информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медСтрашный баг в WindowsСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
 Tailscale окончательно забанила... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
я ставил еще контроль за печатью документов. Программулина... 07.06.08 16:09  Число просмотров: 3093
Автор: DamNet <Denis Amelin> Статус: Elderman
Отредактировано 07.06.08 16:11  Количество правок: 2
<"чистая" ссылка>
> Случилось так, что из нашей фирмы утекла конфедициальная
> информация. Я получил указание увеличить безопасность такой
> информации.
>
> Первое что пришло в голову:
> 1. Сохранять весь почтовый трафик т.е. отправленые и
> принятые электронные письма;
> 2. Запретить все устройства CD, FDD, Flash;
> 3. Котролировать что отправляеться на печать принтеру.
>
> Подскажите что еще можно зделать? И по возможности как
> зделать (включая уже существующие пункты).
>
> зы: Думаю надо создать максимально пароноидальный список, а
> потом каждый сможет для себя выбрать оптимальное решение.

я ставил еще контроль за печатью документов. Программулина которая ставится на принт-сервер и копирует кто когда и что распечатал (включая сам файл).

Принятые письма логгировать не обязательно, толку мало+нет смысла сохранять письма без вложений..

[Upd] толку от этого всего будет 0, если никто это просматривать не будет, для этого должна быть служба СБ

+еще запретить внешние e-mail почтовые ящики и всякие фалохранилища типа рапидшары и айфолдера, запретить FTP
<sysadmin>
Контроль информации 07.06.08 11:57   [Den]
Автор: Solder Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Случилось так, что из нашей фирмы утекла конфедициальная информация. Я получил указание увеличить безопасность такой информации.

Первое что пришло в голову:
1. Сохранять весь почтовый трафик т.е. отправленые и принятые электронные письма;
2. Запретить все устройства CD, FDD, Flash;
3. Котролировать что отправляеться на печать принтеру.

Подскажите что еще можно зделать? И по возможности как зделать (включая уже существующие пункты).

зы: Думаю надо создать максимально пароноидальный список, а потом каждый сможет для себя выбрать оптимальное решение.
А с чего вы взяли что эта инфа именно конфенденциальная? :) Есть документ описывающий список и порядок работы с такой информацией? Сотрудники ознакомлены? 11.06.08 10:45  
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 11.06.08 10:48  Количество правок: 1
<"чистая" ссылка>
Отвечу всем также ... )

> Случилось так, что из нашей фирмы утекла конфедициальная
> информация. Я получил указание увеличить безопасность такой
> информации.
Когда опишите список сотрудников и их рабочих мест, сможете понять как наложить ограничения по возможности по доступу к информации.
Технические средства - это только инструмент. И без регламента доступа к информации он малоэффективен.
Необходимо ограничивать доступ к информации, а не бороться с ее утечкой от несанкционированных пользователей.
А если у вас операторы (сотрудники), которые имеют доступ к конфенденциальной информации неадекватны - тут, извините, клиника... :) И это не вопрос ИТ отдела.


> Первое что пришло в голову:
> 1. Сохранять весь почтовый трафик т.е. отправленые и
> принятые электронные письма;
> 2. Запретить все устройства CD, FDD, Flash;
> 3. Котролировать что отправляеться на печать принтеру.

п. 1, 3 - так вы сможете только регистрировать факт. Причем еще прийдется опять же разработать регламент мониторинга логов печати, электронной почты. Готовы практически в реалтайме это делать? какова оценка "трафика" печати, почты. Также необходимо предусмотреть защиту от ДОС атак (и реакции на них) на эту систему, например преднамеренным спамом или беспорядочной печати.

