18 ноября, воскресенье 23:16
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Система защиты информации от инсайдеров SecrecyKeeper

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Система защиты информации от инсайдеров SecrecyKeeper

    Господа, разрешите представить вам нашу разработку.

    Система защиты информации от инсайдеров SecrecyKeeper позволяет решать следующие задачи:
    - ограничить доступ к конфиденциальной информации сотрудников ИТ-подразделений;
    - разделять информацию хранящуюся как на рабочих станциях сотрудников, так и на серверах по степени секретности;
    - присвоить каждому сотруднику персональный уровень допуска к информации и к основным каналам ее передачи;
    - ограничить несанкционированное распространение информации на основе степени секретности информации и уровней допуска сотрудников;
    - контролировать распространение "грифованной" информации по рабочим станциям сотрудников, гарантируя хранение "грифованной" информации только на серверах;
    - динамически и статически блокировать доступ сотрудников к устройствам переноса и каналам передачи информации дискетам, флеш-дискам, портам
    USB, устройствам подключаемым через Bluetooth и Интернет в зависимости от уровня допуска сотрудника и уровней секретности документов с которыми ведется работа;

    Краткое описание продукта: http://www.splsoft.com/?page=25
    Полнофукциональная демо-версия: http://www.splsoft.com/download/SkSetup.zip

    Если возникнут вопросы по продукту, его возможностям и особенностям применения - готовы ответить.

    С уважением, Игорь Чесноков
    руководитель отдела развития

  • #2
    Пример применения, демонстрирующий основные возможности системы защиты от инсайдеров SecrecyKeeper.

    Основные понятия:
    Гриф - степень секретности документа (локального файла) или сетевого информационного ресурса (iport).
    Уровень допуска сотрудника - максимальная степень секретности данных, к которым сотрудник может получить доступ.
    Уровень допуска сотрудника к сети - максимальная степень секретности данных, которые сотрудник может передавать по сети.
    Уровень допуска сотрудника к съемным носителям - максимальная степень секретности данных, которые сотрудник может копировать на съемные носители.
    Уровень безопасности ПК по доступу - максимальная степень секретности данных, к которому можно получить доступ с данного ПК.
    Уровень безопасности ПК по хранению - максимальная степень секретности данных, которые можно сохранить на данном ПК.

    Задача:
    Есть некая клиент-серверная система работающая с критичными данными - например SAP или 1С. Сотрудник работает с этими данными с помощью клиентской программы установленной на его ПК. Необходимо предотвратить сохранение критичных данных на ПК сотрудника, копирование их на внешние устройства, передачу в Интернет или на другие ПК корпоративной сети.
    Решение:
    Для сервиса (SAP, 1С и т.п.) уровень секретности - "секретно".
    Для того, чтобы сотрудник мог получить со своего ПК доступ к "секретной" информации, устанавливаем для его ПК уровень безопасности доступа - "секретно". Для того, чтобы сотрудник не мог сохранить полученные с секретного сервера данные на своем ПК, устанавливаем для его ПК уровень безопасности хранения - "общедоступно".
    Для того, чтобы сотрудник мог получить доступ к секретным данным, устанавливаем для него уровень допуска пользователя - "секретно".
    Для того, чтобы сотрудник не мог передавать секретные данные на не доверенные ПК, устанавливаем для него уровень допуска пользователя к сети - "общедоступно".
    Для того, чтобы сотрудник не мог сохранить секретные данные на любых съемных носителях (фотоаппараты, диски, телефоны и т.п.), устанавливаем для него уровень допуска пользователя к сменным носителям - "общедоступно".
    После того как сотрудник поключится с помощью клиентской программы к серверу, агент SecrecyKeeper отметит, что клиентская программа получила доступ к "грифованному" ресурсу. После этого для процесса соответствующего клиентской программе будут блокироваться попытки сохранить данные на локальный диск, передать данные по сети на недоверенные ПК, сохранить данные на съемных носителях. При этом на те процессы, которые доступа к секретным данным не получали ни каких ограничений накладываться не будет.
    Таким образом сотрудник сможет работать с секретной информацией, но не сможет ее не санкционированно распространять (и соответственно украсть).

