зашедший Опубликовано 26 января, 2006 Поделиться Опубликовано 26 января, 2006 Приветствую, уважаемые Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает. Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы. Угрозы видим такие: 1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне. 2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне. 3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет. 4. Системный администратор скопировал диск с БД и вынес. Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе. На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же. Что делать по остальным угрозам пока не придумали. Буду благодарен за любые советы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
sten Опубликовано 26 января, 2006 Поделиться Опубликовано 26 января, 2006 Приветствую, уважаемые Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает. Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы. Угрозы видим такие: 1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне. 2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне. 3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет. 4. Системный администратор скопировал диск с БД и вынес. Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе. На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же. Что делать по остальным угрозам пока не придумали. Буду благодарен за любые советы. 6820[/snapback] 1. перлюстрация почты, включая анализ get\post (дабы web-mail засекать) 1.1. закрыть нахрен все внешние протоколы (фтп и прочее) 1.2. открытие протоколов, отличных от smtp, http - с санкции СБ-админа 2. логи доступа к БД 3. какой-либо spyware, отслеживающий активность usb и пишущий логи на сервер безопасности. кстати, логи тоже писать надо на сервер СБ. 4. админов надо разносить. Есть админ, а есть админ СБ. Второй, в частности, следит и за первым. Но не имеет доступа к данным. Самое хреновое - п.3. И не потому что нет. Есть. Потому что админ имеет возможность контролировать работу spyware. Впрочем, если писать самим - то например непоступление квитанции от спая на сервер безопасности в положенное время (типа - "я тикаю") - основание подойти вместе с СБшником к машине. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Krendel Опубликовано 27 января, 2006 Поделиться Опубликовано 27 января, 2006 1. Добавить железо контроля доступа всех ПЭВМ. Когда у каждого кренделя будет по токену -> зарегламентировать порядок доступа к ПЭВМ. Отдельно сообщить персоналу, что вся деятельность в ЛВС контролируется. Сделать дополнения к должностным и ТД. 2. Размер БД. Если большой, то можно немного затруднить "переслал через Интернет": ограничения на размер отсылаемого по SMTP (заодно сбережете на трафике :)); ограничения на объем внешнего трафика; запрет HTTP на IP популярных почтовиков (их не так много как кажется). 3. частично продолжает п2, но более дорогой: сделайт систему контроля трафика и архив электропочты. Ссылка на комментарий Поделиться на другие сайты More sharing options...
зашедший Опубликовано 27 января, 2006 Автор Поделиться Опубликовано 27 января, 2006 спасибо за ответы 1. перлюстрация почты, включая анализ get\post (дабы web-mail засекать) Вариант контекстного анализа трафика рассматривался (продукты MIMESweeper for Web и MIMESweeper for Smtp). Пришли к выводу, что от кражи надежной защиты не даст, максимум поможет выявить что она состоялась. 1.1. закрыть нахрен все внешние протоколы (фтп и прочее) 1.2. открытие протоколов, отличных от smtp, http - с санкции СБ-админа 2. логи доступа к БД Это сделано. 3. какой-либо spyware, отслеживающий активность usb и пишущий логи на сервер безопасности. Здесь те же недостатки, что и в пункте 1. Хотя если не найдем вариантов лучше, то видимо придется делать так. 4. админов надо разносить. Есть админ, а есть админ СБ. Второй, в частности, следит и за первым. Но не имеет доступа к данным. Это сделано. 1. Добавить железо контроля доступа всех ПЭВМ. Когда у каждого кренделя будет по токену -> зарегламентировать порядок доступа к ПЭВМ. Отдельно сообщить персоналу, что вся деятельность в ЛВС контролируется. Сделать дополнения к должностным и ТД. Это из области защиты от несанкционированного доступа, это у нас есть. Мне интересна именно защита от тех, кто доступ уже получил (на зоконных основаниях). 2. Размер БД. Если большой, то можно немного затруднить "переслал через Интернет": ограничения на размер отсылаемого по SMTP (заодно сбережете на трафике :)); ограничения на объем внешнего трафика; запрет HTTP на IP популярных почтовиков (их не так много как кажется). База большая, но во-первых - кроме админов никто не имеет доступа ко всем данным, во-вторых - утечка фрагментов (которые имеют не большой объем), тоже крайне не желательна. 3. частично продолжает п2, но более дорогой: сделайт систему контроля трафика и архив электропочты. Это похоже на пункт 1, предложенный Sten. Недостаток в том, что не предотвращает, а только протоколирует. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Albert R. Опубликовано 27 января, 2006 Поделиться Опубликовано 27 января, 2006 Для закрытия USB есть софтинка USB Locker. Надо будет помогу. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Krendel Опубликовано 27 января, 2006 Поделиться Опубликовано 27 января, 2006 Если это тот USB Locker, о котором думаю, то он выгружается юзверем через диспетчер задач :-( Ссылка на комментарий Поделиться на другие сайты More sharing options...