> Подскажите что еще можно зделать? И по возможности как
> зделать (включая уже существующие пункты).
>
> зы: Думаю надо создать максимально пароноидальный список, а
> потом каждый сможет для себя выбрать оптимальное решение.
Списко должен быть не пароноидальный, а целесообразный. Как и вся ИТ инфраструктура. (IT Doesnt Matter! ). Нет смысла, когда инструмент дороже самой хранимой и обрабатываем инфы :)
+1 11.06.08 18:08  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Спасибо всем кто просвятил меня по этому вопросу. Именно... 18.06.08 15:54  
Автор: Solder Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Спасибо всем кто просвятил меня по этому вопросу. Именно таких теоретических знаний и не хватало. А как технически реализовать - это уже другой вопрос.
(для справки) Правовые документы по технической защите информации 19.06.08 11:34  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>


(для справки) Правовые документы по технической защите информации
Мне кажется, этот тред ближе к Theory 09.06.08 18:15  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
я ставил еще контроль за печатью документов. Программулина... 07.06.08 16:09  
Автор: DamNet <Denis Amelin> Статус: Elderman
Отредактировано 07.06.08 16:11  Количество правок: 2
<"чистая" ссылка>
> Случилось так, что из нашей фирмы утекла конфедициальная
> информация. Я получил указание увеличить безопасность такой
> информации.
>
> Первое что пришло в голову:
> 1. Сохранять весь почтовый трафик т.е. отправленые и
> принятые электронные письма;
> 2. Запретить все устройства CD, FDD, Flash;
> 3. Котролировать что отправляеться на печать принтеру.
>
> Подскажите что еще можно зделать? И по возможности как
> зделать (включая уже существующие пункты).
>
> зы: Думаю надо создать максимально пароноидальный список, а
> потом каждый сможет для себя выбрать оптимальное решение.

я ставил еще контроль за печатью документов. Программулина которая ставится на принт-сервер и копирует кто когда и что распечатал (включая сам файл).

Принятые письма логгировать не обязательно, толку мало+нет смысла сохранять письма без вложений..

[Upd] толку от этого всего будет 0, если никто это просматривать не будет, для этого должна быть служба СБ

+еще запретить внешние e-mail почтовые ящики и всякие фалохранилища типа рапидшары и айфолдера, запретить FTP
а если у каждого свой принтер, то как можно котролировать?... 08.06.08 07:51  
Автор: Solder Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> я ставил еще контроль за печатью документов. Программулина
> которая ставится на принт-сервер и копирует кто когда и что
> распечатал (включая сам файл).

а если у каждого свой принтер, то как можно котролировать? есть какие нибуть программы для этого?
Таже прога только +небольшой геморрой по сбору логов от нее... 08.06.08 23:00  
Автор: DamNet <Denis Amelin> Статус: Elderman
<"чистая" ссылка>
можно также добавить контроль и запись действий пользователя ;) НО! это кроме технической проблемы имеет ещё и юридическую сторону - с сотрудниками нужно будет заключить соответствующие договора - что мло они не против ;) 07.06.08 14:56  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
Защищать информацию техническими средствами от хищения ее инсайдерами бесполезно! 07.06.08 14:41  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 07.06.08 14:52  Количество правок: 12
<"чистая" ссылка>
> Случилось так, что из нашей фирмы утекла конфедициальная
> информация. Я получил указание увеличить безопасность такой
> информации.

