Секрет

Пример

Настоящие мастера своего дела знают, что профессиональными секретами делиться нельзя. Именно эти секреты являются целью промышленного шпионажа и интриг, предметом гордости и залогом процветания, а также основой сюжета исторических легенд – вспомним лак Страдивари или ослепление авторов Храма Василия Блаженного. Чтобы Ваши профессиональные секреты не стали секретом Полишинеля, они должны быть профессионально защищены


Компания «Рассвет» имеет головное предприятие и 3 филиала. Головное предприятие находится в Москве, 2 филиала в Санкт-Петербурге и 1 филиал в Перми. Сотрудники компании работают в общей корпоративной сети, состоящей, соответственно, из 4-х обособленных сегментов.

Головное предприятие выполняет преимущественно функции управления филиалами, собственных задач, связанных с профилем компании, у его сотрудников нет, однако на предприятие стекаются сведения о результатах работы всех филиалов и проводится их обработка и исследование. Получает эти данные головное предприятие от аналитического отдела каждого из филиалов. В отношении применения системы «Секрет» нас интересует то, что на каждом из предприятий компании есть отдел кадров, аналитический отдел, и в филиалах – профильные отделы. Остальные отделы в данном случае можно не рассматривать, так как они либо не обрабатывают конфиденциальную информацию, либо, как в случае с бухгалтерией, там просто не применяются никакие USB-носители, так как перенос информации с компьютера на компьютер не производится вообще.

Схематично сеть компании «Рассвет» может выглядеть так:

Итак, есть 4 сегмента сети, в каждой есть 3 (на головном предприятии – 2) группы компьютеров, на которых обрабатывается конфиденциальная информация. Причем информация, обрабатываемая в каждой из групп компьютеров, не должна попадать не только на компьютеры вне сети, но и на компьютеры других групп той же сети.

При этом в ряде случаев сотрудник, работающий с данными, которые можно обрабатывать на компьютерах одной из групп (группы профильного отдела), должен работать с ними не в своем сегменте, а в соответствующей группе компьютеров другого филиала.

Несколько раз в год сотрудники аналитического отдела головного предприятия выезжают в филиалы с целью проведения расширенного аудита. Тогда они должны иметь возможность работать с USB-носителями на компьютерах аналогичных отделов филиалов.

Информационная безопасность в компании «Рассвет» обеспечивается системой «Секрет» следующим образом.

В каждом отделении установлен свой сервер аутентификации (СА), являющийся первичным для всех секретных носителей (СН) «Секрет», выданных сотрудникам данного отделения, и зарегистрированных на этом СА. Постоянная связь on-line между СА не поддерживается.

На каждом СА находится база регистрации «Секретов», в которой установлено, на каких именно компьютерах может применяться тот или иной СН (в соответствии с описанной в специальном документе, утвержденном руководством «Рассвета» политикой безопасности), и какому именно пользователю он принадлежит. Использование любых других USB-устройств на этих компьютерах запрещено.

В случае, если сотрудник пытается открыть «Секрет» на своем домашнем компьютере, на компьютере другой организации, в отделе, компьютеры которой не зарегистрированы в на СА, или на компьютерах, зарегистрированных на СА, но не разрешенных для данного «Секрета», доступа к информации во внутренней памяти устройства они не получают (ни на чтение, ни на запись).

В случае, когда пользователю необходимо отправиться в командировку в другой филиал или головное предприятие, он со служебным заданием, подписанным руководителем предприятия, из которого однозначно следует, в какой именно группе компьютеров какого из сегментов сети он будет работать, приходит к Администратору СА. Администратор СА средствами ПО СА выдает на «Секрет» пользователя мандат на повторную регистрацию.

После этого пользователь с «Секретом» отправляется в командировку, а мандат повторной регистрации отправляется каким-либо защищенным способом, например, по защищенной электронной почте на СА, который управляет «Секретами» того сегмента сети, в котором предстоит работать командированному пользователю.

Если пользователь приезжает без мандата на повторную регистрацию, то работать со своим «Секретом» в «чужом» сегменте сети он не сможет. После окончания командировки повторная регистрация «Секрета» пользователя может быть сброшена, либо сохранена, в зависимости от решения, принятого руководством.

Компания «Закат» - основной конкурент компании «Рассвет», поддерживающий хорошие дипломатические отношения с «Рассветом», выполняет с компанией «Рассвет» ряд совместных проектов, и, пользуясь этим, считает возможным осуществлять попытки «промышленного шпионажа» путем кражи данных из профильного и аналитического отделов компании «Рассвет», а так же вредительства – путем записывания на компьютеры профильного отдела компании «Рассвет» вредоносных программ.

Столкнувшись с невозможностью подключения к компьютерам компании «Рассвет» своих USB-носителей, компания «Закат» узнала о системе «Секрет» и установила ее в своих офисах, в расчете на то, что с применением своих «Секретов» ее сотрудники смогут получить доступ к «Секретам» «Рассвета». Однако ни попытки открыть на своих компьютерах «Секрет», украденный в «Рассвете», ни попытки подключить собственные «Секреты» в компьютерам «Рассвета» ни к чему не привели, так как работать с «Секретом» можно только в той сети, в которой он зарегистрирован.

Однако выгоду компания «Закат» все же получила. Теперь в ней налажена защищенная работа с применением USB-носителей.