Шаг 1. Обнаружить все данные внутри компании

На первом этапе систему подключают к хранилищам компании и выявляют все документы, которые хранятся на ПК сотрудников, файл-сервере, в корпоративных облаках и т.д. Система «увидит» все: кадровые, бухгалтерские документы, финансовые отчеты, приказы начальства, персональные данные сотрудников и клиентов, коммерческие договоры и др. «СёрчИнформ FileAuditor» дотянется до всех возможных источников этих данных. Система локально проверит ПК и файл-серверы на Windows и Linux, а также по сети подключится к любым NAS и облакам по протоколам SSH, SMB, FTP, HTTPS, WebDAV, S3 и др.

Далее FileAuditor распределит данные по категориям: персональные данные, коммерческая тайна, договоры и т.д. Для этого система проверяет содержание файлов по тексту, регулярным выражениям, цифровым отпечаткам, оценивает, насколько данные схожи по смыслу с образцом и пр. «СёрчИнформ FileAuditor» поставляется с 450+ готовыми правилами классификации (их можно редактировать или создать новые).

Затем каждому файлу система присваивает соответствующую метку, которая не исчезнет, даже если сотрудник решит переименовать или дополнить документ. ИБ-специалист может быстро оценить в программе, какие данные перемещаются в компании и где они хранятся. Одному документу система может присвоить сразу несколько меток, например, персональные данные и финансовая отчетность.

Автоматическую классификацию можно дополнить метками, видимыми для пользователей, чтобы они понимали уровень доступа к файлу. Их могут поставить сами сотрудники, если ИБ-отдел откроет доступ к этому функционалу.

Шаг 2. Узнать, кто и как работает данными

На втором этапе FileAuditor помогает защитить документы от неправомерного доступа. Для этого ИБ-специалисту нужно видеть, кто, где, когда и как работает с файлами. Например, не всем сотрудникам нужны персданные клиентов для выполнения рабочих задач. А неограниченный доступ к ним может привести к утечке, значит – его нужно ограничить.

FileAuditor фиксирует все действия с файлами, которые совершают сотрудники, и показывает список пользователей и групп, которым открыт доступ к конкретным директориям и файлам. И наоборот: по пользователю или группе ИБ-специалист может просмотреть все документы, с которыми они могут работать. Для каждого файла видны действия, которые с ними совершают пользователи: редактируют, используют в режиме «чтение», удаляют, переименовывают и пр.

В случае контроля локальных серверов и ПК, эту информацию DCAP получает прямо из файловой системы. Для сетевых хранилищ система сканирует внешние журналы файловых операций – например, Windows или NetApp.

В «СёрчИнформ FileAuditor» можно создать политику безопасности и настроить уведомление, если с файлом произойдет инцидент. ИБ-специалист получит оповещение, если конкретный файл попытаются изменить, скопировать, переместить в другую папку, удалить и пр.

Кроме того, DCAP ведет мониторинг прав доступа к файлам. Система должна определять, какие документы нуждаются в дополнительной защите, и выявлять избыточные привилегии пользователей.

«СёрчИнформ FileAuditor» автоматически вычитывает пользовательские права доступа к файлам и позволяет выявить их несоответствие установленным в организации правилам. Система показывает, какие файлы и папки доступны сотрудникам и группам, отслеживает общедоступные директории, учетные записи пользователей с полными правами на файл и т.д. Также информация о пользовательских разрешениях доступна в отчетах «Права доступа к ресурсам» и «Владельцы ресурсов». А отчет о наследовании прав наглядно отобразит, как распределены права пользователей на подпапки и файлы внутри крупных директорий и укажет на ошибки наследования.

Кроме того, FileAuditor интегрирован с ActiveDirectory и получает оттуда информацию о том, как администраторы домена меняют пользовательские права доступа.

Шаг 3. Настроить проактивную защиту

На третьем этапе настраивается защита файлов. Для этого в FileAuditor есть два способа.

• Управление правами пользователей средствами ОС

  По результатам аудита прав в системе можно изменить разрешения на доступ к выбранным файлам и папкам. Например, ИБ-специалист сможет закрыть доступ в папку с файлами с меткой «Финансовая отчетность» для всех, кроме пользователей из группы «Бухгалтерия». Сотрудникам, которым информация нужна только для ознакомления, разрешить только чтение, а изменение и удаление файлов – запретить.

• Контентные блокировки

  В FileAuditor есть контентные блокировки. ИБ-специалист может настроить их для конкретных приложений: кому, на каких ПК и в каких приложениях с ними разрешено или запрещено работать. Ограничения можно задать для каждой категории документов. Этот способ будет работать для любых приложений, в том числе самописных. Например, если настроен запрет на чтение файлов из категории «Для служебного пользования» в MS Outlook, то пользователь не сможет прикрепить такой документ к письму при отправке.

Для подстраховки в «СёрчИнформ FileAuditor» доступно архивирование документов с выбранной меткой. FileAuditor хранит несколько редакций файла и в случае необходимости позволяет восстановить документ, даже если сотрудник изменит или удалит его.