Документальное оформление доступа сотрудников к корпоративным сетям

Содержание
  1. Защита информации в корпоративных сетях, корпоративная защита информации
  2. Технологии защиты корпоративной информации
  3. Комплексная защита корпоративной информации
  4. Задача 1-я: защита корпоративных данных от атак
  5. Задача 2-я: доступ к информации в корпоративных системах
  6. Задача 3: управление каналом Интернет при защите корпоративных данных
  7. Задача 4: фильтрация трафика в корпоративных сетях
  8. Задача 5: анализ данных
  9. Как обеспечить безопасность корпоративной компьютерной сети
  10. С нуля, — значит, дорого. 
  11. Трудности с унификацией между используемыми программами и оборудованием
  12. Дублирование функций, а следовательно, снова лишние расходы плюс замедление системы
  13. Протестировать Traffic Inspector Next Generation в своей сети. Бесплатно в течение 30 дней
  14. Доступ к корпоративной сети
  15. Защита корпоративной сети от несанкционированного доступа
  16. Безопасность корпоративной почты
  17. Основными способами фильтрация спама, являются:
  18. Создаем корпоративный портал: как не потеряться в многообразии систем — Сервисы на vc.ru
  19. Для чего нужен портал?
  20. Чтобы расширить штат
  21. Чтобы структурировать работу
  22. Как это работает?
  23. Пример нашего кейса
  24. Задача клиента
  25. Решение
  26. Принцип работы аутентификатора
  27. Выбор платформы
  28. Выбор мессенджера
  29. Запуск и вывод
  30. Доступ к конфиденциальной информации | Разрешительная система доступа персонала к конфиденциальной информации
  31. Что такое конфиденциальная информация
  32. Разрешительные системы
  33. Нормативно-правовая база
  34. Определение круга лиц, которые получают разрешение
  35. Контроль за сотрудниками, имеющими доступ к информации
  36. Хранение, обработка и передача информации
  37. Порядок доступа к конфиденциальной информации

Защита информации в корпоративных сетях, корпоративная защита информации

Документальное оформление доступа сотрудников к корпоративным сетям

Защита информации в корпоративных сетях – это комплекс мер по предотвращению утечки корпоративных данных, персональных данных (ПНд) сотрудников и клиентов, отражение атак на ресурсы компании. Современные методы защиты включают в себя идентификацию и аутентификацию, разграничение прав доступа и управление доступом к данным, криптографию и создание межсетевых экранов.

Защита информации в корпоративных системах требуется:

  • для организаций и предприятий со сложной административно-территориальной структурой: банков, торговых сетей, государственных и транснациональных компаний, производственных комплексов;
  • а также предприятий любого уровня, использующих облачные технологии, он-лайн кассы, IP-телефонию, Интернет-банки, системы электронного документооборота (ЭДО).

Организация процедур комплексной защиты корпоративной информации в сетях крупных компаний осложнена использованием оборудования разных поколений и разных производителей, различных баз данных, локальных сетей (LAN).

Что такое Интернет сегодня?.. Миллионы компьютеров, серверов, объединенных в одну большую глобальную сеть. В сети Интернет ежесекундно проходят терабайты информации: фотографии, файлы, личные сообщения, денежные транзакции и т.д. Если информация важная, то за нее можно получить деньги. А места, в которых можно быстро и без усилий заработать деньги привлекают злоумышленников.

И если на заре развития сети Интернет в 90-е годы обычное платежное банковское поручение можно было отправить по электронной почте незашифрованным письмом, то сегодня такое письмо может содержать информацию, изменённую злоумышленниками в корыстных целях. Да, совершенствуются методы защиты передачи информации, но и инструменты, которые применяют злоумышленники не стоят на месте.  Тем не менее методы атаки всегда остаются прежними, как и узкие места защиты.

Технологии защиты корпоративной информации

Система корпоративной защиты информации должна отражать любые типы атак:

  • попытки взлома хакерами;
  • несанкционированный доступ к конфиденциальным данным, в т.ч. ПНд;
  • заражение вредоносным программным обеспечением (ПО): вирусами, троянскими программами, «червями»;
  • загрузке и установке шпионских программ, рекламного софта;
  • спаму, фишинг-атакам;
  • взлому сайтов (CMS), корпоративных групп в социальных сетях.

При этом применяемые средства и технологии защиты корпоративных данных не должны препятствовать нормальному функционированию информационных систем (ИС) предприятия, включая доступность данных из ИС для авторизованных пользователей. В целом, система комплексной защиты корпоративных данных должна отвечать требованиям:

  • доступности для авторизованных, идентифицированных пользователей;
  • целостностью, т.е. полноты и достоверности возвращаемых на запрос сведений;
  • конфиденциальностью – предоставлением данных согласно уровню доступа пользователя.

Технология защиты корпоративных данных подразумевает:

  • использование межсетевых экранов (программных и аппаратных) – современные решения позволяют настраивать VPN, интегрироваться с антивирусами;
  • установку антивирусной защиты с закрытием почтовых шлюзов, прокси-серверов (зачастую одновременно применяется 2 – 3 антивирусные программы с различными методами обнаружения вредоносного ПО);
  • настройку систем обнаружения атак (IDS);
  • создание единой консоли управления информационной безопасности.

Комплексная защита корпоративной информации

Современная система защиты корпоративных данных в сетях должна противодействовать случайным и преднамеренным атакам, внутренним и внешним источникам угрозы (направленным на данные, программы, аппаратуру, поддерживающую инфраструктуру).

