Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Мне кажется, этот тред ближе к Theory 09.06.08 18:15 Число просмотров: 2864
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
|
<sysadmin>
|
Контроль информации 07.06.08 11:57 [Den]
Автор: Solder Статус: Незарегистрированный пользователь
|
Случилось так, что из нашей фирмы утекла конфедициальная информация. Я получил указание увеличить безопасность такой информации.
Первое что пришло в голову:
1. Сохранять весь почтовый трафик т.е. отправленые и принятые электронные письма;
2. Запретить все устройства CD, FDD, Flash;
3. Котролировать что отправляеться на печать принтеру.
Подскажите что еще можно зделать? И по возможности как зделать (включая уже существующие пункты).
зы: Думаю надо создать максимально пароноидальный список, а потом каждый сможет для себя выбрать оптимальное решение.
|
|
А с чего вы взяли что эта инфа именно конфенденциальная? :) Есть документ описывающий список и порядок работы с такой информацией? Сотрудники ознакомлены? 11.06.08 10:45
Автор: Garick <Yuriy> Статус: Elderman
Отредактировано 11.06.08 10:48 Количество правок: 1
|
Отвечу всем также ... )
> Случилось так, что из нашей фирмы утекла конфедициальная
> информация. Я получил указание увеличить безопасность такой
> информации.
Когда опишите список сотрудников и их рабочих мест, сможете понять как наложить ограничения по возможности по доступу к информации.
Технические средства - это только инструмент. И без регламента доступа к информации он малоэффективен.
Необходимо ограничивать доступ к информации, а не бороться с ее утечкой от несанкционированных пользователей.
А если у вас операторы (сотрудники), которые имеют доступ к конфенденциальной информации неадекватны - тут, извините, клиника... :) И это не вопрос ИТ отдела.
> Первое что пришло в голову:
> 1. Сохранять весь почтовый трафик т.е. отправленые и
> принятые электронные письма;
> 2. Запретить все устройства CD, FDD, Flash;
> 3. Котролировать что отправляеться на печать принтеру.
п. 1, 3 - так вы сможете только регистрировать факт. Причем еще прийдется опять же разработать регламент мониторинга логов печати, электронной почты. Готовы практически в реалтайме это делать? какова оценка "трафика" печати, почты. Также необходимо предусмотреть защиту от ДОС атак (и реакции на них) на эту систему, например преднамеренным спамом или беспорядочной печати.
> Подскажите что еще можно зделать? И по возможности как
> зделать (включая уже существующие пункты).
>
> зы: Думаю надо создать максимально пароноидальный список, а
> потом каждый сможет для себя выбрать оптимальное решение.
Списко должен быть не пароноидальный, а целесообразный. Как и вся ИТ инфраструктура. (IT Doesnt Matter! ). Нет смысла, когда инструмент дороже самой хранимой и обрабатываем инфы :)
|
| |
+1 11.06.08 18:08
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
| | |
Спасибо всем кто просвятил меня по этому вопросу. Именно... 18.06.08 15:54
Автор: Solder Статус: Незарегистрированный пользователь
|
|
Спасибо всем кто просвятил меня по этому вопросу. Именно таких теоретических знаний и не хватало. А как технически реализовать - это уже другой вопрос.
|
|
Мне кажется, этот тред ближе к Theory 09.06.08 18:15
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
|
я ставил еще контроль за печатью документов. Программулина... 07.06.08 16:09
Автор: DamNet <Denis Amelin> Статус: Elderman
Отредактировано 07.06.08 16:11 Количество правок: 2
|
> Случилось так, что из нашей фирмы утекла конфедициальная
> информация. Я получил указание увеличить безопасность такой
> информации.
>
> Первое что пришло в голову:
> 1. Сохранять весь почтовый трафик т.е. отправленые и
> принятые электронные письма;
> 2. Запретить все устройства CD, FDD, Flash;
> 3. Котролировать что отправляеться на печать принтеру.
>
> Подскажите что еще можно зделать? И по возможности как
> зделать (включая уже существующие пункты).
>
> зы: Думаю надо создать максимально пароноидальный список, а
> потом каждый сможет для себя выбрать оптимальное решение.
я ставил еще контроль за печатью документов. Программулина которая ставится на принт-сервер и копирует кто когда и что распечатал (включая сам файл).
Принятые письма логгировать не обязательно, толку мало+нет смысла сохранять письма без вложений..
[Upd] толку от этого всего будет 0, если никто это просматривать не будет, для этого должна быть служба СБ
+еще запретить внешние e-mail почтовые ящики и всякие фалохранилища типа рапидшары и айфолдера, запретить FTP
|
| |
а если у каждого свой принтер, то как можно котролировать?... 08.06.08 07:51
Автор: Solder Статус: Незарегистрированный пользователь
|
> я ставил еще контроль за печатью документов. Программулина
> которая ставится на принт-сервер и копирует кто когда и что
> распечатал (включая сам файл).
