехнику

- к Вам пришли "маски-шоу" и изъяли все (или не все, но критичные) компьютеры

- Вам (или критичному сотруднику) подарили сотовый телефон и "сняли" все Ваши разговоры (не только ведущиеся по телефону)

- у секретоносителя/администратора/начальника или ключевого сотрудника СБ взяли в заложники жену/ребенка

- и т.д. и т.п.

[зашедший]

Врать не буду не пробовал. Проше залить сургучём USB вход машине 8-)

Сургучем нельзя. Для несекретной информации usb-диски должны быть доступны на запись и желательно всегда доступны на чтение.

 

 

СЗИ: "ПАНЦИРЬ" или "Dallas Lock 7.0"

Вот это очень похоже на то что нам требуется. Будем пробовать. И стало понятно, какого типа продукты нам искать. Большое спасибо за информацию.

 

Проблема 4 этим способом решена не будет:

- у Вас уже есть удаленный доступ администратора к управлению сервером БД (иначе в Вашем режиме администратор [БД] просто не сможет работать) - есть всегда возможность скачать БД на любой компьютер и (под видом вышедшего из строя) изъять жесткий диск или скопировать на внешний носитель уже с этого (или через этот) компьютера. Кроме того есть возможность перекачки БД по p2p-протоколу. Да и на сколько сотрудник СБ разбирается в действиях администратора в серверной?

Что касается скачать по сети на другой ПК, то это мой пункт 1.

Все ПК включая ПК администраторов опечатаны. Снятие/установка железа не возможны без сотрудника СБ. Кроме того эти действия производятся под запись и роспись. Сотрудник СБ имеет достаточную квалификацию, чтобы понять что из сервера вынули жесткий диск, подключили внешний диск и т.п.

Все данные бекапятся и зеркалируются, в случае поломки жесткого диска он не ремонтируется, если это нельзя сделать своими силами, а уничтожается и заменяется.

 

 

Угрозы перечисленны далеко не все:

- пользователь задал отчет с критичными данными, вывел на твердую копию (бумагу) и унес

- пользователь унес копии/черновики документов

Согласен

 

- пользователь переписал/запомнил данные и ушел к конкурентам

Это мой пункт 2. Если только под запомнил, Вы не имеете в виду голову сотрудника.

 

- пользователь изменил данные на ложные (в том числе перед уходом)

- пользователь уничтожил данные

- в результате технического сбоя данные частично или полностью уничтожены

- в результате вирусной активности данные уничтожены/модифицированы или "ушли"

Частично эту проблему решает бекап, частично то, что перед увольнением пользователя отключают от самостоятельного доступа к критичным данным.

Насчет "ушли" - это мой пункт 2.

 

- Вас ограбили и вынесли/уничтожили оргтехнику

Крайне малая вероятность. Физическая защита реализована на достаточно высоком уровне, позволяющем продержаться до прибытия ВОХР.

 

- к Вам пришли "маски-шоу" и изъяли все (или не все, но критичные) компьютеры

Я не готов подробно обсуждать способы противодействия в подобных ситуациях публично. В этом случае все сотрудники должны встать лицом к стене, ноги шире плеч, руки на стену и выполнять команды "шоуменов" :)

 

- Вам (или критичному сотруднику) подарили сотовый телефон и "сняли" все Ваши разговоры (не только ведущиеся по телефону)

- у секретоносителя/администратора/начальника или ключевого сотрудника СБ взяли в заложники жену/ребенка

Стараемся профилактировать.

 

- и т.д. и т.п.

Понятно, что вариантов атаки можно придумать великое множество и абсолютной защиты нет. Наша задача - максимально увеличить стоимость атаки, в рамках выделенного бюджета и полномочий.

 

 

[Toparenko]

Что касается скачать по сети на другой ПК, то это мой пункт 1.

Все ПК включая ПК администраторов опечатаны. Снятие/установка железа не возможны без сотрудника СБ. Кроме того эти действия производятся под запись и роспись. Сотрудник СБ имеет достаточную квалификацию, чтобы понять что из сервера вынули жесткий диск, подключили внешний диск и т.п.

Имелось ввиду не действия с железом сервера, а логические команды.

Здесь поможет только контроль действий администатора сети со стороны администратора безопасности сети.

Я бы все-таки рекомендовал создать подразделение ИБ в СБ, в которое входили бы и работники обеспечивающие компьютерную безопасность

Все данные бекапятся и зеркалируются, в случае поломки жесткого диска он не ремонтируется, если это нельзя сделать своими силами, а уничтожается и заменяется.

Сразу следующие угрозы:

- "уход" резервной копии (как в электронном виде, так и ленты стриммера)

 

Пользователи имеют право самостоятельной установки ПО?

Если только под запомнил, Вы не имеете в виду голову сотрудника.

Ее самую... Ситуация - уход секретоносителя (как физического лица/работника) со своими записями (записные книжки/ежедневники/рабочие записи).

Частично эту проблему решает бекап, частично то, что перед увольнением пользователя отключают от самостоятельного доступа к критичным данным.

А запрограммированные действия? Отключены ли средства разработки ПО (в том числе и средства создания макросов) на компьютерах?

Физическая защита реализована на достаточно высоком уровне...

ООО "КСУ" или ЗАО "АННА"

Понятно, что вариантов атаки можно придумать великое множество и абсолютной защиты нет. Наша задача - максимально увеличить стоимость атаки, в рамках выделенного бюджета и полномочий.

6849[/snapback]

Не пробовали (если все-таки не заводить собственную службу ИБ) хотя бы обратиться к организациям оказывающим услуги интеграции в области ЗИ?