Также не следует трактовать защиту корпоративных данных исключительно только как предотвращение несанкционированного доступа со стороны злоумышленников. Часто перед специалистами ставится задачи:

  • при выборе оператора облачного сервиса, виртуального сервера (хостинг-провайдера) – отслеживать uptime сервера (объективно он не может быть равен 100%, однако для ответственных решений существует правило 4-х и ли 5-и девяток, т.е. доступности сервера в 99,99% или 99,999% времени), особенно если остановка его (сервера) работы может привести к серьезным потерям;
  • устранение последствий технических сбоев, потерь данных в случае техногенных катастроф, случайного или умышленного нарушения правил эксплуатации информационной системы (ИС), при превышении расчетного числа запросов к БД, пропускной способности каналов связи и т.д.;
  • устранения ошибок конфигурирования, топологии сети, отказов аппаратных или программных модулей, физического разрушения (износа) аппаратной части системы и т.п.

Однако настоящие проблемы являются, как правило, прозрачными и прогнозируемыми. В то время как попытки взлома, несанкционированного доступа потенциально более опасны, непредсказуемы.

Задача 1-я: защита корпоративных данных от атак

Самое узкое место в защите передачи информации – это белый IP адрес, через который передается и принимается информация. Большинство атак в сети Интернет направленно на выявление незащищенных портов на устройстве (далее Firewall (файрволл)), к которому привязан данный белый IP адрес.

Атакующий перебирает все популярные протоколы передачи информации (SSH, RDP, FTP, HTTP, SMTP и другие) и сканируя открытые порты устройства.

Найдя такие порты, злоумышленник начинает перебирать известные логины сотрудников организации и сопоставляя скомпрометированные пароли отправляя запросы на авторизацию на устройстве.

Как узнать логин пользователя организации? Все просто – это первая часть корпоративной электронной почты до символа @, вторая часть электронной почты после символа @ обычно является именем корпоративного домена. К примеру, ivanovii@domen.ru злоумышленник будет использовать при атаке следующим образом – domen.ru\ivanovii + пароли.

Где злоумышленники находят электронные адреса сотрудников? Везде:

  • на сайте организации в разделах: контакты, закупки (тендера), вакансии и другие;
  • на сайтах объявлений, hh.ru и подобных;
  • покупают базы электронных адресов.

Задача 2-я: доступ к информации в корпоративных системах

Помимо защиты от атак извне необходим доступ к корпоративной информации организации сотрудников вне пределов периметра организации через сеть Интернет. Используя FTP-сервера, RDP подключение к рабочему компьютеру, мы просто упрощаем работу злоумышленника.

Правильнее сегодня использовать VPN (Virtual Private Network) сети. Почему? RDP подключение использует для соединения один порт устройства, и если удаленных сотрудников 10, 20, 100 – то нужно открыть 10, 20, 100 портов на файрволле.

В случае организации подключения через VPN – открытый порт будет один.

Задача 3: управление каналом Интернет при защите корпоративных данных

Чем больше сотрудников в организации, работающих в сети Интернет, тем больше нагрузка на основной канал.

А ширина канала Интернет всегда ограничена, да и сотрудник организации должен работать, а не сидеть в социальных сетях, развлекательных, игровых сайтах.

Для этого вырабатываем правила использования сети Интернет внутри организации – идет градация сотрудников. Например, можно назначить три вида доступа:

  1. Обычный – ограниченный: запрещены доступы к социальным сетям, сайтам типа , rutube, игровым и т.д.;
  2. Привилегированный – неограниченный доступ к сети Интернет, но через специальную систему фильтр (о ней поговорим дальше);
  3. Прямой доступ – доступ к сети интернет минуя все корпоративные системы защиты информации. Обычно такой доступ предоставляли системам дистанционного банковского обслуживания, системам корпоративной видеосвязи.

Большинство пользователей организации заходят на одни и те же сайты и каждый раз открывая одну и ту же страницу в Интернет создают дополнительную нагрузку на канал. В целях экономии трафика рекомендуется использовать прокси-сервер.

Задача 4: фильтрация трафика в корпоративных сетях

Пользователи через канал Интернет получают различную информацию – файлы, сообщения электронной почты и многое другое. Злоумышленник постарается прислать для взлома корпоративной сети вирус, троян, ссылку на фишинговый сайт.

Логично, что необходимо фильтровать весь входящий и исходящий в единой общей точке.

Задача 5: анализ данных

В организациях каждая служба (кадровая, служба безопасности и другие) хочет понимать, чем живет и дышит их сотрудник, какие сайты посещает.  К примеру, частое посещение сотрудником сайтов типа hh.ru будет означать, что сотрудник хочет поменять место работы, а если это ключевой сотрудник, то по определенным направления работы организации будет провал.

Необходимо знать, сколько времени сотрудник проводит в сети Интернет, отрываясь от основной работы. Поэтому работу сотрудника в сети Интернет необходимо тщательно анализировать.

Вышеперечисленные задачи всегда в определенный момент времени возникают перед службой ИТ и каждый начинает решать их по-своему. И если использовать разнообразные системы, то на их поддержку уйдет много времени и потребуется не один сотрудник.

 Но существуют комплексные решения управления и защиты интернет трафика, которые содержат в себе – программный файрвол, систему фильтрации трафика, интеграция с антивирусом для фильтрации входящего и исходящего трафика, прокси-сервер, VPN-сервер, систему обнаружения и предотвращения вторжений (IPS).

