Контроль съемных носителей
Средства контроля подключения съемных машинных носителей информации (СКН или Device Control) предотвращают утечку сведений через USB-флешки, карты памяти, внешние жесткие диски, принтеры, CD/DVD-приводы.
СКН относятся к инструментам DLP (Data Loss Prevention или Data Leak Prevention) и входят в перечень обязательных защитных мер для государственных информационных систем.
- Требования к средствам контроля съемных машинных носителей информации
- Как DLP-системы контролируют внешние устройства
- Какой риск несет организация при утечке информации
- Защита информации на носителе
- Системы мониторинга и контроля использования внешних устройств
- Выбор системы защиты
- Контроль внешних устройств через Staffcop
Требования к средствам контроля съемных машинных носителей информации
СКН мониторит поток данных на съемных носителях: перемещение и копирование файлов на флешку, отправку документов на печать. Поэтому основное требование — безопасность.
Конечный список требований к ПО для каждой компании индивидуален. Перечислим типовой набор функций средств контроля съемных машинных носителей:
Мониторинг и аудит. Программа ведет детализированные журналы доступа и операций с данными на съемных устройствах, анализирует записи и сигнализирует о подозрительных действиях.
Распознавание и проверка подлинности. Программа распознает тип устройства, индивидуальный номер и аутентифицирует пользователя.
Разграничение доступа. Администратор безопасности настраивает группы пользователей и разграничивает доступ к компьютерам, информации или внешним дискам.
Шифрование данных. При передаче файлов на съемный носитель, программа автоматически шифрует информацию.
Требования ФСТЭК России
Регулятор по ИБ, ФСТЭК России, разделяет системы контроля носителей на два класса:
1) СКН уровня подключения съемных носителей
Класс лицензирует разграничение права доступа к накопителям и контроль передачи информации с компьютеров организации на внешние устройства.
2) СКН уровня отчуждения (переноса) информации
Класс лицензирует технологию преобразования файлов при передаче на внешний носитель. Прочитать флешку можно только на компьютере в контуре безопасности организации.
ФСТЭК выдает лицензии для каждого класса уровня защиты.
Как DLP-системы контролируют внешние устройства
Весь поток данных в организации проходит через СЗИ DLP. Система видит переписки сотрудников в мессенджерах и по почте, анализирует текст документа, который отправляют на печать, и даже подсоединяется к видеоконференциям.
Для контроля внешних устройств DLP:
Анализирует контент. DLP анализирует файлы, которые пользователи копируют на флешку или внешний диск, печатают на принтере и МФУ. Если встречает конфиденциальную информацию, то блокирует использование.
Контролирует приложения. В DLP администратор ИБ настраивает разрешения для приложений. В режиме реального времени DLP ограничивает доступ к просмотру и переносу данных для нежелательных программ.
Блокирует доступ к оборудованию. При несанкционированных действиях программа полностью или частично блокирует устройства для пользователя.
Важно
DLP-системы могут работать в двух режимах: фильтрация и блокировка. В режиме фильтрации специалисты информационной безопасности узнают об утечке постфактум и могут только анализировать уже произошедшие инциденты для предотвращения их повторения. В режиме блокировки ПО по настроенному алгоритму технически и программно блокирует возможность утечки и сообщает о попытке специалистам безопасности.
Какой риск несет организация при утечке информации
Утечка сведений приводит к финансовым потерям, ухудшению репутации и лояльности со стороны клиентов и партнеров.
Также организация может столкнуться с юридическими последствиями, включая штрафы и судебные иски, особенно если утечка касается личных данных клиентов или сотрудников.
Важно
Федеральный закон №152 «О персональных данных» изменяется каждый год. В 2023 году были приняты дополнения, устанавливающие обязательное подтверждение факта уничтожения данных по установленной форме, уведомление Роскомнадзора об утечке и о передаче данных за границу. Штрафы для юридических лиц достигают 15 млн. руб.
Утечка может произойти не только из-за внешних атак, но и из-за внутренних угроз, таких как небрежное обращение с данными или злонамеренные действия сотрудников.
Защита информации на носителе
Защита данных на съемных сменных носителях обеспечивается через управление правами доступа и шифрование данных.
Управление доступами. Для специалистов информационной безопасности важно иметь возможность быстро отозвать права доступа к данным на съемных носителях, чтобы предотвратить несанкционированный доступ к информации.
Шифрование. При копировании на флешку DLP-система преобразует данные. Прочитать такую флешку за пределами организации невозможно, потому что ключи дешифрования хранятся только на компьютерах компании. Такая технология есть только у нескольких DPL-систем.
Системы мониторинга и контроля использования внешних устройств
DLP-системы контролируют весь трафик данных в компании.
Специалисты безопасности видят журналы доступа, копирования файлов и других операций, поэтому могут выявить необычные паттерны поведения, которые могут указывать на попытку несанкционированной передачи данных.
Системы мониторинга также включают в себя механизмы предупреждения, которые оповещают системных администраторов о потенциальных угрозах в реальном времени.
Выбор системы защиты
При выборе СЗИ администраторы ИБ учитывают размер и специфику компании. Государственные и военные организации обязаны использовать DLP-системы с сертификатами ФСТЭК. Для негосударственных компаний важнее решение с удобным интерфейсом и гибкими настройками, чтобы минимизировать трудности в работе сотрудников.
Проанализируйте политику безопасности компании. Выделите критичные требования. Это поможет сузить количество способов решений.
Составьте перечень внешних устройств. Какие съемные носители используют сотрудники? Нужно ли анализировать файлы, которые передают на МФУ?
Запросите демо-версию. Разработчики СЗИ дают возможность познакомиться с демо-версией программы. Выберите и сравните в использовании несколько систем.
Контроль внешних устройств через Staffcop
Staffcop Enterprise — это программное обеспечение для контроля действий пользователей и информационных потоков.
Основные возможности Staffcop Enterprise
Мониторинг и аудит операций с файлами. Отслеживайте создание копий файлов на внешние устройства. Идентифицируйте пользователя, детали устройства и информацию о файлах.
Фильтрация и уведомление по ключевым словам. Программа анализирует информацию в содержимом файлов. Специалисты информационной безопасности получат уведомление при несанкционированных действиях.
Полная или частичная блокировка использования USB-устройств. Устанавливайте условия блокировки доступа к USB-накопителям. Организации могут полностью заблокировать использование всех USB-накопителей, настроить частичный доступ с использованием белых и черных списков, или ограничить доступ, разрешив использование устройств только в режиме чтения.
Идентификация устройств. Программа определяет ID USB-накопителей и внешних устройств. Если ПО не найдет номер оборудования в списке разрешенных устройств, то заблокирует использование.
Разграничение прав доступа. Настраивайте права доступа на уровне отдельных пользователей или групп. Создавайте правила политики безопасности под требования и задачи организации.
Staffcop Enterprise ФСТЭК
Staffcop Enterprise сертифицирован ФСТЭК № 4234 от 15 апреля 2020 года, переоформлен 04 июля 2022г.
ПО соответствует требованиям документов: Требования к СКН, Профиль защиты СКН (контроля подключения съемных машинных носителей информации 4 класса защиты. ИТ.СКН.П4.ПЗ) и Задания по безопасности.
Со Staffcop организации эффективно управляют использованием внешних модулей, обеспечивая защиту от утечек данных.