    Комментарий


    • #3
      Велосипед изобрели? Обычная мандатка, которую реализуют все, начиная от Панциря и заканчивая SecretNet'ом. В чем ваше преимущество и отличие? Есть сертификат ФСТЭК?

      Комментарий


      • #4
        Сообщение от Алексей Лукацкий Посмотреть сообщение
        Велосипед изобрели? Обычная мандатка, которую реализуют все, начиная от Панциря и заканчивая SecretNet'ом. В чем ваше преимущество и отличие? Есть сертификат ФСТЭК?
        Совершенно верно - обычная мандатка.
        Отличия SecrecyKeeper от SecretNet.
        SecrecyKeeper позволяет ставить грифы на сетевые ресурсы.
        SecrecyKeeper позволяет отслеживать доступ к грифованным данным как относительно пользовательской сессии, так и относительно процесса.
        SecrecyKeeper не дублирует функционал ОС и за счет этого проще в настройке и сопровождении.
        SecrecyKeeper разрабатывался в расчете на использование в коммерческих организациях, где одно из основных требований к системе защиты - прозрачность для пользователя.
        SecrecyKeeper в разы дешевле.

        Я не писал, что мы изобрели нечто новое. Мы сделали свою реализацию. А потребитель пусть выбирает, какой продукт больше соответствует его требованиям и условиям применения. Антивирусы например или файрволы тоже не в единичном экземпляре присутствуют.

        Комментарий


        • #5
          Не охота писать в отдел продаж, но всё-таки: Сколько стоит Ваш продукт?
          Хотя бы рамки?

          Комментарий


          • #6
            Сообщение от surfer Посмотреть сообщение
            Не охота писать в отдел продаж, но всё-таки: Сколько стоит Ваш продукт?
            Хотя бы рамки?
            Кол-во лицензий Стоимость одной лицензии на одно рабочее место (руб)
            1-19.................1100
            20-49................1000
            50-99.................900
            100-199...............750
            200-499...............600
            500-999...............550
            >1000.................По дополнительному соглашению

            Комментарий


            • #7
              Сообщение от splsoft Посмотреть сообщение
              SecrecyKeeper позволяет ставить грифы на сетевые ресурсы.
              На локальные? На любые? Или только виндовые?

              Сообщение от splsoft Посмотреть сообщение
              SecrecyKeeper не дублирует функционал ОС и за счет этого проще в настройке и сопровождении.
              Ну в обычной ОС мандатки вообще нет, а значит нет заморочек с настройкой меток на тысячах файлов. Кто это кстати делает? Пользователь или админ? И может ли рядовой пользователь сам себе понизить уровень допуска?

              Сообщение от splsoft Посмотреть сообщение
              SecrecyKeeper разрабатывался в расчете на использование в коммерческих организациях, где одно из основных требований к системе защиты - прозрачность для пользователя.
              В коммерческих организациях мандатка не нужна ВООБЩЕ! Я еще по предыдущей работе помню, что продать мандатку можно было только в госструктуры, где это требовалось ФСТЭКом. Большинству коммерческих организаций эта параноидальная безопасность была просто не нужна ибо никто никогда не занимался настройкой меток на тысячах файлов на каждом компе

              Сообщение от splsoft Посмотреть сообщение
              SecrecyKeeper позволяет отслеживать доступ к грифованным данным как относительно пользовательской сессии, так и относительно процесса.
              А что вы понимаете под данными, информацией, информационными ресурсами? Я из описания понял, что речь идет только о файлах? А как быть со следующими ситуациями:
              - я скопировал из "секретного" файла фрагмент в письмо e-mail и отправил его по почте.
              - я работаю не с файлами, а с информацией в БД. Как она метится? На уровне записей?

              Комментарий


              • #8
                splsoft, Спасибо за информацию.

                Комментарий


                • #9
                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  На локальные? На любые? Или только виндовые?
                  Не совсем понял вопрос.
                  Гриф можно ставить на локальные файл или папку, на сетевую (расшаренную) папку, на сетевой порт сервера.

