Файловый контроль в StaffCop Enterprise

Один из наиболее важных и полезных модулей программного комплекса StaffCop Enterprise — «Файловый контроль». Он позволяет устанавливать тщательное наблюдение за папками и файлами, содержащими критически важную информацию: коммерческую и служебную тайну, документы, базы данных. Файловый драйвер перехватывает и может делать теневые копии файлов при работе пользователя с локальной файловой системой, с сетевыми дисками, со съемными носителями.

Контроль за файлами осуществляется двумя способами:

1. Есть обычный режим, который установлен по умолчанию и используется для всех файлов. Кроме того, имеется специальный модуль «Файловый контроль», который собирает полную информацию о файлах, для которых устанавливается специальный режим.

В обычном режиме инцидентом считается пересечение файлом периметра информационной безопасности: отправление файла на внешний электронный ящик, сохранение на облачном сервисе или загрузка на интернет-ресурс, отправление личной почтой, сохранение съемном носителе. Доступна вся информация о том, кто и когда совершил эти операции с файлом, а также теневая копия. Если подключен контроль принтеров, то мы увидим, когда файл отправляется на принтер и сколько копий распечатывается.

2. Для особо важных файлов может быть установлен режим особого контроля. В последних версиях системы появилась возможность контролировать любые файловые операции с файлами, на которых есть цифровые метки. Логируются все действия с такими файлами: открытие, изменение, сохранение в другом месте, перемещение внутри компании, сохранение в буфер обмена, отправление на внутренние и внешние электронные адреса, отправление по интернету и пр. И при любой операции сохраняется теневая копия файла. Это позволяет обеспечить документоориентированную (DCSM — Data Centric Security Model) защиту для помеченных документов, а также реализовать функции предотвращения утечек конфиденциальных данных любыми пользователями, которые не были определены в политиках доступа к защищаемым файлам. Для работы функций контроля и перехвата файловых операций нужно включить следующие модули: «Файловая активность», «Теневое копирование», «Перехват файлов с внешних носителей».

Файловый контроль в StaffCop Enterprise

Что вы получаете в итоге?

Относительно каждого файла вы видите, кто и как часто с ним работает, как файл перемещается по компании. Используя файловый контроль вместе с графом взаимосвязей, вы получите наглядную схему, как сотрудники обмениваются файлами, с указанием канала связи, которым они для этого пользуются. Программа зафиксирует фальсификацию данных или подмену сведений. Вы можете увидеть, кто интересуется файлом из сотрудников, которые не должны его открывать в рамках своих обязанностей.

Файловый контроль в StaffCop Enterprise

Если файл был нечаянно или с умыслом изменен, вы узнаете не только, кто и когда это сделал, но и сможете восстановить первоначальный вид документа. Модуль «Файловый контроль» дает основную информацию для расследования инцидентов. Кроме всех изменений и отправок файла, вы узнаете, был инцидент совершен сотрудником в одиночку или имел место сговор. Вот несколько примеров использования файлового мониторинга.

Наиболее распространённый кейс — контроль USB-накопителей.

Контроль съёмных носителей информации позволяет отслеживать, что и в каких объёмах пользователь копирует на USB-носители. По умолчанию происходит перехват всех файлов, скопированных на USB-носители и загруженных с них. Можно включить опцию листинга (перечисления с записью имён) файлов, находящихся на USB-носителе, а при необходимости — задействовать перехват (теневое копирование) всех файлов, которые находятся на USB-носителе при его подключении к ПК пользователя. В дополнение к функциям мониторинга и перехвата файлов на съёмных носителях можно задать политику блокировки доступа к функциям записи на съёмные носители и функцию полной блокировки USB-носителей.

Второй распространённый кейс — контроль доступа к файлам, находящимся на локальном / сетевом диске и уведомление о таких операциях офицера безопасности.

Например, политикой компании запрещён доступ в рабочее время к файлам с расширением mp3 / wma / mp4 и т. п., находящимся на локальных дисках пользователей, т. е. к файлам мультимедиа. При возникновении таких событий администратору системы высылается уведомление, в котором будет указано, какой из пользователей в какое время читал (т. е. прослушивал / просматривал) файлы мультимедиа на рабочем месте.

Отдельный вариант этого способа — обнаружение людей, которые занимаются подработками на рабочем месте. Это возможно, если настроить оповещение о том, что пользователь начал работать с графическими файлами за пределами рабочего каталога. Это сигнализирует о том, что, возможно, пользователь в это время выполняет «левый» заказ. Такая функция актуальна для проектных организаций, где время сотрудников стоит дорого, а оборудование и ПО зачастую уникальны.

Файловый контроль в StaffCop Enterprise

Третий вариант использования файлового мониторинга — работа с файлами по поиску похожих документов.

Поиск похожих — функция, интегрированная в интерфейс для расследования инцидентов. Она помогает найти похожие строки или документы по любым текстовым полям в событиях. Поиск осуществляется по всему накопленному архиву информации. Для загрузки документов, аналоги которых нужно найти, существует специальный интерфейс.

Поиск похожих может дать представление не только о документах, схожих по содержимому, но и визуализировать пути распространения документа в информационном потоке компании. Можно увидеть, когда документ был впервые использован, кому был передан, кем был изменён и кто к нему имел доступ. Найденные похожие документы при этом могут быть с изменённым именем или форматом относительно исходного файла, который был загружен как эталон. В случае перехвата файла можно будет увидеть и проиндексировать содержимое такого файла или файлов. С помощью этой функции решается вопрос быстрого поиска информации на основе существующего набора важных документов.

Четвёртый кейс использования файлового мониторинга -работа с помеченными файлами.

Для пользователя работа с файловой системой выглядит прозрачно, при достижении лимитов — пользователю будет показано стандартное сообщение об ошибке файловой системы. На основе меток можно обеспечить любые блокировки по атрибутам файлов и пользователей. Можно запретить чтение файлов, запись файлов, изменение файлов, а также реализовать различные варианты таких запретов.

Для настройки особого контроля все файлы, которые должны быть под таким контролем, должны быть помечены специальной утилитой, поставляемой с продуктом StaffCop Enterprise. После пометки файлов в силу вступают правила работы пользователей / программ и компьютеров с помеченными файлами. Например, можно запретить читать / писать / перемещать файлы с метками для пользователей, которым нельзя работать с защищаемыми файлами, но определенным пользователям эти операции можно разрешить.

Таким образом, начальник отдела может, например, отправить важную информацию своим подчинённым, но запретить передачу этих данных за пределы организации или даже отдела, в котором эти документы должны остаться. Если задать корректно задать правило, пользователи получившие такие файлы, могут, например, только ознакомиться с такими документами, но не могут их изменить или открыть с помощью других средств для просмотра документов. В данный момент работа с метками поддерживается только для документов MS Office / OpenOffice.

При первых признаках подозрительных действий можно установить полный контроль за действиями сотрудника с помощью функции «Удаленный доступ». Такая возможность помогает определить, действует сотрудник в рамках должностных обязанностей или совершает противоправные действия. В особых случаях «удаленный доступ» позволяет перехватить управление пользовательским компьютером и не дать совершить серьезное нарушение. На данный момент одновременно можно наблюдать за 16 рабочими станциями с помощью функции «Квадратор».

Файловый контроль в StaffCop Enterprise

В системе StaffCop Enterprise имеются возможности, которые, будучи совмещены с файловым контролем, дают небывалый уровень расследования инцидентов практически в режиме реального времени. Например, в версии 4.4 внедрены такие инструменты, как распознавание текста и возможность выгрузки информации из StaffCop. Теперь вам не нужно тратиться на дополнительные лицензии программ распознавания текста. Эта возможность, вместе с поиском по ключевым словам, помогает искать конкретную информацию в перехваченных файлах.

Стоит отметить, что особый контроль стоит подключать только к самым важным файлам. Хранение теневых копий всех файлов, которые открывают ваши сотрудники в течение дня, занимает большой объем памяти. А если еще сохранять файлы при внесении изменений, для этого требуются весьма значительные ресурсы.

Файловый контроль — один из наиболее востребованных функциональных блоков программного комплекса StaffCop Enterprise. В сочетании с другими инструментами он дает возможность полного расследования инцидента. А с помощью гибкой настройки фильтров и мощной аналитики вы получите удобный инструмент поддержания информационной безопасности.