Защищать информацию техническими средствами от хищения ее инсайдерами бесполезно!
Что можно? Можно затруднить эту задачу. Тогда успех хищения будет зависеть от соотношения опыта и усилий специалиста защищающего инфу и злоумышленника.
Например, если в компе имеется в наличии дисковод и пронос дискет из офиса не контролируется, то задача похитителя упрощается. Уберем дисководы и CDRW. Остается сеть. Перекроем сеть наружу совсем (отключим интернет всем совсем включая электронную почту). Это сделает невозможным в принципе хищение информации по проводам, но и создает дополнительные трудности не только хищению и работе. Умный похититель может воспользоваться бумажными носителями - распечатать и вынести распечатку. Вынос бумаги очень сложно контролировать. Начнем контролировать вынос бумаги и сам процесс распечатывания. Что-нибудь да не учтем. Например флешки. Их вынос контролировать еще сложнее, поскольку флешки есть в любом мобильнике. Выдерем все УСБ порты - а необходимые устройства куда втыкать (мышки, принтера). А ведь есть усройства-накопители, которые подключаются к LPT или COM портам. Уберем и их. Забыли про отвертки. Надо закрыть корпус на замок и опечатать. А что делать с локалкой? Пришел злоумышленник с наладонником, сначала скачал из сети на свой винт, отцепил комп от сети и подключил к переносному компактному ПК и закачал все на него. Хорошо, запретили все! А фотографирование экрана на камеру мобильника? Запретить проносить даже мобильники? В конце концов можно записывать на бумажку. Ах да, вынос бумаги под контролем, даже бумажные билеты проезда в общественном транспорте и салфетки. Хорошо, записал прям на руке. Осматривать всех при выходе, заставляя раздеваться до гола? Хорошо, унес инфу в своей голове. Сотрудник в силу своих должностных обязанностей работает с определенной информацией и много чего у него находится в мозгах. Поставить стиралку выборочной информации в мозгах при выходе. Может всего что нужно и запомнить - можно надиктовать на диктофон мобильника или по мобильнику прямо заинтересованному лицу.

> Первое что пришло в голову:
> 1. Сохранять весь почтовый трафик т.е. отправленые и
> принятые электронные письма;
> 2. Запретить все устройства CD, FDD, Flash;
> 3. Котролировать что отправляеться на печать принтеру.
>
> Подскажите что еще можно зделать? И по возможности как
> зделать (включая уже существующие пункты).
>
> зы: Думаю надо создать максимально пароноидальный список, а
> потом каждый сможет для себя выбрать оптимальное решение.

Довольно большой список выше. Вывод простой - защититься от чужих можно и просто, а от своих никак. Лучший метод, это сделать так, чтоб у сотрудников и в мыслях такое не возникло. Подход такой - выгода от хищения инфы должна быть меньше, чем потери похитителя. Украл на копейку - потерял хорошооплачиваемую работу. Украл на много - судебное преследование неизбежно. Вот тогда никто и ничего не похитит.
---------------------------------------------------------------------------------------------------------------------
Можно копировать, распечатывать и показывать руководству даже не упомяная автора.
Для начала необходимо ограничить круг лиц, имеющих доступ к... 09.06.08 18:12  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Для начала необходимо ограничить круг лиц, имеющих доступ к информации, относящейся к коммерческой тайне, ноу-хау и т.п. Также будет не лишним предупредить в письменной форме - под роспись всех работников об уголовном преследовании в рамках действующего законодательства за хищение подобной информации.

Инсайдер должен получать доступ только к той информации, которая необходима для выполнения его должностных обязанностей. Следовательно, ни о каком едином общем сетевом ресурсе для всех пользователей не может быть и речи.

http://www.antivir.ru/download.files/LocalSyncWP_ru.pdf

> Что-нибудь да не учтем. Например флешки.
> Их вынос контролировать еще сложнее, поскольку
> флешки есть в любом мобильнике. Выдерем все УСБ порты - а
> необходимые устройства куда втыкать (мышки, принтера). А
> ведь есть усройства-накопители, которые подключаются к LPT
> или COM портам. Уберем и их. Забыли про отвертки. Надо
> закрыть корпус на замок и опечатать. А что делать с
> локалкой? Пришел злоумышленник с наладонником, сначала
> скачал из сети на свой винт, отцепил комп от сети и
> подключил к переносному компактному ПК и закачал все на
> него.

http://www.antivir.ru/main.phtml?/download/devicelock

Также необходимо отключить загрузку рабочих станций с любых носителей, кроме встроенного ЖД. Еще лучше - производить загрузку ОС через сетевую карту, но для этого необходимо иметь высокую пропускную способность сети и достаточную производительность сервера/серверов, с которых будет происходить загрузка.

Для аутентификации пользователя в системе желательно использовать смарт-карты, при извлечении которых будет происходить блокировка рабочей станции.