                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Ну в обычной ОС мандатки вообще нет, а значит нет заморочек с настройкой меток на тысячах файлов. Кто это кстати делает? Пользователь или админ? И может ли рядовой пользователь сам себе понизить уровень допуска?
                  Зато в обычной ОС есть дискреционка, зачем дублировать ее еще и в СЗИ ?
                  Пользователь может устанавливать гриф (метку в вашей терминологии), в пределах своего уровня допуска. При этом гриф пользователь может только повышать. Т.е. сделать общедоступный документ секретным пользователь может, а секретный общедоступным нет. Понижать гриф и устанавливать гриф на сетевые ресурсы может только администратор SecrecyKeeper. Менять уровень допуска пользователь сам себе не может, это же все равно, что защиту отключить.

                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  В коммерческих организациях мандатка не нужна ВООБЩЕ!
                  Не согласен. Надежно решить задачу защиты от инсайдеров без мандатки нельзя. Сразу приведу пример из нашего опыта:
                  Мы недавно успешно провели испытания SecrecyKeeper в ГК Виктория. Одна из решенных задач:
                  Есть отдел недвижимости, его сотрудники должны иметь доступ к системе SAP (секреты) и одновременно использовать фотоаппараты для залива на свои ПК фотографий объектов. Необходимо закрыть возможность слива на эти фотоаппараты данных из SAP.
                  Решить эту задачу можно только с помощью системы, которая умеет блокировать доступ к каналам передачи в зависимости от уровня допуска сотрудника и степени секретности информации, с которой ведется работа.

                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Я еще по предыдущей работе помню, что продать мандатку можно было только в госструктуры, где это требовалось ФСТЭКом.
                  Это проблема не мандатки как принципа, а конкретных продуктов ее реализующих. Вы продавали SecretNet, спрос на который обеспечивался его необходимостью для прохождения сертификации.

                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Большинству коммерческих организаций эта параноидальная безопасность была просто не нужна ибо никто никогда не занимался настройкой меток на тысячах файлов на каждом компе
                  Я выше привел пример, когда нужна именно мандатка. А вот расставлять метки на тысячах файлов (в случае с SecrecyKeeper'ом пардон за рекламу) как раз не обязательно.
                  Мы рекомендуем делать так: пользователям объявляется, что теперь все их рабочие файлы должны храниться исключительно на серверах в расшаренных папках, на которые и раздаются грифы и настраиваем SecrecyKeeper так, чтобы он запрещал сохранять грифованную информацию на рабочем ПК. Кроме удобства при раздаче грифов это еще облегчает резервное копирование документов (достаточно выполнять его только на сервере, а не на каждом ПК - и проще и надежнее и дешевле). Понятно, что с топами такое может не пройти. Но топы - это вообще отдельная песня.

                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  А что вы понимаете под данными, информацией, информационными ресурсами? Я из описания понял, что речь идет только о файлах?
                  Слова "данные" и "информация" я использовал как синонимы. Информационный ресурс - место, способ хранения и механизм предоставления доступа к данным (информации). Ресурсом может быть локальный файл, сетевая папка, сетевая служба в виде iport (например БД, 1С, SAP, Axapta и т.п.)

                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  - я скопировал из "секретного" файла фрагмент в письмо e-mail и отправил его по почте.
                  Если Ваш уровень допуска к сети ниже чем степень секретности файла, SecrecyKeeper не отправит письмо в сеть (не подключиться к почтовому серверу). Т.к. в этом случае например MS Outlook начинает ругаться, то чтобы не пугать пользователя не понятными сообщениями, можно просто запретить для процесса MS Outlook доступ к информации, уровень секретности которой выше чем уровень допуска пользователя к сети.

                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  - я работаю не с файлами, а с информацией в БД. Как она метится? На уровне записей?
                  Она метится на уровне всего сервера БД. Можно на сетевой интерфейс сервера БД установить несколько ip-адресов и для каждого адреса определить свой гриф. Это костыли, но их можно использовать (есть реальный опыт в той же Виктории), и это лучше чем ничего. Особенно, с учетом того, что в других продуктах и такого нет.