Самым удачным продуктом был Microsoft Forefront Threat Management Gateway. К сожалению, он перестал продаваться в 2012 году. Снятие его с продаж вызвало недоумение у всего ИТ-шного мира. Но это решение крупной компанию. Чем заменить и что использовать?

  1. Kerio Control
  2. iDeco
  3. UserGate
  4. CheckPoint
  5. Sophos UTM
  6. FORTIGATE

Наиболее доступными из решений являются Kerio, Ideco, UserGate. Решения Checkpoint, Sophos, Fortigate относятся к классу Enterprise. Большинство решений являются независимыми аппаратно-программными комплексами, что сказывается на их цене. Решения поддерживают интеграцию с большинством известных антивирусов, содержат мощный инструмент отчетности и анализа.

Следует понимать, что не существует ПО, которое обеспечивало бы 100% уровень защиты.

Более того, пользователь (системный администратор) зачастую не может повлиять на уязвимости в конкретном продукте (иначе как отказаться от его использования).

Поэтому при выборе инструментов защиты корпоративных данных следует использовать ПО, уязвимости которого либо не несут пользователю ощутимой угрозы, либо их реализация с точки зрения злоумышленника бесполезна.

На что обращать внимание при выборе таких систем:

  • функционал;
  • требования к аппаратной части;
  • юзабилити (удобство использования);
  • возможность анализировать https трафик;
  • работа без агентов;
  • интеграция с существующим в организации антивирусом;
  • обязательно просмотрите встроенную отчетность. в случае Microsoft TMG докупалась лицензию на систему анализа логов – Internet Access Monitor;
  • возможность резать канал интернет на полосы;
  • на возможность решения поставленных перед вами задач.

Перед внедрением разверните тестовую версию продукта и протестируйте на ограниченном круге лояльных пользователей.

Источник: https://integrus.ru/blog/it-decisions/zashhita-korporativnoj-informatsii.html

Как обеспечить безопасность корпоративной компьютерной сети

Документальное оформление доступа сотрудников к корпоративным сетям

Как показывает отчет PricewaterhouseCoopers, в 2018 году компьютерные атаки являются первоочередной угрозой для бизнеса: они беспокоят 41% опрошенных. Годом раньше эту опасность респонденты PwC ставили лишь на пятое место по степени значимости.

А по статистике компании Positive Technologies, в IV квартале 2017 года почти 40% зафиксированных ею атак имели своей целью получить доступ к данным и в трети случаев мишенями были пользователи.

Защиту корпоративной сети должна наладить каждая компания, заботящаяся о своем бизнесе. А каркасом цифровой безопасности организации в настоящее время часто является UTM-система, включающая в себя межсетевой экран (firewall), предназначенный для защиты периметра сети.

Решение контролирует потоки данных между «большим интернетом» и внутренней сетью компании. В том числе блокирует нежелательный трафик по заранее заданным правилам.

К этому классу продуктов и относится универсальный шлюз безопасности Traffic Inspector Next Generation.

На текущий момент существует два базовых подхода к защите корпоративной сети:

  • построить собственную защиту периметра с нуля;
  • развернуть в локальной сети готовое UTM-решение.

Как у первого, так и у второго есть достоинства и недостатки. И какой выбрать — зависит от масштаба корпоративной сети, от доступного бюджета, от типа бизнеса, которому требуется защита. Разберем по очереди и тот и другой метод.

Своя система ближе к телу?Единственно верный выбор — распределенная оборона.

По первому впечатлению создание своего комплекса безопасности представляется самым надежным вариантом.

В общем виде такие проекты реализуются следующим образом: либо собственные IT-специалисты компании, либо подрядчик — системный интегратор строят на базе набора защитных устройств и программ контуры информационной обороны.

Под каждую задачу обеспечения цифровой безопасности подбирается отдельное решение или несколько, и они увязываются в единую систему. 

При основательном добросовестном подходе возможна гибкая адаптация доступных на рынке продуктов под профиль бизнеса, особенности его структуры, его специфику работы с данными. Но гладко бывает только в рекламных презентациях, а дешево — забежим вперед — не бывает никогда.

  • При грамотном планировании удается наладить бесшовную систему, в которой оптимизировано всё и вся. Вплоть до скорости передачи трафика.

Это повышает производительность системы, которая особенно важна в высоконагруженных сервисах, например, в платежных процессингах, где выполняются десятки тысяч операций в секунду.

  • Возможна адаптация защитного комплекса под конкретные задачи и под конкретные цифровые риски, характерные для сферы деятельности компании. Архитекторы систем компьютерной защиты знают, какие уязвимости чаще всего оказываются фатальными для финансовых, или медицинских, или промышленных структур, через какие участки защитного периметра, как правило, совершаются атаки. И знают, как залатать ту или иную брешь, где и чем усилить защиту корпоративной сети. UTM-решения «из коробки» выполняют большую часть задач кибербезопасности, но некоторые особенно экзотические — не до конца (или после длительной конфигурации, или с привлечением дополнительных средств защиты).

Распределенная и эшелонированная оборона

Хотя бывает, что единственно верный выбор — распределенная и эшелонированная оборона.

Например, если на страже спокойствия корпоративной сети стоит только UTM и киберпреступник получит удаленный доступ к нему, весь периметр окажется оголенным.

Так что какой-нибудь центр обработки данных (ЦОД) лучше всего снабдить многоуровневой системой безопасности, с использованием нескольких устройств и программно-аппаратных решений различной защитной функциональности.

