защита информации от кражи персоналом

[зашедший]

Приветствую, уважаемые

Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает.

Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы.

Угрозы видим такие:

1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне.

2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне.

3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет.

4. Системный администратор скопировал диск с БД и вынес.

 

Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе.

 

На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же.

Что делать по остальным угрозам пока не придумали.

 

Буду благодарен за любые советы.

[sten]

Приветствую, уважаемые

Необходимо внедрить ряд мероприятий по защите бизнес-данных от кражи персоналом, к-ый с ними работает.

Если конкретно, то секреты хранятся двумя способами - База Данных доступ к которой осуществляется по сети и рабочие станции на которых хранятся конфиденциальные документы.

Угрозы видим такие:

1. Пользователь получил доступ к БД по сети, сохранил данные на usb-диск (дискеты у нас не используются, флоппи-дисководов нет) или переслал по Интернет во вне.

2. Пользователь сохранил бизнес-данные, находящиеся на его компьютере на usb-диск или переслал по Интернет во вне.

3. Системный администратор подключился к любому компьютеру, скачал данные и вынес их на usb-диске или переслал через Интернет.

4. Системный администратор скопировал диск с БД и вынес.

 

Дополнительные условия - нельзя отключать всем пользователям работающим с секретами Интернет и usb-диски, т.к. и то и то им необходимо по работе.

 

На данный момент более менее решена проблема номер 4. База на сервере, сервер в комнате, вход в которую только администраторам, только для выполнения регламентных работ, только в сопровождении сотрудника СБ и с записью в журнал. Порядок доступа к резервным копиям примерно такой же.

Что делать по остальным угрозам пока не придумали.

 

Буду благодарен за любые советы.

6820[/snapback]

1. перлюстрация почты, включая анализ get\post (дабы web-mail засекать)

1.1. закрыть нахрен все внешние протоколы (фтп и прочее)

1.2. открытие протоколов, отличных от smtp, http - с санкции СБ-админа

2. логи доступа к БД

3. какой-либо spyware, отслеживающий активность usb и пишущий логи на сервер безопасности.

кстати, логи тоже писать надо на сервер СБ.

 

4. админов надо разносить.

Есть админ, а есть админ СБ. Второй, в частности, следит и за первым. Но не имеет доступа к данным.

 

Самое хреновое - п.3. И не потому что нет. Есть. Потому что админ имеет возможность контролировать работу spyware. Впрочем, если писать самим - то например непоступление квитанции от спая на сервер безопасности в положенное время (типа - "я тикаю") - основание подойти вместе с СБшником к машине.

[Krendel]

1. Добавить железо контроля доступа всех ПЭВМ. Когда у каждого кренделя будет по токену -> зарегламентировать порядок доступа к ПЭВМ. Отдельно сообщить персоналу, что вся деятельность в ЛВС контролируется. Сделать дополнения к должностным и ТД.

2. Размер БД. Если большой, то можно немного затруднить "переслал через Интернет": ограничения на размер отсылаемого по SMTP (заодно сбережете на трафике :)); ограничения на объем внешнего трафика; запрет HTTP на IP популярных почтовиков (их не так много как кажется).

3. частично продолжает п2, но более дорогой: сделайт систему контроля трафика и архив электропочты.

[зашедший]

спасибо за ответы

 

1. перлюстрация почты, включая анализ get\post (дабы web-mail засекать)

Вариант контекстного анализа трафика рассматривался (продукты MIMESweeper for Web и MIMESweeper for Smtp). Пришли к выводу, что от кражи надежной защиты не даст, максимум поможет выявить что она состоялась.

 

1.1. закрыть нахрен все внешние протоколы (фтп и прочее)

1.2. открытие протоколов, отличных от smtp, http - с санкции СБ-админа

2. логи доступа к БД

Это сделано.

 

3. какой-либо spyware, отслеживающий активность usb и пишущий логи на сервер безопасности.

Здесь те же недостатки, что и в пункте 1. Хотя если не найдем вариантов лучше, то видимо придется делать так.

 

4. админов надо разносить.

Есть админ, а есть админ СБ. Второй, в частности, следит и за первым. Но не имеет доступа к данным.

Это сделано.

 

 

 

1. Добавить железо контроля доступа всех ПЭВМ. Когда у каждого кренделя будет по токену -> зарегламентировать порядок доступа к ПЭВМ. Отдельно сообщить персоналу, что вся деятельность в ЛВС контролируется. Сделать дополнения к должностным и ТД.

Это из области защиты от несанкционированного доступа, это у нас есть. Мне интересна именно защита от тех, кто доступ уже получил (на зоконных основаниях).

 

2. Размер БД. Если большой, то можно немного затруднить "переслал через Интернет": ограничения на размер отсылаемого по SMTP (заодно сбережете на трафике :)); ограничения на объем внешнего трафика; запрет HTTP на IP популярных почтовиков (их не так много как кажется).

База большая, но во-первых - кроме админов никто не имеет доступа ко всем данным, во-вторых - утечка фрагментов (которые имеют не большой объем), тоже крайне не желательна.

 

3. частично продолжает п2, но более дорогой: сделайт систему контроля трафика и архив электропочты.

Это похоже на пункт 1, предложенный Sten. Недостаток в том, что не предотвращает, а только протоколирует.

 

[Albert R.]

Для закрытия USB есть софтинка USB Locker.

Надо будет помогу.