Skip to main content
Все материалы

Знакомство с решением Microsoft по предотвращению утечек данных

Оценить: 

Дата публикации: 13 июля 2015 года

В современном мире обмен информацией всё более ускоряется. Уже совершенно спокойно сотрудники организаций в процессе работы, да и в обычной жизни, часто обмениваются документами, фотографиями и просто сообщениями в социальных сетях, зачастую не придавая значение дальнейшей судьбе данных. Но если задуматься на своих жизненных примерах, как часто в пересылаемых файликах любимого Word или Excel содержится что-то секретное? А может на фотографии запечатлены моменты приятные вам, но вовсе не желательные для просмотра посторонним?

Если такие вопросы все чаще всплывают в голове — пора подумать об защите своих данных. Для начала надо распределить всех людей, с которыми обмениваетесь информацией, на некоторые группы. Простым примером будет хотя бы разбивка людей на доверенных, с которыми обсуждаются важные и деловые вопросы, сотрудников, которые должны работать с документами для выполнения своих задач и остальных. В остальных можно включить и внештатного сотрудника, который не подчиняется вам на 100 %, и партнера, которому надо высылать предложения или заявки, а также всех остальных людей, чтобы просто неизвестные люди не смогли случайно прочитать ваши документы.

Окинув взглядом свою компанию, можно довольно быстро и понятно определить кто есть кто, возможно ещё дополнительно разделив несвязанные отделы на подкатегории. Составить список внешних партнеров тоже по силам каждому.

Не всем нужен одинаковый доступ к информации.

Определив участников нашего документооборота, пора разобраться в наших данных. Никто кроме вас не скажет — что надо защищать, а что нет. Возьмём для примера наиболее распространенные виды документов. Коммерческие предложения, шаблоны договоров и специальных предложений, списки клиентов и контактов — обычные ежедневно используемые документы. Вот, например, был случай при реорганизации компании с новым штатным расписанием. Ещё не утверждённую «штатку» заметили рядовые сотрудники организации, и в курилке начались обсуждения — кто останется, а кто нет. Руководитель был изрядно расстроен таким фактом, не критичным, но и довольно неприятным.

Другой пример важных данных — ваша наработанная годами база проектов, смет или других сложных расчетов. По сути — ваш жизненный опыт в компании, опираясь на который ваши сотрудники быстро могут решать новые задачи. Знакомо? Надо защищать от конкурентов?

Что имеем? Документы, чертежи и много фотографий.

Подумали над документами — пора посмотреть, как же они хранятся. На компьютерах сотрудников, без этого никуда. На вашем сервере в папках отдела и его архивах. В переписке в соцсетях. В почте. Часто сотрудники, что-то вспоминая, находят это в отправленных или полученных сообщениях? А сколько облачных хранилищ, теперь и не сосчитать, и Яндекс.Диск, и dropbox, и OneDrive. Да даже персональные домашние роутеры уже такое умеют. А флешки и внешние диски? Да и телефон, чем не флешка?

С одной стороны, делать нечего — все так живут, и ничего. С другой, что делать пока не ясно, а если что-то делать, то это что-то, видимо, будет недешево. Но как-то же раньше справлялись?

Тут следует вспомнить историю про Неуловимого Джо, он никому не нужен —его никто не ловит. Но насколько сейчас низок порог вашей нужности, после которой это защита исчезнет? Оцените примерный объем ваших данных. Сколько их получается: 20 ГБ, 200 ГБ, или даже 500 ГБ? А знаете, что стоимость внешнего жесткого диска на 1000 ГБ сейчас менее 4 000 руб? А заметите ли вы, что кто-то из сотрудников скопировал все ваши файлики, до которых смог дотянуться? Даже не особо разбираясь, что там в них. И получается, что всех затрат на получение ваших данных не так уж и много. Достаточно недовольного сотрудника и диск.

Да, объёмы карманных дисков впечатляют.

И вот, вы, крепко подумав, решились принять меры. На слуху такие названия как DLP (Data Leak Prevention), IRM (Information rights management). К счастью, не обошла стороной такую технологию и компания Microsoft. Но, к сожалению, в отличие от названий фильмов, к которым русские названия выдумывают заново для привлечения внимания, свою технологию Microsoft перевели для нашего рынка прямо, и звучное для англоязычных людей название Active Directory Rights Management Services (AD RMS) назвали «Службы управления правами Active Directory», что не очень понятно. На деле же, правильный перевод на наш родной язык должен быть какой-то такой: «Служба управления постоянным контролем доступа к информации на основе Active Directory» (Active Directory — это вкратце БД ваших пользователей). Теперь стало интересно. Постоянный контроль — это уже звучит.

Технически это реализовано достаточно просто: все файлы, которые вы посчитаете важными, распространение которых, как мы убедились ранее, возможно и даже неизбежно, надо защитить. Как защитить так, чтобы защита работала вне зависимости от того, где эти файлы окажутся? Ответ один — зашифровать. Зашифрованный файл можно копировать, рассылать по почте — все привычные методы распространения будут работать.

Если каждый файлэто сейф, как не запутаться в ключах?

А как работать с такими файлами? Тут-то и помогает служба RMS — именно она будет выдавать пользователю временный ключик каждый раз, когда пользователь будет открывать этот файл. (Конечно предусмотрен доступ к файлу и без связи со службой RMS, но об этом в другой раз.) Мало того, ключик будет не простой, а с перечнем — что этому конкретному пользователю можно делать с этим конкретным документом. Например: только просмотреть и не дать распечатать и исправить.

Также можно указать дату, после которой документ не откроется ни для кого, кроме автора. Это, например, полезно для приказов, привязанных к дате, когда точно будет перекрывающий его приказ, что позволяет отсечь даже возможность открыть заведомо недействительный документ. Или коммерческое предложение, которое через неделю должно превратиться в пшык. Мало ли кто его потом откроет и неправильно истолкует.

Права можно назначать не только конкретным пользователям, но и группам пользователей. Причем состав группы может изменяться, ведь сотрудники приходят и уходят или перемещаются по отделам. Это не значит, что надо бежать и обновлять права на всех ваших документах. Таким образом, можно спокойно сделать документ, который смогут редактировать пользователи отдела кадров и гарантированно только читать остальные сотрудники.

Результат применения шаблона прав.Word честно только показывает.

Стало понятнее, но опять надо какие-то группы, пользователи, какая-то Active Directory. Да ещё и ключи теперь выдаёт непонятно кто, а документы то — мои. А если что? То что? Это точно не для меня. А если не расшифруется? Страшно? Конечно страшно. А если узнать, что эта технология была ещё в далёком 2003м году во времена Windows XP и Nokia 3310? Почему раньше об этом было не слышно?

Но не всё так плохо. Начнём с простого. С недавних пор Microsoft сделала продукт: RMS для индивидуальных пользователей. Это расширение к ОС, которое позволяет сделать многое из рассказанного, а учетной записью будет ваш LiveID, он же ныне Microsoft Account (а в скором времени будут и учетная запись Google).

Для персонального использования доступны основные права для получателя. Они позволяют воплотить обычные жизненные ситуации, чтобы избежать дальнейшее распространение документа.

Пользоваться этим уже можно на компьютерах с Windows и Mac, а документы будут доступны и на мобильных телефонах и планшетах. Сервисом выдающим ключики в этом случае будут серверы Microsoft. Итак, можно уже, вот прямо сейчас и сразу, попробовать защитить документ и отправить конкретному человеку и быть уверенным, что кроме вас двоих его никто не сможет прочитать.

И даже телефоны уже умеют работать с защищенными документами.

Для маленькой компании, не имеющей своих серверов, можно использовать платную подписку Office 365. Кроме знакомых возможностей в части RMSдобавляются шаблоны прав, что позволит защищать однотипные документы без быстро надоедающего выбора, кому и что дать.

Ну и больше всех преимуществ получают организации со своими серверами. Тут уже и собственный сервер ключей, шаблоны и обычные способы управления. А также широкие возможности автоматической защиты без участия пользователей. Можно как защищать документы по их типу, содержанию или расположению, так и снимать защиту, например, перед рассылкой предложений вашим клиентам, дабы не пугать их лишними окошками.

В любом из этих случаев, перед тем как начать пользоваться этим способом контроля документов, необходимо спланировать будущую работу и схемы перемещения документов, а также способы обеспечения сохранности всей службы. Остаться с зашифрованными документами без возможности их расшифровать было бы большой утратой.

Итак, где же это всё посмотреть?

Для персонального использования подойдёт Microsoft Rights Management for individuals.

https://portal.aadrm.com/ — сам портал.

http://blogs.technet.com/b/rms/archive/2013/07/31/introducing-rms-for-individuals.aspx — подробности.

Для небольших компаний, использующих Office365:

https://technet.microsoft.com/en-us/library/dn569291.aspx — описание использования

Для компаний, имеющих свои сервера:

https://technet.microsoft.com/en-us/library/hh831364.aspx

Появился интерес? Пригласите ближайшего партнера для дальнейшего знакомства с технологией защиты данных.

https://www.microsoft.com/ru-ru/partner/experts/

Автор статьи: Андрей Каптелин

 

Данный материал написан участником сообщества. В статье представлено мнение автора, которое может не совпадать с мнением корпорации Microsoft. Microsoft не несет ответственности за проблемы в работе аппаратного или программного обеспечения, которые могли возникнуть после использования материалов данной статьи.