Albert R. Опубликовано 27 января, 2006 Поделиться Опубликовано 27 января, 2006 Врать не буду не пробовал. Проше залить сургучём USB вход машине 8-) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Toparenko Опубликовано 27 января, 2006 Поделиться Опубликовано 27 января, 2006 Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает. Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы. Угрозы видим такие: 1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне. 2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне. 3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет. 4. Системный администратор скопировал диск с БД и вынес. Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе. На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же. 6820[/snapback] СЗИ: "ПАНЦИРЬ" или "Dallas Lock 7.0" Контент-анализ: "InfoWatch" для Windows или "Дозор-Джет" под UNIX Возможно прийдется переводить БД на "ЛИНТЕР" По персоналу: Подразделение компьютерной безопасности в СБ (минимум: администратор безопасности - $1000-1500/мес, администратор безопасности БД - $1000-1500/мес) Введение режимов защиты коммерческой тайны (см. Закон "О коммерческой тайне") и защиты информации, разработка политики обеспечения лояльности/мотивации персонала Проблема 4 этим способом решена не будет: - у Вас уже есть удаленный доступ администратора к управлению сервером БД (иначе в Вашем режиме администратор [БД] просто не сможет работать) - есть всегда возможность скачать БД на любой компьютер и (под видом вышедшего из строя) изъять жесткий диск или скопировать на внешний носитель уже с этого (или через этот) компьютера. Кроме того есть возможность перекачки БД по p2p-протоколу. Да и на сколько сотрудник СБ разбирается в действиях администратора в серверной? Угрозы перечисленны далеко не все: - пользователь задал отчет с критичными данными, вывел на твердую копию (бумагу) и унес - пользователь унес копии/черновики документов - пользователь переписал/запомнил данные и ушел к конкурентам - пользователь изменил данные на ложные (в том числе перед уходом) - пользователь уничтожил данные - в результате технического сбоя данные частично или полностью уничтожены - в результате вирусной активности данные уничтожены/модифицированы или "ушли" - Вас ограбили и вынесли/уничтожили оргтехнику - к Вам пришли "маски-шоу" и изъяли все (или не все, но критичные) компьютеры - Вам (или критичному сотруднику) подарили сотовый телефон и "сняли" все Ваши разговоры (не только ведущиеся по телефону) - у секретоносителя/администратора/начальника или ключевого сотрудника СБ взяли в заложники жену/ребенка - и т.д. и т.п. Ссылка на комментарий Поделиться на другие сайты More sharing options...