                  Комментарий


                  • #10
                    Понятно. Попрбовал применить все это к нам и понял, что не работает такой подход в крупной, территориально-распределенной компании, в которой офис там, где сотрудник, а не наоборот. Да и в западных компаниях я как-то с потребностью в мандатке не сталкивался. Там это все решается гоаздо прозаичнее и удобнее. Обычная функциональность ОС + антивирус. В ряде случаев добавляется система защиты, которая включает в себя HIPS, DLP, NAC и т.п. А городить отдельную мандатку никто не городит - бизнес важнее.

                    ЗЫ. Слово метка в отличие от гриф является общепринятым ;-) От английского термина Label Security ;-)

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Понятно. Попрбовал применить все это к нам и понял, что не работает такой подход в крупной, территориально-распределенной компании, в которой офис там, где сотрудник, а не наоборот.
                      Алексей, согласитесь, что подобные выводы можно делать только после практических испытаний, на основании конкретных задач, которые решить не получилось. И с учетом количества и важности тех задач, которые были решены. Уверен, что и в Вашей компании далеко не все сотрудники обрабатывающие секреты, работают удаленно - взять хотя бы финансистов и бухгалтеров. И даже если конкретно в Вашей компании применение какого-то продукта не эффективно, это говорит только о Вашей конкретной компании.
                      Виктория, которую я приводил в качестве примера, совсем не маленькая (кол-во ПК в ИС порядка 3000) и вполне распределенная - Питер, Калининград, Москва.
                      Кроме этого, надо учитывать, что далеко не все сотрудники должны получать доступ к секретам и SecrecyKeeper (и реализованная в нем мандатная модель) еще один способ это обеспечить, причем не зависимо от ИТ-персонала.

                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Да и в западных компаниях я как-то с потребностью в мандатке не сталкивался. Там это все решается гоаздо прозаичнее и удобнее. Обычная функциональность ОС + антивирус. В ряде случаев добавляется система защиты, которая включает в себя HIPS, DLP, NAC и т.п. А городить отдельную мандатку никто не городит - бизнес важнее.
                      Какая разница что городить отдельную мандатку или отдельную DLP ?
                      Вопрос в том считает компания нужным защищаться от инсайдеров или нет. И если считает, то на каком уровне, с каким качеством и какая модель инсайдера, а дальше идет выбор подхода, продукта и внедрение.
                      И мешать бизнесу ни кто не собирается. Если кто-то не смог внедрить мандатку так, чтобы она не мешала бизнесу, это не говорит о том, что это не возможно. Просто этот конкретный "кто-то", для какого-то конкретного клиента с использованием конкретного продукта решить задачу не смог.

                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      ЗЫ. Слово метка в отличие от гриф является общепринятым ;-) От английского термина Label Security ;-)
                      Это зависит от того с кем Вы общаетесь. Технарям возможно привычнее слово метка, а СБ-шникам роднее слово гриф

                      Комментарий


                      • #12
                        Сообщение от splsoft Посмотреть сообщение
                        Алексей, согласитесь, что подобные выводы можно делать только после практических испытаний, на основании конкретных задач, которые решить не получилось. И с учетом количества и важности тех задач, которые были решены.
                        Не в моем случае ;-) Мне достаточно понять описание и посмотреть скриншоты, чтобы понять неприменимость. Вот если бы были сомнения, то я бы подумал о тестировании. Но это в моем случае.

                        Сообщение от splsoft Посмотреть сообщение
                        Уверен, что и в Вашей компании далеко не все сотрудники обрабатывающие секреты, работают удаленно - взять хотя бы финансистов и бухгалтеров.
                        Все ;-) У нас вообще стационарных компов нет.

                        Сообщение от splsoft Посмотреть сообщение
                        И даже если конкретно в Вашей компании применение какого-то продукта не эффективно, это говорит только о Вашей конкретной компании.
                        Вот это верно.