а если у каждого свой принтер, то как можно котролировать? есть какие нибуть программы для этого?
|
| | |
Таже прога только +небольшой геморрой по сбору логов от нее... 08.06.08 23:00
Автор: DamNet <Denis Amelin> Статус: Elderman
|
|
|
|
можно также добавить контроль и запись действий пользователя ;) НО! это кроме технической проблемы имеет ещё и юридическую сторону - с сотрудниками нужно будет заключить соответствующие договора - что мло они не против ;) 07.06.08 14:56
Автор: noonv <Vladimir> Статус: Member
|
|
|
|
Защищать информацию техническими средствами от хищения ее инсайдерами бесполезно! 07.06.08 14:41
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 07.06.08 14:52 Количество правок: 12
|
> Случилось так, что из нашей фирмы утекла конфедициальная
> информация. Я получил указание увеличить безопасность такой
> информации.
Защищать информацию техническими средствами от хищения ее инсайдерами бесполезно!
Что можно? Можно затруднить эту задачу. Тогда успех хищения будет зависеть от соотношения опыта и усилий специалиста защищающего инфу и злоумышленника.
Например, если в компе имеется в наличии дисковод и пронос дискет из офиса не контролируется, то задача похитителя упрощается. Уберем дисководы и CDRW. Остается сеть. Перекроем сеть наружу совсем (отключим интернет всем совсем включая электронную почту). Это сделает невозможным в принципе хищение информации по проводам, но и создает дополнительные трудности не только хищению и работе. Умный похититель может воспользоваться бумажными носителями - распечатать и вынести распечатку. Вынос бумаги очень сложно контролировать. Начнем контролировать вынос бумаги и сам процесс распечатывания. Что-нибудь да не учтем. Например флешки. Их вынос контролировать еще сложнее, поскольку флешки есть в любом мобильнике. Выдерем все УСБ порты - а необходимые устройства куда втыкать (мышки, принтера). А ведь есть усройства-накопители, которые подключаются к LPT или COM портам. Уберем и их. Забыли про отвертки. Надо закрыть корпус на замок и опечатать. А что делать с локалкой? Пришел злоумышленник с наладонником, сначала скачал из сети на свой винт, отцепил комп от сети и подключил к переносному компактному ПК и закачал все на него. Хорошо, запретили все! А фотографирование экрана на камеру мобильника? Запретить проносить даже мобильники? В конце концов можно записывать на бумажку. Ах да, вынос бумаги под контролем, даже бумажные билеты проезда в общественном транспорте и салфетки. Хорошо, записал прям на руке. Осматривать всех при выходе, заставляя раздеваться до гола? Хорошо, унес инфу в своей голове. Сотрудник в силу своих должностных обязанностей работает с определенной информацией и много чего у него находится в мозгах. Поставить стиралку выборочной информации в мозгах при выходе. Может всего что нужно и запомнить - можно надиктовать на диктофон мобильника или по мобильнику прямо заинтересованному лицу.
> Первое что пришло в голову:
> 1. Сохранять весь почтовый трафик т.е. отправленые и
> принятые электронные письма;
> 2. Запретить все устройства CD, FDD, Flash;
> 3. Котролировать что отправляеться на печать принтеру.
>
> Подскажите что еще можно зделать? И по возможности как
> зделать (включая уже существующие пункты).
>
> зы: Думаю надо создать максимально пароноидальный список, а
> потом каждый сможет для себя выбрать оптимальное решение.
Довольно большой список выше. Вывод простой - защититься от чужих можно и просто, а от своих никак. Лучший метод, это сделать так, чтоб у сотрудников и в мыслях такое не возникло. Подход такой - выгода от хищения инфы должна быть меньше, чем потери похитителя. Украл на копейку - потерял хорошооплачиваемую работу. Украл на много - судебное преследование неизбежно. Вот тогда никто и ничего не похитит.
---------------------------------------------------------------------------------------------------------------------
Можно копировать, распечатывать и показывать руководству даже не упомяная автора.
|
| |
Для начала необходимо ограничить круг лиц, имеющих доступ к... 09.06.08 18:12
Автор: Den <Денис Т.> Статус: The Elderman
|
Для начала необходимо ограничить круг лиц, имеющих доступ к информации, относящейся к коммерческой тайне, ноу-хау и т.п. Также будет не лишним предупредить в письменной форме - под роспись всех работников об уголовном преследовании в рамках действующего законодательства за хищение подобной информации.
Инсайдер должен получать доступ только к той информации, которая необходима для выполнения его должностных обязанностей. Следовательно, ни о каком едином общем сетевом ресурсе для всех пользователей не может быть и речи.
http://www.antivir.ru/download.files/LocalSyncWP_ru.pdf
> Что-нибудь да не учтем. Например флешки.