С нуля, — значит, дорого. 

Загибаем пальцы:

  • закупка парка техники и программного обеспечения;
  • интеграция оборудования и ПО;
  • амортизация оборудования и продление лицензий на большое число машин.

Антивирусы, антиспам, веб-фильтры, системы фильтрации контента, DLP-службы, WAN-оптимизаторы, VPN-шлюзы, IPS и многое, многое другое, — в общей сложности все это тянет на десятки, а то и сотни тысяч долларов, особенно когда защите подлежит крупная и территориально распределенная инфраструктура.

Не у всякой компании найдутся бюджеты на столь масштабные работы. И не для всякой подобные инвестиции рациональны.

Внутри компании постоянно нужны ресурсы для того, чтобы «щит» выполнял свои функции. Мало построить собственную систему безопасности — нужно ее поддерживать в надлежащем состоянии. А это снова затраты, явные и неявные, — на содержание штата IT-специалистов.

Явные — это в первую очередь фонд оплаты труда.

В свою очередь, неявные хуже поддаются учету — например, дополнительные расходы вытекают из необходимости контролировать работу подразделения с точки зрения корпоративной безопасности: каким бы проницательным ни был ваш эйчар, ему не по плечу предугадать все неожиданности, которые влечет за собой человеческий фактор.

Согласно статистике «Лаборатории Касперского», 80% удавшихся кибератак обязаны своим успехом именно человеческому фактору — действию или бездействию конкретных людей внутри компании.

 И не всегда в проникновении внутрь корпоративной инфраструктуры прямо или косвенно виноваты рядовые пользователи: нередко ответственность лежит на администраторах сети, либо недостаточно компетентных, либо ситуативно принявших ошибочное решение, либо сознательно пошедших на должностное преступление.

Если уволить администратора или безопасника, есть риск, что тот не сумеет или не пожелает передать все тонкости «оборонной» конфигурации сети своему преемнику. Чтобы наработанные модели защиты оставались воспроизводимыми, необходимо документировать все процедуры и нововведения по линии цифровой безопасности, что означает — верно: дополнительные затраты.


Трудности с унификацией между используемыми программами и оборудованием

Распространена ситуация, когда под решение специфических задач приходится сводить воедино очень разное ПО и оборудование. Велика опасность получить на выходе «зоопарк» решений — с конфликтами между продуктами и рассинхронизацией обновлений.


Дублирование функций, а следовательно, снова лишние расходы плюс замедление системы

В последние годы наблюдается тренд на универсальные решения, предназначенные для обеспечения защиты корпоративной сети. Поэтому часто в защитном комплексе оказываются продукты, функциональность которых пересекается. Если не выполнить филигранную настройку всех компонентов контура обороны, одновременная работа доброго десятка решений может замедлять передачу трафика.

Проектирование и реализация собственной создаваемой с нуля системы безопасности целесообразны главным образом для крупных и очень крупных компаний, которые располагают соответствующими бюджетами, а главное — по объективным причинам не могут обеспечить себе достаточно надежной защиты иными способами.

Расшифровывается UTM как unified threat management, или универсальная система защиты от сетевых угроз. Она же шлюз безопасности. К данной категории решений относится и Traffic Inspector Next Generation. В числе прочего он обеспечивает:

  • защиту периметра сети с полным контролем статуса сетевых соединений;
  • автоматическое регулирование интернет-активности сотрудников;
  • организацию удаленного доступа к корпоративной сети с применением VPN;
  • работу прокси с мониторингом трафика на предмет цифровых угроз;
  • проброс портов, DNS-форвардинг и другие тонкие настройки взаимодействия машин из корпоративной сети с внешним миром.

Включает в себя защитные технологии, которых малому и среднему бизнесу достаточно для того, чтобы снизить опасность до статистически приемлемого уровня. В том числе, по крайней мере в случае Traffic Inspector Next Generation:

  • собственно файрвол;
  • антивирусные модули;
  • IDS/IPS;
  • службу мониторинга сетевой активности.

Раньше большинство решений такого типа работали с пакетами данных только на сетевом уровне, сегодня же многие современные межсетевые экраны умеют анализировать пакеты вплоть до седьмого уровня модели OSI.

Гарантия определенного уровня защиты. Будучи сертифицированным ФСТЭК России, UTM (и Traffic Inspector Next Generation не исключение) содержит лишь те защитные решения, которые входят в государственный реестр. Это чуть сужает выбор, зато задает планку качества.

Скоординированность работы модулей. В собранном с нуля защитном комплексе, как мы говорили ранее, возможны конфликты программ и оборудования. В UTM разработчики скрупулезно отлаживают взаимодействие модулей, поскольку те должны функционировать стабильно в самых разных условиях, в самых разных организациях. А значит, средняя устойчивость такой системы выше.

Значительно дешевле, чем внедрение индивидуальной, кастомизированной защиты. Продукт готовый и тиражируемый, поэтому по карману большинству предпринимателей и руководителей. А под конкретное сетевое окружение подгоняется за счет гибкого конфигурирования модулей.

Как правило, обладает наглядным интерфейсом, управление им понятно человеку без IT-бэкграунда. Для обслуживания UTM обычно достаточно одного системного администратора, а в повседневности работать с ним в штатном режиме сумеет и сам владелец небольшого бизнеса.

Скорость работы не всегда оптимальна. Это утверждение касается не всех UTM без исключения, но во многих действительно службы безопасности (система предотвращения вторжений, антивирус и прочие) при одновременной работе способны снижать быстродействие оборудования, на котором работают, и замедлять процесс обмена данными между интернетом и локальной сетью.

