От "Рассвета" до "Заката", или Как хранить данные в СЕКРЕТЕ

Светлана Конявская
к.ф.н., ЗАО "ОКБ САПР"

"Рассвет"

Компания "Рассвет" имеет головное предприятие и 3 филиала. Головное предприятие находится в Москве, 2 филиала – в Санкт-Петербурге и 1 – в Перми. Сотрудники компании работают в общей корпоративной сети, состоящей соответственно из четырех обособленных сегментов. Рассмотрим, как организована в этой компании защищенная работа с USB-флешками – с применением системы "Секрет фирмы".

Головное предприятие выполняет функции управления филиалами, собственных профильных задач у его сотрудников нет. Однако именно здесь проводится обработка и исследование результатов работы всех филиалов. Данные для обработки поступают от аналитических отделов каждого филиала.

В отношении применения системы "Секрет фирмы" важно, что на каждом из предприятий компании есть отдел кадров, аналитический отдел и в филиалах – профильные отделы. Остальные отделы в данном случае можно не рассматривать: они либо не обрабатывают конфиденциальную информацию, либо там просто не применяются никакие USB-носители.

Итак, есть 4 сегмента сети, в каждой есть 3 (на головном предприятии – 2) группы компьютеров, на которых обрабатывается конфиденциальная информация. Причем информация, обрабатываемая в каждой из групп компьютеров, не должна попадать не только на компьютеры вне сети, но и на компьютеры других групп той же сети.

Иногда сотрудник, работающий с данными, которые можно обрабатывать на ПК одной из групп, должен работать с ними не в своем сегменте, а в соответствующей группе ПК другого филиала.

Несколько раз в год сотрудники аналитического отдела головного предприятия выезжают в филиалы с целью проведения расширенного аудита. Тогда они должны иметь возможность работать с USB-носителями на ПК аналогичных отделов филиалов.

Секреты фирмы

Информационная безопасность в компании "Рассвет" обеспечивается системой "Секрет фирмы" следующим образом.

В каждом отделении установлен свой сервер аутентификации (СА), являющийся первичным для всех служебных носителей (СН) "Секрет", выданных сотрудникам данного отделения и зарегистрированных на этом СА. Постоянная связь on-line между СА не поддерживается.

На каждом СА находится база регистрации "Секретов", в которой установлено, на каких именно компьютерах может применяться тот или иной СН (в соответствии с утвержденной политикой безопасности) и какому именно пользователю он выдан. Использование любых других USB-накопителей на этих ПК запрещено.

Если сотрудник пытается открыть "Секрет" на своем домашнем компьютере, на компьютере другой организации, в отделе, компьютеры которого не зарегистрированы на СА, или на компьютерах, зарегистрированных на СА, но не разрешенных для данного "Секрета", доступа к информации он не получает.

Когда пользователю необходимо отправиться в командировку в другой филиал или на головное предприятие, он с подписанным служебным заданием, из которого однозначно следует, в какой именно группе ПК какого из сегментов сети он будет работать, приходит к администратору СА. Администратор СА средствами ПО СА выдает на "Секрет" пользователя мандат на повторную регистрацию.

Пользователь с "Секретом" отправляется в командировку, а мандат повторной регистрации отправляется каким-либо защищенным способом на СА, управляющий "Секретами" того сегмента сети, в котором предстоит работать командированному пользователю.

Если пользователь приезжает без мандата на повторную регистрацию, то работать со своим "Секретом" в "чужом" сегменте сети он не сможет.

После окончания командировки повторная регистрация "Секрета" пользователя может быть сброшена либо сохранена, в зависимости от решения руководства.

Что больше всего ценят в "Секретах" сотрудники "Рассвета"? То, что, обнаружив в кармане случайно унесенный с работы "Секрет" или не обнаружив в кармане "Секрет", который там точно был, они знают, что это не критично для информационной безопасности фирмы: "Секрет фирмы" надежно защищает служебную информацию от раскрытия.