Доклады, выступления, видео и электронные публикации

От "Рассвета" до "Заката", или как хранить данные в СЕКРЕТЕ

Конявская С. В., к.ф.н., ЗАО «ОКБ САПР»

Компания «Рассвет» имеет головное предприятие и 3 филиала. Головное предприятие находится в Москве, 2 филиала в Санкт-Петербурге и 1 филиал в Перми. Сотрудники компании работают в общей корпоративной сети, состоящей, соответственно, из 4-х обособленных сегментов. Рассмотрим, как организована в этой компании защищенная работа с USB-флешками - с применением системы «Секрет фирмы».

Схематично сеть компании «Рассвет» может выглядеть так:

сеть компании Рассвет

Головное предприятие выполняет функции управления филиалами, собственных профильных задач у его сотрудников нет. Однако именно здесь проводится обработка и исследование результатов работы всех филиалов. Данные для обработки поступают от аналитических отделов каждого из филиалов.

В отношении применения системы «Секрет фирмы» важно, что на каждом из предприятий компании есть отдел кадров, аналитический отдел, и в филиалах - профильные отделы. Остальные отделы в данном случае можно не рассматривать: они либо не обрабатывают конфиденциальную информацию, либо там просто не применяются никакие USB-носители.

Итак, есть 4 сегмента сети, в каждой есть 3 (на головном предприятии - 2) группы компьютеров, на которых обрабатывается конфиденциальная информация. Причем информация, обрабатываемая в каждой из групп компьютеров, не должна попадать не только на компьютеры вне сети, но и на компьютеры других групп той же сети.

Иногда сотрудник, работающий с данными, которые можно обрабатывать на ПК одной из групп, должен работать с ними не в своем сегменте, а в соответствующей группе ПК другого филиала.

Несколько раз в год сотрудники аналитического отдела головного предприятия выезжают в филиалы с целью проведения расширенного аудита. Тогда они должны иметь возможность работать с USB-носителями на ПК аналогичных отделов филиалов.

Информационная безопасность в компании «Рассвет» обеспечивается системой «Секрет фирмы» следующим образом.

В каждом отделении установлен свой сервер аутентификации (СА), являющийся первичным для всех служебных носителей (СН) «Секрет», выданных сотрудникам данного отделения, и зарегистрированных на этом СА. Постоянная связь on-line между СА не поддерживается.

На каждом СА находится база регистрации «Секретов», в которой установлено, на каких именно компьютерах может применяться тот или иной СН (в соответствии с утвержденной политикой безопасности), и какому именно пользователю он выдан. Использование любых других USB-накопителей на этих ПК запрещено.

Если сотрудник пытается открыть «Секрет» на своем домашнем компьютере, на компьютере другой организации, в отделе, компьютеры которой не зарегистрированы на СА, или на компьютерах, зарегистрированных на СА, но не разрешенных для данного «Секрета», доступа к информации он не получает.

Когда пользователю необходимо отправиться в командировку в другой филиал или головное предприятие, он с подписанным служебным заданием, из которого однозначно следует, в какой именно группе ПК какого из сегментов сети он будет работать, приходит к Администратору СА. Администратор СА средствами ПО СА выдает на «Секрет» пользователя мандат на повторную регистрацию.

Пользователь с «Секретом» отправляется в командировку, а мандат повторной регистрации отправляется каким-либо защищенным способом на СА, управляющий «Секретами» того сегмента сети, в котором предстоит работать командированному пользователю.

Если пользователь приезжает без мандата на повторную регистрацию, то работать со своим «Секретом» в «чужом» сегменте сети он не сможет.

После окончания командировки повторная регистрация «Секрета» пользователя может быть сброшена либо сохранена, в зависимости от решения руководства.

Что больше всего ценят в «Секретах» сотрудники «Рассвета»? То, что, обнаружив в кармане случайно унесенный с работы «Секрет», или не обнаружив в кармане «Секрет», который там точно был, они знают, что совершенный ими проступок - не критичен для информационной безопасности фирмы: «Секрет фирмы» надежно защищает служебную информацию от раскрытия.

ВРЕЗКА:

Компания «Закат» - конкурент компании «Рассвет», участвует с «Рассветом» в ряде совместных проектов. Пользуясь этим, сотрудники «Заката» считают возможным осуществлять попытки «промышленного шпионажа» путем кражи данных из профильного и аналитического отделов компании «Рассвет». А так же не чураются вредительства - путем записывания на компьютеры профильного отдела компании «Рассвет» вредоносных программ.

Столкнувшись с невозможностью подключения к компьютерам компании «Рассвет» своих USB-носителей, компания «Закат» узнала о системе «Секрет» и установила ее в своих офисах в расчете на то, что с помощью своих «Секретов» ее сотрудники смогут получить доступ к «Секретам» «Рассвета». Однако ни попытки открыть на своих компьютерах «Секрет», украденный в «Рассвете», ни попытки подключить собственные «Секреты» к компьютерам «Рассвета» ни к чему не привели, так как работать с «Секретом» можно только в той сети, в которой он зарегистрирован.

Однако выгоду компания «Закат» все же получила. Теперь в ней налажена защищенная работа с применением USB-носителей.

Автор: Конявская С. В.

Дата публикации: 01.01.2010

Библиографическая ссылка: Конявская С. В. От «Рассвета» до «Заката», или как хранить данные в СЕКРЕТЕ // Information Security/Информационная безопасность. М., 2010. № 5. С. 17.


Scientia potestas est
Кнопка связи