Не максимально возможная защита локальной сети от угроз внутренних. Например, от утечки данных. В крупных корпорациях для предотвращения подобных инцидентов применяют решения класса DLP (data leakage prevention).

Проблема не надуманная: в 2016 году компания InfoWatch зафиксировала 213 случаев утечек данных из российских компаний и государственных органов — на 80% больше, чем за 2015 год. 

С другой стороны, до состояния, в котором организация заинтересует действительно мощные хакерские группы, ей надо еще дорасти.

Иногда стандартизация создает и узкие места. 

Достоинство, которое способно обернуться недостатком. Не все хитрые узкоспециальные задачи UTM будет решать «из коробки», без дополнительных манипуляций.

UTM — своего рода «сторожевая башня», которая помогает обеспечивать защиту локальной сети от несанкционированного доступа и других цифровых угроз. 

Это решение выдерживает хакерские атаки, служит для предотвращения кражи информации, защищает машины в сети от вирусов и автоматически регулирует веб-активность «подшефных» пользователей. И в большинстве случаев его достаточно для создания высокого уровня информационной безопасности внутри компании.

Протестировать Traffic Inspector Next Generation в своей сети. Бесплатно в течение 30 дней

Источник: https://www.smart-soft.ru/blog/bezopasnost-korporativnoj-seti/

Доступ к корпоративной сети

Документальное оформление доступа сотрудников к корпоративным сетям

Сразу отметим, что системы защиты, которая 100% даст результат на всех предприятиях, к сожалению, не существует. Ведь с каждым днём появляются всё новые способы обхода и взлома сети (будь она корпоративная или домашняя). Однако тот факт, что многоуровневая защита — все же лучший вариант для обеспечения безопасности корпоративной сети, остается по-прежнему неизменным.

Компания СИНТО имеет свои разработки для защиты компьютерных систем и сетей, а также рассмотрим уровни защиты компьютера в корпоративной сети.

Кроме того, руководству компании следует регулярно проводить беседы и проверки по технике безопасности, ведь если сотрудники халатно относятся  к безопасности корпоративной сети, то никакая защита ей не поможет.

Защита корпоративной сети от несанкционированного доступа

  1. 1. Итак, в первую очередь необходимо обеспечить физическую безопасность сети. Т.е доступ во все серверные шкафы и комнаты должен быть предоставлен строго ограниченному числу пользователей. Утилизация жестких дисков и внешних носителей, должна проходить под жесточайшим контролем.

    Ведь получив доступ к данным, злоумышленники легко смогут расшифровать пароли.

  2. 2. Первой «линией обороны» корпоративной сети выступает межсетевой экран, который обеспечит защиту от несанкционированного удалённого доступа. В то же время он обеспечит «невидимость» информации о структуре сети.

В число основных схем межсетевого экрана можно отнести:

  • — использование в его роли фильтрующего маршрутизатора, который предназначен для блокировки и фильтрации исходящих и входящих потоков. Все устройства в защищённой сети имеет доступ в интернет, но обратный доступ к этим устройства из Интернета блокируется;
  • — экранированный шлюз, который фильтрует потенциально опасные протоколы, блокируя им доступ в систему.
  1. 3. Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует возможность проникновения в сеть «червей». В первую очередь необходимо защитить сервера, рабочие станции, интернет шлюзы и систему корпоративного чата.

На сегодняшний день одной из ведущих компаний по антивирусной защите в сети является «Лаборатория Касперского», которая предлагает такой комплекс защиты, как:

  • — контроль защиты рабочих мест – это комплекс сигнатурных и облачных методов контроля за программами и устройствами и обеспечения шифрования данных;
  • — обеспечение защиты виртуальной среды с помощью установки «агента» на одном (или каждом) виртуальном хосте;
  • — защита «ЦОД» (центр обработки данных) – управление всей структурой защиты и единой централизованной консоли;
  • — защита от DDoS-атак, круглосуточный анализ трафика, предупреждение о возможных атаках и перенаправление трафика на «центр очистки».

Это только несколько примеров из целого комплекса защиты от «Лаборатории Касперского».

  1. 4. Защита виртуальных частных сетей (VPN). На сегодняшний день многие сотрудники компаний осуществляют рабочую деятельность удаленно (из дома), в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN.

При этом категорически запрещено использовать ПО для удалённого доступа к рабочей сети.

Одним из минусов привлечения «удалённых работников» является возможность потери (или кражи) устройства, с которого ведется работы и последующего получения доступа в корпоративную сеть третьим лицам.

  1. 5. Грамотная защита корпоративной почты и фильтрация спама.

Безопасность корпоративной почты

Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг–атакам.

Основными способами фильтрация спама, являются:

  • — установка специализированного ПО (данные услуги так же предлагает «Лаборатория Касперского»);
  • — создание и постоянное пополнение «черных» списков ip-адресов устройств, с которых ведется спам-рассылка;
  • — анализ вложений письма (должен осуществляться анализ не только текстовой части, но и всех вложений — фото, видео и текстовых файлов);
  • — определение «массовости» письма: спам-письма обычно идентичны для всех рассылок, это и помогает отследить их антиспам-сканерам, таким как «GFI MailEssentials» и «Kaspersky Anti-spam».

Это основные аспекты защиты информации в корпоративной сети, которые работают, практически в каждой компании. Но выбор защиты зависит также от самой структуры корпоративной сети.