                        Сообщение от splsoft Посмотреть сообщение
                        Виктория, которую я приводил в качестве примера, совсем не маленькая (кол-во ПК в ИС порядка 3000) и вполне распределенная - Питер, Калининград, Москва.
                        Ну у нас в 160 странах по несколько офисов и число сотрудников - несколько десятков тысяч ;-)

                        Сообщение от splsoft Посмотреть сообщение
                        Кроме этого, надо учитывать, что далеко не все сотрудники должны получать доступ к секретам и SecrecyKeeper (и реализованная в нем мандатная модель) еще один способ это обеспечить, причем не зависимо от ИТ-персонала.
                        У нас это решается централизованным IdM-решением, которое интегрировано и на уровне ОС, и на уровне сети и на уровне приложений. И это эффективнее, чем вешать эту задачу на отдельный комп.

                        Сообщение от splsoft Посмотреть сообщение
                        Какая разница что городить отдельную мандатку или отдельную DLP ?
                        Существенная. В мандатке вы исходите из конкретного файла, на который вешается метка, а в DLP вы можете сформировать набор условий, которым соответствует конфиденциальная информация. И совсем не важно в каком виде она обрабатывается - утечь ей не дадут по любому каналу. И при этом не будет мороки с понижением/повышением полномочий и т.п. мороке.

                        Сообщение от splsoft Посмотреть сообщение
                        Вопрос в том считает компания нужным защищаться от инсайдеров или нет. И если считает, то на каком уровне, с каким качеством и какая модель инсайдера, а дальше идет выбор подхода, продукта и внедрение.
                        Борьба с инсайдерами может решаться вообще не техническими методами.

                        Сообщение от splsoft Посмотреть сообщение
                        И мешать бизнесу ни кто не собирается. Если кто-то не смог внедрить мандатку так, чтобы она не мешала бизнесу, это не говорит о том, что это не возможно. Просто этот конкретный "кто-то", для какого-то конкретного клиента с использованием конкретного продукта решить задачу не смог.
                        Ну этих конкретных "кого-то" на Западе сотни тысяч, если не миллионы ;-) Может все-таки в консерватории что-то не то?

                        Комментарий


                        • #13
                          Я не говорю, что ваш продукт плох или еще что-то - просто размышляю ;-)

                          Комментарий


                          • #14
                            2 Алексей Лукацкий
                            Т.к. я и мои коллеги в компаниях подобных тем, которые вы описываете не работали, и SecrecyKeeper там не внедряли, то дискутировать на эту тему я с Вами прекращаю, т.к. против Вашего реального опыта могу противопоставить только свои догадки и предположения. Хотя я продолжаю думать, что и в Вашей компании мы смогли бы найти участок, на котором наш продукт и подход могли бы быть эффективными.
                            В любом случае, спасибо за Ваши вопросы, они помогли мне описать функционал нашего продукта и сам подход построения системы защиты от инсайдеров.
                            Если кому-то из коллег интересно обсудить возможности по использованию SecrecyKeeper в более стандартной для России среде с удовольствием поучаствую.

                            Комментарий


                            • #15
                              У нас это решается централизованным IdM-решением, которое интегрировано и на уровне ОС, и на уровне сети и на уровне приложений. И это эффективнее, чем вешать эту задачу на отдельный комп.
                              2Алексей Лукацкий Расскажите как у вас решается эта задача и как вы боретесь с утечками?

                              Комментарий


                              • #16
                                Сообщение от barmalei Посмотреть сообщение
                                2Алексей Лукацкий Расскажите как у вас решается эта задача и как вы боретесь с утечками?
                                У нас все приложения построены по технологии Web 2.0 - поэтому доступ решается централизованно. А с утечками боремся в первую очередь правильной работой с персоналом - мотивацией, постановкой целей и нормальным психологическим климатом ;-)

                                Детальнее по утечкам в презентации, которую я читал на DLP Russia в прошлом году.

                                Комментарий

                                Пользователи, просматривающие эту тему

                                Свернуть

                                Присутствует 1. Участников: 0, гостей: 1.

                                Обработка...
                                X