зашедший Опубликовано 27 января, 2006 Автор Поделиться Опубликовано 27 января, 2006 Врать не буду не пробовал. Проше залить сургучём USB вход машине 8-) Сургучем нельзя. Для несекретной информации usb-диски должны быть доступны на запись и желательно всегда доступны на чтение. СЗИ: "ПАНЦИРЬ" или "Dallas Lock 7.0" Вот это очень похоже на то что нам требуется. Будем пробовать. И стало понятно, какого типа продукты нам искать. Большое спасибо за информацию. Проблема 4 этим способом решена не будет: - у Вас уже есть удаленный доступ администратора к управлению сервером БД (иначе в Вашем режиме администратор [БД] просто не сможет работать) - есть всегда возможность скачать БД на любой компьютер и (под видом вышедшего из строя) изъять жесткий диск или скопировать на внешний носитель уже с этого (или через этот) компьютера. Кроме того есть возможность перекачки БД по p2p-протоколу. Да и на сколько сотрудник СБ разбирается в действиях администратора в серверной? Что касается скачать по сети на другой ПК, то это мой пункт 1. Все ПК включая ПК администраторов опечатаны. Снятие/установка железа не возможны без сотрудника СБ. Кроме того эти действия производятся под запись и роспись. Сотрудник СБ имеет достаточную квалификацию, чтобы понять что из сервера вынули жесткий диск, подключили внешний диск и т.п. Все данные бекапятся и зеркалируются, в случае поломки жесткого диска он не ремонтируется, если это нельзя сделать своими силами, а уничтожается и заменяется. Угрозы перечисленны далеко не все: - пользователь задал отчет с критичными данными, вывел на твердую копию (бумагу) и унес - пользователь унес копии/черновики документов Согласен - пользователь переписал/запомнил данные и ушел к конкурентам Это мой пункт 2. Если только под запомнил, Вы не имеете в виду голову сотрудника. - пользователь изменил данные на ложные (в том числе перед уходом) - пользователь уничтожил данные - в результате технического сбоя данные частично или полностью уничтожены - в результате вирусной активности данные уничтожены/модифицированы или "ушли" Частично эту проблему решает бекап, частично то, что перед увольнением пользователя отключают от самостоятельного доступа к критичным данным. Насчет "ушли" - это мой пункт 2. - Вас ограбили и вынесли/уничтожили оргтехнику Крайне малая вероятность. Физическая защита реализована на достаточно высоком уровне, позволяющем продержаться до прибытия ВОХР. - к Вам пришли "маски-шоу" и изъяли все (или не все, но критичные) компьютеры Я не готов подробно обсуждать способы противодействия в подобных ситуациях публично. В этом случае все сотрудники должны встать лицом к стене, ноги шире плеч, руки на стену и выполнять команды "шоуменов" :) - Вам (или критичному сотруднику) подарили сотовый телефон и "сняли" все Ваши разговоры (не только ведущиеся по телефону) - у секретоносителя/администратора/начальника или ключевого сотрудника СБ взяли в заложники жену/ребенка Стараемся профилактировать. - и т.д. и т.п. Понятно, что вариантов атаки можно придумать великое множество и абсолютной защиты нет. Наша задача - максимально увеличить стоимость атаки, в рамках выделенного бюджета и полномочий. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Toparenko Опубликовано 27 января, 2006 Поделиться Опубликовано 27 января, 2006 Что касается скачать по сети на другой ПК, то это мой пункт 1. Все ПК включая ПК администраторов опечатаны. Снятие/установка железа не возможны без сотрудника СБ. Кроме того эти действия производятся под запись и роспись. Сотрудник СБ имеет достаточную квалификацию, чтобы понять что из сервера вынули жесткий диск, подключили внешний диск и т.п. Имелось ввиду не действия с железом сервера, а логические команды. Здесь поможет только контроль действий администатора сети со стороны администратора безопасности сети. Я бы все-таки рекомендовал создать подразделение ИБ в СБ, в которое входили бы и работники обеспечивающие компьютерную безопасность Все данные бекапятся и зеркалируются, в случае поломки жесткого диска он не ремонтируется, если это нельзя сделать своими силами, а уничтожается и заменяется. Сразу следующие угрозы: - "уход" резервной копии (как в электронном виде, так и ленты стриммера) Пользователи имеют право самостоятельной установки ПО? Если только под запомнил, Вы не имеете в виду голову сотрудника. Ее самую... Ситуация - уход секретоносителя (как физического лица/работника) со своими записями (записные книжки/ежедневники/рабочие записи). Частично эту проблему решает бекап, частично то, что перед увольнением пользователя отключают от самостоятельного доступа к критичным данным. А запрограммированные действия? Отключены ли средства разработки ПО (в том числе и средства создания макросов) на компьютерах? Физическая защита реализована на достаточно высоком уровне... ООО "КСУ" или ЗАО "АННА" Понятно, что вариантов атаки можно придумать великое множество и абсолютной защиты нет. Наша задача - максимально увеличить стоимость атаки, в рамках выделенного бюджета и полномочий. 6849[/snapback] Не пробовали (если все-таки не заводить собственную службу ИБ) хотя бы обратиться к организациям оказывающим услуги интеграции в области ЗИ? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.