Если работник имеет доступ к важной информации со своего рабочего места и в своей работе ему необходимы ресурсы сети Интернет, то возможно получиться ограничить доступ работника к любым ресурсам, кроме необходимых ему в работе (по письменному запросу от работника со списком ресурсов и визой службы безопасности). Это также позволит снизить инет трафик.
Спасибо за довольно полный ответ. 08.06.08 07:55  
Автор: Solder Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Случилось так, что из нашей фирмы утекла
> конфедициальная
> > информация. Я получил указание увеличить безопасность
> такой
> > информации.
>
> Защищать информацию техническими средствами от хищения ее
> инсайдерами бесполезно!
> Что можно? Можно затруднить эту задачу. Тогда успех хищения
> будет зависеть от соотношения опыта и усилий специалиста
> защищающего инфу и злоумышленника.
> Например, если в компе имеется в наличии дисковод и пронос
> дискет из офиса не контролируется, то задача похитителя
> упрощается. Уберем дисководы и CDRW. Остается сеть.
> Перекроем сеть наружу совсем (отключим интернет всем совсем
> включая электронную почту). Это сделает невозможным в
> принципе хищение информации по проводам, но и создает
> дополнительные трудности не только хищению и работе. Умный
> похититель может воспользоваться бумажными носителями -
> распечатать и вынести распечатку. Вынос бумаги очень сложно
> контролировать. Начнем контролировать вынос бумаги и сам
> процесс распечатывания. Что-нибудь да не учтем. Например
> флешки. Их вынос контролировать еще сложнее, поскольку
> флешки есть в любом мобильнике. Выдерем все УСБ порты - а
> необходимые устройства куда втыкать (мышки, принтера). А
> ведь есть усройства-накопители, которые подключаются к LPT
> или COM портам. Уберем и их. Забыли про отвертки. Надо
> закрыть корпус на замок и опечатать. А что делать с
> локалкой? Пришел злоумышленник с наладонником, сначала
> скачал из сети на свой винт, отцепил комп от сети и
> подключил к переносному компактному ПК и закачал все на
> него. Хорошо, запретили все! А фотографирование экрана на
> камеру мобильника? Запретить проносить даже мобильники? В
> конце концов можно записывать на бумажку. Ах да, вынос
> бумаги под контролем, даже бумажные билеты проезда в
> общественном транспорте и салфетки. Хорошо, записал прям на
> руке. Осматривать всех при выходе, заставляя раздеваться до
> гола? Хорошо, унес инфу в своей голове. Сотрудник в силу
> своих должностных обязанностей работает с определенной
> информацией и много чего у него находится в мозгах.
> Поставить стиралку выборочной информации в мозгах при
> выходе. Может всего что нужно и запомнить - можно
> надиктовать на диктофон мобильника или по мобильнику прямо
> заинтересованному лицу.

Спасибо за довольно полный ответ.

Мне бы не защищать информацию, а котролировать движение информации т.е. украсть можно, но можно и вычислить укравшего.
Во первых, некоторые возможные варианты утечки инфы я... 09.06.08 15:14  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.06.08 15:17  Количество правок: 6
<"чистая" ссылка>
> Мне бы не защищать информацию, а котролировать движение
> информации т.е. украсть можно, но можно и вычислить
> укравшего.

Во первых, некоторые возможные варианты утечки инфы я описал и прорабатывая каждый, можно определиться с методом контролирования движения информации в этой бреши.
Во вторых, исходя из того, что я понаписал, можно представить себе всю масштабность предполагаемой системы контроля. Например, как контролировать утечку через память человека той информации, которую он уносит в своей голове?
В третих, в части вычисления укравшего, лучше довериться соответствующим людям - следователям или частным детективам. Задача намного проще решается "с конца". Они сначала вычислят, кому это было выгодно или кто поимел хорошую сумму денег, а отсюда похититель находится легче, чем с применением средств отслеживания информационных потоков.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach