Модели поведения нарушителей

Сопутствующие действия

Хранилище информации, покинувшей информационную систему по всем каналам.

Аудит действий пользователей

Контентная фильтрация каналов движения информации

Основной отличительной особенностью контентной фильтрации InfoWatch является использование морфологического ядра. В отличие от традиционной сигнатурной фильтрации, технология контентной фильтрации InfoWatch имеет два преимущества - нечувствительность к элементарному кодированию (замене одних символов на другие) и более высокую производительность. Поскольку ядро работает не со словами, а с корневыми формами, она автоматически отсекает корни, которые содержат смешанные кодировки. Также работа с корнями, которых в каждом языке насчитывается меньше десяти тысяч, а не со словоформами, которых в языках около миллиона, позволяет показывать значительные результаты на достаточно непроизводительном оборудовании.

Для мониторинга действий пользователей с документами на рабочей станции InfoWatch предлагает несколько перехватчиков в одном агенте на рабочей станции – перехватчики файловых операций, операций печати, операций внутри приложений, операций с присоединяемыми устройствами.

Компания InfoWatch предлагает хранилище информации, покинувшей информационную систему. Документы прошедшие по всем каналам, ведущим наружу системы - электронной почте, Интернет, печать и сменные носители, сохраняются в приложении *storage (до 2007 г. - модуль Traffic Monitor Storage Server) с указанием всех атрибутов – ФИО и должность пользователя, его электронных проекций (IP-адреса, учетной записи или почтового адреса), даты и времени совершения операции, имени и атрибутов документов. Вся информация доступна для анализа, в том числе и контентного.

Внедрение технических средств защиты конфиденциальной информации представляются малоэффективными без использования других методов, прежде всего организационных. Выше мы уже рассмотрели некоторые из них. Теперь остановимся подробнее на других необходимых действиях.

Развернув систему мониторинга действий с конфиденциальной информацией, кроме наращивания функционала и аналитических возможностей, можно развиваться еще в двух направлениях. Первое — интеграция систем защиты от внутренних и внешних угроз. Инциденты последних лет показывают, что существует распределение ролей между внутренними и внешними злоумышленниками, и объединение информации из систем мониторинга внешних и внутренних угроз позволит обнаруживать факты таких комбинированных атак. Одной из точек соприкосновения внешней и внутренней безопасности является управление правами доступа, особенно в контексте симуляции производственной необходимости для увеличения прав нелояльными сотрудниками и саботажниками. Любые заявки на получение доступа к ресурсам, не предусмотренного служебными обязанностями, должны немедленно включать механизм аудита действий с этой информацией. Еще безопаснее решить вдруг возникшие задачи без открытия доступа к ресурсам.

Приведем пример из жизни. Системному администратору поступила заявка от начальника отдела маркетинга на открытие доступа к финансовой системе. В качестве обоснования заявки было приложено задание генерального директора на маркетинговые исследования процессов покупки товаров, производимых компанией. Поскольку финансовая система — один из самых охраняемых ресурсов и разрешение на доступ к ней дает генеральный директор, начальник отдела информационной безопасности на заявке написал альтернативное решение — доступа не давать, а выгрузить в специальную базу для анализа обезличенные (без указания клиентов) данные. В ответ на возражения главного маркетолога о том, что ему так работать неудобно, ему директором был задан вопрос "в лоб": "Зачем тебе названия клиентов — слить базу хочешь?" —после чего все пошли работать. Была ли это попытка организовать утечку информации, мы никогда не узнаем, но что бы это ни было, корпоративная финансовая система была защищена.

Дата добавления: 2014-01-13; Просмотров: 377; Нарушение авторских прав?; Мы поможем в написании вашей работы!