зашедший Опубликовано 26 января, 2006 Поделиться Опубликовано 26 января, 2006 Приветствую, уважаемые Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает. Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы. Угрозы видим такие: 1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне. 2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне. 3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет. 4. Системный администратор скопировал диск с БД и вынес. Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе. На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же. Что делать по остальным угрозам пока не придумали. Буду благодарен за любые советы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
sten Опубликовано 26 января, 2006 Поделиться Опубликовано 26 января, 2006 Приветствую, уважаемые Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает. Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы. Угрозы видим такие: 1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне. 2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне. 3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет. 4. Системный администратор скопировал диск с БД и вынес. Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе. На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же. Что делать по остальным угрозам пока не придумали. Буду благодарен за любые советы. 6820[/snapback] 1. перлюстрация почты, включая анализ get\post (дабы web-mail засекать) 1.1. закрыть нахрен все внешние протоколы (фтп и прочее) 1.2. открытие протоколов, отличных от smtp, http - с санкции СБ-админа 2. логи доступа к БД 3. какой-либо spyware, отслеживающий активность usb и пишущий логи на сервер безопасности. кстати, логи тоже писать надо на сервер СБ. 4. админов надо разносить. Есть админ, а есть админ СБ. Второй, в частности, следит и за первым. Но не имеет доступа к данным. Самое хреновое - п.3. И не потому что нет. Есть. Потому что админ имеет возможность контролировать работу spyware. Впрочем, если писать самим - то например непоступление квитанции от спая на сервер безопасности в положенное время (типа - "я тикаю") - основание подойти вместе с СБшником к машине. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Krendel Опубликовано 27 января, 2006 Поделиться Опубликовано 27 января, 2006 1. Добавить железо контроля доступа всех ПЭВМ. Когда у каждого кренделя будет по токену -> зарегламентировать порядок доступа к ПЭВМ. Отдельно сообщить персоналу, что вся деятельность в ЛВС контролируется. Сделать дополнения к должностным и ТД. 2. Размер БД. Если большой, то можно немного затруднить "переслал через Интернет": ограничения на размер отсылаемого по SMTP (заодно сбережете на трафике :)); ограничения на объем внешнего трафика; запрет HTTP на IP популярных почтовиков (их не так много как кажется). 3. частично продолжает п2, но более дорогой: сделайт систему контроля трафика и архив электропочты. Ссылка на комментарий Поделиться на другие сайты More sharing options...
зашедший Опубликовано 27 января, 2006 Автор Поделиться Опубликовано 27 января, 2006 спасибо за ответы 1. перлюстрация почты, включая анализ get\post (дабы web-mail засекать) Вариант контекстного анализа трафика рассматривался (продукты MIMESweeper for Web и MIMESweeper for Smtp). Пришли к выводу, что от кражи надежной защиты не даст, максимум поможет выявить что она состоялась. 1.1. закрыть нахрен все внешние протоколы (фтп и прочее) 1.2. открытие протоколов, отличных от smtp, http - с санкции СБ-админа 2. логи доступа к БД Это сделано. 3. какой-либо spyware, отслеживающий активность usb и пишущий логи на сервер безопасности. Здесь те же недостатки, что и в пункте 1. Хотя если не найдем вариантов лучше, то видимо придется делать так. 4. админов надо разносить. Есть админ, а есть админ СБ. Второй, в частности, следит и за первым. Но не имеет доступа к данным. Это сделано. 1. Добавить железо контроля доступа всех ПЭВМ. Когда у каждого кренделя будет по токену -> зарегламентировать порядок доступа к ПЭВМ. Отдельно сообщить персоналу, что вся деятельность в ЛВС контролируется. Сделать дополнения к должностным и ТД. Это из области защиты от несанкционированного доступа, это у нас есть. Мне интересна именно защита от тех, кто доступ уже получил (на зоконных основаниях). 2. Размер БД. Если большой, то можно немного затруднить "переслал через Интернет": ограничения на размер отсылаемого по SMTP (заодно сбережете на трафике :)); ограничения на объем внешнего трафика; запрет HTTP на IP популярных почтовиков (их не так много как кажется). База большая, но во-первых - кроме админов никто не имеет доступа ко всем данным, во-вторых - утечка фрагментов (которые имеют не большой объем), тоже крайне не желательна. 3. частично продолжает п2, но более дорогой: сделайт систему контроля трафика и архив электропочты. Это похоже на пункт 1, предложенный Sten. Недостаток в том, что не предотвращает, а только протоколирует. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Albert R. Опубликовано 27 января, 2006 Поделиться Опубликовано 27 января, 2006 Для закрытия USB есть софтинка USB Locker. Надо будет помогу. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.