Интеграция с системами аутентификации

Организация хранения информации

Предотвращение утечек на этапе подготовки

Другое направление развития системы мониторинга внутренних инцидентов с конфиденциальной информацией — построение системы предотвращения утечек. Алгоритм работы такой системы тот же, что и в решениях по предотвращению вторжений. Сначала строится модель нарушителя, по ней формируется "сигнатура нарушения", то есть последовательность действий нарушителя. Если несколько действий пользователя совпали с сигнатурой нарушения, прогнозируется следующий шаг пользователя, если и он совпадает с сигнатурой — подается сигнал тревоги. Например, был открыт конфиденциальный документ, часть его была выделена и скопирована в буфер, затем был создан новый документ и в него было скопировано содержимое буфера. Система предполагает: если дальше новый документ будет сохранен без метки "конфиденциально" — это попытка похищения. Еще не вставлен USB-накопитель, не сформировано письмо, а система информирует офицера информационной безопасности, который принимает решение — остановить сотрудника или проследить, куда уйдет информация. К слову, модели (в других источниках — "профили") поведения нарушителя можно использовать, не только собирая информацию с программных агентов. Если анализировать характер запросов к базе данных, всегда можно выявить сотрудника, который рядом последовательных запросов к базе пытается получить конкретный срез информации. Необходимо тут же проследить, что он делает с этими запросами, сохраняет ли их, подключает ли сменные носители информации и т. д.

Принципы анонимизации и шифрования данных — обязательное условие организации хранения и обработки, а удаленный доступ можно организовать по терминальному протоколу, не оставляя на компьютере, с которого организуется запрос, никакой информации.

Рано или поздно заказчику придется использовать систему мониторинга действий с конфиденциальными документами для решения кадровых вопросов – например, увольнения сотрудников на основе фактов, задокументированных этой системой или даже судебного преследования лиц, допустивших утечку. Однако все, что может дать система мониторинга – электронный идентификатор нарушителя – IP-адрес, учетную запись, адрес электронной почты и т.д. Для того, чтобы законно обвинить сотрудника, нужно привязать этот идентификатор к личности. Тут перед интегратором открывается новый рынок – внедрение систем аутентификации – от простых токенов до продвинутой биометрии и RFID – идентификаторов.