Источник: https://sinto.pro/services/it-infrastructure/bezopasnost/dostup-k-korporativnoy-seti/

Создаем корпоративный портал: как не потеряться в многообразии систем — Сервисы на vc.ru

Документальное оформление доступа сотрудников к корпоративным сетям

Обычно, корпоративные порталы ассоциируются с дорогим и сложным софтом от 1C-Битрикс, Websoft или Microsoft. Малому и среднему бизнесу не потянуть такие «тяжелые» решения, они больше подходят для крупных компаний.

В этой статье мы рассмотрим варианты корпоративных мессенджеров, а также обсудим платформы для аутентификации пользователей. Опишем шаги построения портала на реальном кейсе.

Для чего нужен портал?

Портал — это интерфейс для доступа сотрудников к корпоративным данным. В нем обмениваются документами и файлами, ведут календари встреч и переписываются. Это внутренний мир компании, он должен быть единым и, главное — удобным.

Чтобы расширить штат

Как начинается работа нового сотрудника? Он приходит на свое место и авторизовывается в куче сервисов и программ:

  • заходит в почту;
  • открывает гуглдиск или сервер с документами;
  • логинится в скайпе и слаке и тд.

Список может быть длинным. Особенно, если это специалист вроде дизайнера или разработчика, которому нужно много софта.

Хранении доступов и ссылок на рабочие сервисы и аккаунты становится проблематичным. Даже если выдавать сотруднику служебную технику, будет сложно переключаться между сервисами.

Чтобы структурировать работу

Очень важно, чтобы ваши файлы хранились в одном удобном и безопасном месте. Плюс у каждого сотрудника должен быть свой уровень доступа.

В удаленной работе нужно совместно редактировать документы и распределять задачи. Где ваши сотрудники будут это делать? Канбаны, ганты и аджайлы — для всего этого требуется понятная система.

После лета 2020 года эти вопросы будут особенно актуальны, так как многие из нас останутся на «удаленке».

Как это работает?

В идеале, корпоративный портал — это система с «одним окном» входа. У сотрудника есть один доступ, с ним он логинится в портале и далее ему доступны все программы и ресурсы компании. Само собой, в рамках его должности.

Корпоративный портал можно разработать на основе существующих платформ и сервисов. Сложность и стоимость зависят от:

  • Размера компании и количества отделов;
  • Типа инфраструктуры — облако или сервер;
  • Количества сервисов, которые нужно объединить в портале;
  • Платформы, на основе которой разрабатывается портал.

Главное, нужно понимать: строите ли вы портал исходя из функций платформы или исходя из задач компании.

Зачастую компании «заигрываются» функциями системы и не думают о том, как сотрудники будут в этом портале работать. Другая крайность — уходить в «жесткую» кастомизацию платформы под себя. Это выльется в большую стоимость внедрения и сложные работы по поддержке при каждом апдейте.

Пример нашего кейса

К нам обратился клиент — производитель светового оборудования. Сотрудники пробовали работать в корпоративном портале на базе Битрикс24, но было неудобно. К тому же у них вообще не было CRM, была только 1С для учета.

Задача клиента

Создать портал, чтобы сотрудник заходил через «одно окно» и пользовался CRM, Office 365, почтой, мессенджером, телефонией и календарем.

цель — не затащить людей в портал, а создать экосистему для удобства работы сотрудников. Чтобы они сами захотели в ней работать.

Вторая цель — урезать расходы на облачные сервисы и софт.

Решение

Мы планировали использовать единый аутентификатор на основе Google GSuite и создать к нему портал на платформе Creatio. Структура того, как это должно работать:

Первый вариант схемы работы

Схема работы портала по шагам:

  1. Пользователь логинится в Гугл-аккаунте через Authenticator
  2. Автоматически авторизовывается в Creatio;
  3. Может использовать все сервисы компании.

Обсудили с клиентом. Но переезд на GSuite оказался бы трудоемким, так как клиент активно использует софт Майкрософта и часть его уже оплачена. Решили делать на базе Microsoft Active Directory.

Active Directory — это каталог пользователей и устройств с их информацией. Он используется для построения структуры хранения данных компании.

Итоговая схема работы на базе Active Directory и Creatio

Когда поменяли Гугл на Майкрософт структура почти не изменилась, но добавился SharePoint — сервис обмена документами. Хоть SharePoint не такой удобный, как Гугл Документы, это все равно хороший софт для работы внутри компании.

Принцип работы аутентификатора

Авторизация в приложениях и сервисах происходит через протокол OpenID Connect. Он служит для того, чтобы оптимально использовать единый вход для своего приложения на различных платформах. После первой авторизации он хранит данные для входа в последующие сервисы. Эта технология реализована по принципу SSO (Single Sign On).

Выбор платформы

Сложность была в том, что «хотели все и сразу». Пришлось делить проект на итерации, чтобы наращивать функционал постепенно.

Мы выбирали между amoCRM и Creatio. Продажи можно было бы легко собрать на базе амо. Но чтобы сделать полноценный портал потребовалось бы очень много «костылей». Поэтому выбрали более гибкую платформу.

Creatio больше чем просто CRM: можно добавить почту, интегрировать мессенджер и любой другой серверный или облачный сервис. А главное — настроить отдельные разделы внутри системы.

Выбор мессенджера

Для проекта нужен был недорогой мессенджер, который можно интегрировать с порталом. Приоритет отвели opensource сервисам — их можно «развернуть» на своем сервере и не тратить деньги на подписку.