> Их вынос контролировать еще сложнее, поскольку
> флешки есть в любом мобильнике. Выдерем все УСБ порты - а
> необходимые устройства куда втыкать (мышки, принтера). А
> ведь есть усройства-накопители, которые подключаются к LPT
> или COM портам. Уберем и их. Забыли про отвертки. Надо
> закрыть корпус на замок и опечатать. А что делать с
> локалкой? Пришел злоумышленник с наладонником, сначала
> скачал из сети на свой винт, отцепил комп от сети и
> подключил к переносному компактному ПК и закачал все на
> него.
http://www.antivir.ru/main.phtml?/download/devicelock
Также необходимо отключить загрузку рабочих станций с любых носителей, кроме встроенного ЖД. Еще лучше - производить загрузку ОС через сетевую карту, но для этого необходимо иметь высокую пропускную способность сети и достаточную производительность сервера/серверов, с которых будет происходить загрузка.
Для аутентификации пользователя в системе желательно использовать смарт-карты, при извлечении которых будет происходить блокировка рабочей станции.
Если работник имеет доступ к важной информации со своего рабочего места и в своей работе ему необходимы ресурсы сети Интернет, то возможно получиться ограничить доступ работника к любым ресурсам, кроме необходимых ему в работе (по письменному запросу от работника со списком ресурсов и визой службы безопасности). Это также позволит снизить инет трафик.
|
| |
Спасибо за довольно полный ответ. 08.06.08 07:55
Автор: Solder Статус: Незарегистрированный пользователь
|
> > Случилось так, что из нашей фирмы утекла
> конфедициальная
> > информация. Я получил указание увеличить безопасность
> такой
> > информации.
>
> Защищать информацию техническими средствами от хищения ее
> инсайдерами бесполезно!
> Что можно? Можно затруднить эту задачу. Тогда успех хищения
> будет зависеть от соотношения опыта и усилий специалиста
> защищающего инфу и злоумышленника.
> Например, если в компе имеется в наличии дисковод и пронос
> дискет из офиса не контролируется, то задача похитителя
> упрощается. Уберем дисководы и CDRW. Остается сеть.
> Перекроем сеть наружу совсем (отключим интернет всем совсем
> включая электронную почту). Это сделает невозможным в
> принципе хищение информации по проводам, но и создает
> дополнительные трудности не только хищению и работе. Умный
> похититель может воспользоваться бумажными носителями -
> распечатать и вынести распечатку. Вынос бумаги очень сложно
> контролировать. Начнем контролировать вынос бумаги и сам
> процесс распечатывания. Что-нибудь да не учтем. Например
> флешки. Их вынос контролировать еще сложнее, поскольку
> флешки есть в любом мобильнике. Выдерем все УСБ порты - а
> необходимые устройства куда втыкать (мышки, принтера). А
> ведь есть усройства-накопители, которые подключаются к LPT
> или COM портам. Уберем и их. Забыли про отвертки. Надо
> закрыть корпус на замок и опечатать. А что делать с
> локалкой? Пришел злоумышленник с наладонником, сначала
> скачал из сети на свой винт, отцепил комп от сети и
> подключил к переносному компактному ПК и закачал все на
> него. Хорошо, запретили все! А фотографирование экрана на
> камеру мобильника? Запретить проносить даже мобильники? В
> конце концов можно записывать на бумажку. Ах да, вынос
> бумаги под контролем, даже бумажные билеты проезда в
> общественном транспорте и салфетки. Хорошо, записал прям на
> руке. Осматривать всех при выходе, заставляя раздеваться до
> гола? Хорошо, унес инфу в своей голове. Сотрудник в силу
> своих должностных обязанностей работает с определенной
> информацией и много чего у него находится в мозгах.
> Поставить стиралку выборочной информации в мозгах при
> выходе. Может всего что нужно и запомнить - можно
> надиктовать на диктофон мобильника или по мобильнику прямо
> заинтересованному лицу.
Спасибо за довольно полный ответ.
Мне бы не защищать информацию, а котролировать движение информации т.е. украсть можно, но можно и вычислить укравшего.
|
| | |
Во первых, некоторые возможные варианты утечки инфы я... 09.06.08 15:14
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.06.08 15:17 Количество правок: 6
|
> Мне бы не защищать информацию, а котролировать движение
> информации т.е. украсть можно, но можно и вычислить
> укравшего.
Во первых, некоторые возможные варианты утечки инфы я описал и прорабатывая каждый, можно определиться с методом контролирования движения информации в этой бреши.
Во вторых, исходя из того, что я понаписал, можно представить себе всю масштабность предполагаемой системы контроля. Например, как контролировать утечку через память человека той информации, которую он уносит в своей голове?
В третих, в части вычисления укравшего, лучше довериться соответствующим людям - следователям или частным детективам. Задача намного проще решается "с конца". Они сначала вычислят, кому это было выгодно или кто поимел хорошую сумму денег, а отсюда похититель находится легче, чем с применением средств отслеживания информационных потоков.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
