Записи с меткой Защита от изъятия информации

0

Защита от инсайдеров

Как известно, самым слабым звеном во всех системах защиты информации является так называемый «человеческий фактор»: сотрудники компании халатно относятся к регламентам безопасности, хранят конфиденциальные данные на незащищенных носителях или просто уносят информацию, потому что «плохо лежит» и «вдруг пригодится». Полностью исключить возможность утечки информации через «инсайдеров» нельзя, но можно значительно снизить ее вероятность. Для этого можно внедрить в компании ряд программных, аппаратных и организационных решений:

1. Внедрение сервера терминалов для работы с конфиденциальной информацией

Решение на базе сервера терминального доступа позволяет ограничить работу сотрудников с информацией только пределами данного сервера, не позволяя выгрузить данные на внешние носители. Сам сервер может быть размещен за пределами офиса и даже сотрудники ИТ служб могут не иметь к нему доступа.

2. Внедрение двухфакторной авторизации пользователей в сети

Один из самых распространенных вариантов повышения привилегий пользователя в сети – это получение доступа к информации с чужими учетными данными. Для того, чтобы получить учетные данные другого пользователя, совершенно не обязательно быть «хакером» и взламывать систему: сотрудники вполне охотно делятся друг с другом своими паролями в случае производственной необходимости, и не считают нужным сменить пароли доступа в дальнейшем. Для минимизации таких рисков можно использовать решение на базе смарт-карт, при котором для авторизации пользователю помимо пароля понадобится специальный брелок, который также может использоваться для доступа в помещение и работать дверным ключом. Это не позволит сотруднику «поделиться» брелоком с коллегой, поскольку он не сможет покинуть помещение без брелка. Возможно также внедрение и решений с применением биометрической идентификации пользователей.

3. Шифрование рабочих ноутбуков и внешних носителей сотрудников

Если сотрудники компании работают с конфиденциальной информацией за пределами офиса и переносят ее на ноутбуки и внешние носители, это повышает риск ее утечки.  Для защиты информации в случае хищения носителей необходимо использовать программно-аппаратные комплексы по шифрованию конфиденциальных данных.

4. Разделение функций администрирования информационных систем с конфиденциальной информацией

Система распределения прав доступа к информации не должна замыкаться на одном человеке (системном администраторе) или одной службе (IT департаменте). Система должна быть организована таким образом, чтобы всегда была возможность осуществлять независимый контроль действий IT специалистов, а доступ к данным в корпоративные системы должен регулироваться специалистами различных структурных подразделений.

www.prosperity-systems.ru

0

Шифрование данных на компьютерах и серверах компании

Красная кнопкаНадежную крипто-защиту информации в Вашей компании сможет обеспечить только комплексный подход к шифрованию данных на компьютерах и серверах Вашей организации. Еще на этапе проектирования системы защиты нужно определить, какие программные и аппаратные средства будут использованы и какой функционал, возможно, потребуется в дальнейшем:

управление шифрованными носителями через SMS с обычного сотового телефона

управление шифрованными носителями через SMS с обычного сотового телефона

радио-брелок аварийного отключение или уничтожения информации с радиусом действия до 1 км

отключение шифрованных дисков одним щелчком мыши на любом удобном Вам компьютере

блокирование дисков в случае доступа в охраняемое помещение без предварительного снятия с охраны

замену паролей электронными ключами доступа (USB-брелок), без которых невозможно расшифровать диск

удаленное включение серверов с зашифрованными данными – Вы можете установить сервер в другом городе или даже стране, и управлять им удаленно без риска кражи паролей или взлома системы защиты

технологию кворума ключей: дверь отпирается не одним, а несколькими ключами, вставленными одновременно. Таким образом, груз ответственности не лежит на одном человеке, давление на одного из держателей ключей не может привести к краже информации

возможность физического уничтожения данных на дисках с помощью сильного электромагнитного импульса

Решение должно работать с любыми носителями информации, как то: жесткие диски, flash-диски, RAID массивы, хранилища данных SAN и NAS и любые другие. Если Вы можете записать на носитель информации файл Word – это значит, что он может быть хранилищем зашифрованных данных. Должна иметься возможность  доработка системы под требования компании, как то:

  • выполнение определенных действий на компьютере в случае тревоги
  • отключение в случае опасности сетевых соединений, например, разрыв связи с сервером, при этом все прочие сервисы продолжают работать
  • завершение работы какой-либо определенной программы в пределах всего офиса, например мгновенное закрытие программы «1С» во всем офисе с радио-брелока
  • отправка уведомлений по СМС или электронной почте
  • сложные системы контроля доступа в помещение. Например, срабатывание защиты в случае, если дверь серверного шкафа открыта в то же время, когда открыта дверь в серверную, или когда дверь в серверной открыта непрерывно более 20 секунд

Преимуществом нашей системы шифрования является возможность интеграции с открытыми решениями в области шифрования данных, например, таких как TrueCrypt.

Схема крипто-комплекса

Это гарантирует отсутствие в системе «черных ходов», поскольку мы не поставляем сами алгоритмы и методы шифрования. Системы шифрования с открытым кодом доступны для свободного скачивания через интернет, а нашей задачей является расширение их функционала и доработки под требования покупателя без вмешательства в сам процесс шифрования. Дополнительным преимуществом является постоянное бесплатное обновление и развитее системы.

www.prosperity-systems.ru

1

Защита от изъятия конфиденциальной информации

Одним из действенных способов повышения уровня безопасности важных данных, хранящихся на сервере, является их шифрование. Шифрование позволяет защититься от таких рисков, как кража дисков и резервных копий, или изъятие данных при рейдерских захватах. Для сотрудников, постоянно бывающих в командировках, шифрование данных особенно актуально в связи с высокой вероятностью утери или кражи ноутбуков. Безусловно, шифрование не позволит решить всех проблем с защитой конфиденциальных данных – существует множество других способов получения информации. Но наличие шифрования вносит существенный вклад в комплексе мер по ее защите. Существуют несколько программных и аппаратных решений, связанных с шифрованием данных. Они различаются по возможностям, удобству, и конечно, по цене. Ниже перечислен перечень вопросов, на которые нужно ответить при выборе системы шифрования:

Требуется ли шифрование диска/раздела, на котором размещена операционная система?

Наличие этой функции позволяет скрыть операционную систему и установленное на ней программное обеспечение. Также это позволяет защитить служебные файлы системы, в которых могут оказаться части секретной информации, временно перемещенные программами на время работы с данными.

Требуется ли применение смарт-карт или токенов на этапе загрузки?

Токены значительно повышают надежность шифрования. Это USB брелки, на которых хранится ключ от диска, необходимый для его расшифровки. Доступ к ключу осуществляется по пин-коду, а неверный ввод пин-кода более оговоренного числа раз уничтожает ключ. Таким образом, даже если токен и диск с данными попадут в руки злоумышленника, у него будет очень ограниченное число попыток угадать пароль.

Требуется ли кворум ключей на этапе загрузки?

Кворум ключей – это режим, когда для открытия одного диска используется несколько ключей, и диск откроется только при их одновременном присутствии при включении сервера. Здесь возможны варианты: например, у вас 5 ключей, но для старта сервера требуется только 3 любых из них. Таким образом один человек не может получить доступ к информации, но и утрата некоторого количества ключей не смертельна.

Требование к сертификации системы шифрования во ФСТЭк

Для государственных учреждений часто требуется наличие сертификации во ФСТЭк системы шифрования – на это тоже требуется обращать внимание.

Наличие «тревожной кнопки» для удаленного оперативного отключения защищаемых дисков

Решение с тревожной кнопкой предполагает наличие у ответственных лиц радиобрелка, по сигналу с которого происходит блокирование диска с данными. Вариантами тревожной кнопки может быть проводное решение, программа на компьютере, сигнализация на входе в серверную и даже GSM-брелок, передающий команду блокировки по сетям мобильных операторов и действующий практически из любой точки земного шара. Расширением системы шифрования может выступить система электромагнитного уничтожения дисков. Она оснащена отдельным набором средств управления, и в случае необходимости может физически уничтожить информацию с жестких дисков. В некоторых случаях такое решение более оправдано, чем шифрование, поскольку не предполагает возможностей утечки ключей шифрования или мер принуждения по отношению к владеющим ключом лицам. Естественно, при применении данного решения наличие резервных копий обязательно.

Защита конфиденциальной информации — www.prosperity-systems.ru

0

Защита баз 1С

Большинство российских компаний для автоматизации учетных задач используют программные решения на базе платформы 1С:Предприятие. Учетные системы на базе 1С решают на предприятии различные задачи, и часто именно в этих учетных системах хранится конфиденциальная информация, которая ни при каких обстоятельствах не должна стать доступной посторонним. Выход этой информации за пределы компании или ее утрата может нанести очень серьезный удар по бизнесу, вплоть до его закрытия.

К сожалению, все типовые решения на базе «1С:Предприятие» имеют низкий уровень защиты хранимой в них информации. Конфигурации на базе «1С:Предприятие 7.7» фактически не имеют защиты от несанкционированного доступа: любой пользователь базы может повысить свои привилегии в системе до уровня администратора путем простого удаления или переименования файла в каталоге базы. После получения прав администратора пользователь не только может просмотреть скрытые от него данные, но и скопировать или выгрузить себе всю базу данных. Платформа 1С 8.1 значительно превосходит по защищенности платформу 7.7, но, не смотря на это, существуют достаточно простые и доступные программные решения, позволяющие узнать пароль администратора и скопировать хранимую в базе информацию.

Нашими специалистами разработано комплексное решение, позволяющее решить проблемы защиты баз 1С и других учетных систем:  Защита баз 1С.

www.prosperity-systems.ru