Рассматривали Slack, Rocket.Chat, Mattermost и MS Teams. Хотели интегрировать мессенджер через iFrame или сделать прямую интеграцию. Сравнили условия бесплатных тарифов — получилась таблица с параметрами.

Таблица сравнения корп.мессенджеров → сохраняйте себе, чтобы не потерять

Slack — бесполезен в бесплатном тарифе из-за ограничения в сообщениях. При штате в 10+ человек истории переписки практически не будет из-за ограничения в количестве сообщений. Крутой по функционалу мессенджер, но для бюджетного проекта не подходит.

Rocket.Chat. В бесплатной серверной версии все отлично. Единственный минус — на каждую команду нужно «поднимать» отдельный сервер, что неудобно.

Mattermost — чтобы добавлять новые команды не нужно делать отдельные сервера как в Rocket.Chat. Минус — отсутствие звонков, как аудио, так и видео.

MS Teams. Бесплатная облачная версия лучше Слака. Главный минус — нужно разрабатывать свою интеграцию для корпоративного портала.

Само собой серверные версии мессенджеров имеют преимущество перед бесплатными облачными. Им доступны почти все функции платных тарифов в бесплатном (Open Source) варианте. Но не стоит забывать, что для поддержки своего сервера нужны отдельные ресурсы.

В нашем проекте мы выбрали MS Teams, так как большая часть софта тоже от Майкрософт. У клиента были куплены лицензии Active Directory, а к ним поставляется MS Teams. Далее это расширяется за счет комплексной подписки на Office 365. В итоге «весь комплект» не влечет дополнительных издержек.

Запуск и вывод

Самая большая сложность в нашем проекте — связка Creatio и MS Teams. Готового решения по интеграции нет, поэтому мы разрабатываем его сами. На выходе получится удобный сервис для клиента. Для нас — готовое решение по связке MS Teams и Creatio.

Сейчас проект на стадии реализации. В июле мы запускаем MVP и тестируем его на фокус группе, смотрим, что удобно, а что нет. После тестов корректируем тех.задание по актуальным требованиям и «собираем» финальную версию.

Как вы думаете: в чем сложность внедрения корпоративных порталов?

Сложно объединить нужные сервисы

Корп. порталы — прошлый век

Это enterprise «с жиру бесится», нормальному бизнесу «оно» не надо

Источник: https://vc.ru/services/139236-sozdaem-korporativnyy-portal-kak-ne-poteryatsya-v-mnogoobrazii-sistem

Доступ к конфиденциальной информации | Разрешительная система доступа персонала к конфиденциальной информации

Документальное оформление доступа сотрудников к корпоративным сетям

В российском законодательстве особое внимание уделяется вопросам хранения и доступа к информации.

В первую очередь речь идет о работе сотрудников коммерческих и государственных организаций, у которых есть доступ к конфиденциальной информации – коммерческой и государственной тайне. Это создает риск утечки данных.

Примеры, которые хорошо иллюстрируют проблему – промышленный шпионаж и воровство технологий, несанкционированный доступ к базам данных клиентов банков.

Для того чтобы обезопасить информацию, принимаются обязательные меры по ее защите. Они описываются в Федеральном законе «О коммерческой тайне». Среди них можно выделить контроль за порядком получения информации и установление ограничительных мер, а также строгий учет всех лиц, которым доступны такие сведения.

Для соблюдения этих мер используются разрешительные системы доступа персонала организаций к информации.

Что такое конфиденциальная информация

Конфиденциальные данные – это информация, доступ к которой имеет ограниченный круг лиц. При этом те, кто получает конфиденциальные сведения, не имеют права раскрывать их третьим лицам без предварительной договоренности и согласия контролирующих органов. 

Организации ограничивают доступ к определенной информации из-за того, что она напрямую связана с коммерческим интересом предприятия или имеет ценность сама по себе.

Разрешительные системы

Разрешительная система доступа к информации – это комплекс мер, направленных на борьбу с несанкционированным доступом к данным (НСД). В каждой организации системы устроены по-разному, но, исходя из требований закона, у них есть общие черты:

  1. Выдвигаются определенные требования к тому, какие лица могут получать сведения: стажу работы и возрасту, наличию офицерского звания, рангу сотрудника;
  2. Персонал, получивший доступ к информации в государственных организациях – МВД, ФСБ, Миграционной службе РФ, находится под надзором органов. В частных организациях эта обязанность возложена на службу безопасности и специальные структурные подразделения;
  3. Информация хранится, обрабатывается и передается исключительно в защищенном виде для того, чтобы препятствовать НСД.

Для понимания того, как функционирует разрешительная система, нужно подробнее рассмотреть, как реализовывается каждая функция, возлагаемая на нее.

Нормативно-правовая база

Каждая разрешительная система опирается на свод нормативно-правовых документов организации, в котором описываются правила работы с защищаемыми сведениями, а также требования к лицам, которые получают конфиденциальную информации. 

От того, насколько проработана правовая база системы, зависит то, как успешно она будет функционировать.

В нормативно-правовых актах следует максимально детально отразить, как строится управленческая вертикаль организации (кто и каким образом выдает разрешение на доступ к конфиденциальной информации), описать требования к сотрудникам и указать перечень лиц, ответственных за управление конфиденциальной информацией.

Чем детальнее проработана нормативно-правовая база в организации, тем меньше риск утечки данных. Важно сделать так, чтобы каждое действие, связанное с защищенными данными, подвергалось контролю внутри организации.

В документах нужно перечислить сотрудников, которые могут санкционировать доступ к сведениям. При этом нужно разграничивать их полномочия. К примеру, директор имеет право предоставить разрешение на просмотр любых данных, в то время как руководитель отдела ограничен своей сферой деятельности.

Определение круга лиц, которые получают разрешение

Для защиты конфиденциальных сведений устанавливается строгий контроль за тем, кто входит в круг лиц, имеющих допуск к секретным сведениям. Сотрудникам организации выдвигаются требования, соразмерные с важностью сведений, к которым они имеют допуск. Обязательное требование – запрет на разглашение внутренней информации.

В зависимости от ценности защищаемых сведений, меняются требования.

К примеру, доступ к наиболее ценной информации могут иметь только доверенные сотрудники или персонал конкретных структурных подразделений организации, которым эта информация нужна для служебных целей.

В случае работы с государственной тайной работник часто не имеет права покидать пределы РФ. Запрет на выезд за границу – один из частных способов защитить ценные сведения от утечки.

Другие возможные требования к лицу, которое получает доступ к конфиденциальной информации:

  • возраст;
  • должность;
  • наличие офицерского звания (для государственной тайны);
  • стаж работы в организации.

Помимо этих требований, могут выдвигаться и другие. Все зависит от важности конфиденциальной информации и сферы работы организации.

Система контроля доступа также учитывает и ценность самих конфиденциальных данных.

Так, к менее значимым конфиденциальным сведениям допуск могут получать даже рядовые сотрудники, в то время как к более ценным только те, которые занимают руководящие должности.

Конкретный сотрудник должен получать разрешение на изучение только тех документов, которые нужны ему для выполнения служебных обязанностей. При этом в документообороте надо обязательно указывать перечень документов и сведений, к которым человек получил доступ, а также время его получения.

Во многих организациях сотруднику предоставляют частичное право на просмотр документов. Бывает так, что для выполнения работы не нужна полная версия документа. Это дополнительная мера, способствующая увеличению безопасности.

Контроль за сотрудниками, имеющими доступ к информации

Каждый работник, который получил допуск к информации, должен быть ответственным за ее сохранность. В случае несанкционированного доступа, ответственность за возникшие проблемы несут также и те, кто выдавал допуск на изучение сведений.

Наблюдением за сотрудниками, получившими разрешение на изучение конфиденциальной информации, занимаются специалисты, указанные в правовых документах организации. В коммерческих компаниях этим обычно занимается служба безопасности или другое специально созданное структурное подразделение.

Более строгий контроль осуществляется в государственных организациях. Лица, которые получают сведения, не всегда имеют право покидать пределы России. Допуск к документам выдается в зависимости от уровня их секретности («Секретно», «Совершенно секретно», «Особой важности»), а также ранга сотрудника (чем выше должность, тем выше доверие к лицу).

Разрешительная система предполагает постоянный учет. Записывается время предоставления доступа к конфиденциальным сведениям, указывается перечень лиц, которые его получали.

Кроме того, перечисляются конкретные положения документа, к которым пользователь получал допуск. Учет необходим для того, чтобы эффективней контролировать лиц, имеющих разрешение.

Кроме того, он помогает расследовать случаи утечки сведений и находить виновных.

Хранение, обработка и передача информации

Должностные лица обязаны контролировать документооборот организации и следить, чтобы никто не получил к нему несанкционированный доступ. Для этого конфиденциальные сведения должны передаваться по защищенным каналам связи и храниться надежным образом.

Физические документы ранжируются по грифам и располагаются в охраняемом месте, в пределах которого могут находиться только доверенные лица. Выдача документов для просмотра происходит под наблюдением уполномоченных сотрудников.

Если данные хранятся на электронных носителях, то они должна быть зашифрованной. Самая важная и засекреченная информация должна храниться на устройствах без подключения к Интернету. Допускается ее передача по локальной сети организации, но только в зашифрованном виде. Эти меры позволяют защитить сведения от НСД.

Порядок доступа к конфиденциальной информации

При получении доступа к конфиденциальной информации сотрудник делает прямой запрос руководителю. В нем он должен указать причины, по которым ему понадобилась закрытая информация. Иногда запрос предварительно проверяют сотрудники более низкого ранга и служба безопасности.

Для получения разрешения сотрудник обязан изучить нормативно-правовую базу организации, касающуюся секретных сведений. Кроме того, он подписывает документ, по которому на него накладываются дополнительные обязательства, в том числе требование о неразглашении секретных данных.

Документ, который разрешает доступ к информации, – это допуск, в котором перечислены лица, получающие его, и перечень сведений, которые им выдаются. На нем обязательно должна быть подпись руководителя или официальная печать. Обязательному протоколированию подлежат дата и время получения информации.

Допуск могут выдавать и другие лица – заместители руководителя и иные должностные лица. Они выдают разрешения только в пределах своих полномочий.

Доступ к конфиденциальной информации – важный вопрос как для коммерческих, так и для государственных организаций. Чтобы защитить сведения, в организациях вводятся разрешительные системы доступа к информации, которые позволяют уберечь секретные данные он несанкционированного проникновения к ним и предотвратить их утечку из-за сотрудников.

09.12.2019

Источник: https://searchinform.ru/resheniya/kontrol-dostupa-k-nestrukturirovannym-dannym-dag/kontrol-upravleniya-dostupom/dostup-k-konfidentsialnoj-informatsii/

О бухгалтерии
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: