Мой друг работает в компании, где не до конца улажены все вопросы с сотрудниками.

Некоторые сотрудники предпринимают попытки коммерческого шпионажа в пользу конкурентов компании. При этом почти каждый сотрудник время от времени подходит к компу, чтобы что-то в него ввести, а также время от времени некоторые сотрудники остаются наедине с компьютером в своем помещении.

В этой ситуации весьма сильно уязвимым местом в информационной безопасности компании является USB порт, в который можно вставить USB flash drive.

За $50 в Москве можно купить 128 Мбайтный брелок, который при подключении в порт без драйверов (?) и внешнего электропитания становится логическим диском компьютера (даже для windows 98 se ?).

Можно ли сделать так, чтобы вмонтированным в материнскую плату USB портом нельзя было воспользоваться в этих целях?

Есть ли программное или аппаратное обеспечение для предотвращения уноса информации?

                

MNT, Вы писали:

> Мой друг работает в компании, где не до конца улажены все вопросы с сотрудниками.

1. Уладить "все вопросы с сотрудниками".

Что значит:
> Некоторые сотрудники предпринимают попытки коммерческого шпионажа в пользу конкурентов компании.
???

Кого-то на этом деле поймали и он еще сотрудник???
Или это повальное явление.

Решать проблемы безопастности на уровне технологии, пока эти проблемы не решены на социально-оргинизационном уровне, все равно как "лечить" последствия лучевой болезни косметикой.

> При этом почти каждый сотрудник время от времени подходит к компу, чтобы что-то в него ввести, а также время от времени некоторые сотрудники остаются наедине с компьютером в своем помещении.

Извини я не понял, там что один комп на всех?
В таком члучая не держать важные документы на "проходном" компе, а работать с ними с внешнего носителя, на пример, Zip Drive.

> В этой ситуации весьма сильно уязвимым местом в информационной безопасности компании является USB порт, в который можно вставить USB flash drive.

Не, уязвимым местом здесь помимо организационого устройства, является операционая система Win 98 (если я правильно понял). Она не предназначена для использования в офисах, и не имеет в себе средств к защите информации, разграничения доступа и т.д.
Надо ставить что-то более подходящее: NT, 2000, Xp Professional или более радикально сервер с Юниксом.

> За $50 в Москве можно купить 128 Мбайтный брелок, который при подключении в порт без драйверов (?) и внешнего электропитания становится логическим диском компьютера (даже для windows 98 se ?).

Точно не уверен, но думаю драйвера они все же ставят, просто несут их на себе. Тогда на NT, 200, XP Prof, можно отобрать у обычных пользователей право инсталировать новые драйвера - девайсы ( если какой-то растакой администратор им такое право дал) или/и отключить USB порты в Hardware Profile.

> Можно ли сделать так, чтобы вмонтированным в материнскую плату USB портом нельзя было воспользоваться в этих целях?

См. выше.

> Есть ли программное или аппаратное обеспечение для предотвращения уноса информации?

Валом, и в первую очередь, правильные операционки. Потом идут, если они не включены в операционку, средства разграничения доступа, аудита (фиксации действий пользователей), криптозащиты.

P.S.
Можите посмотреть документацию на материнскую плату, скорее всего, там будут джамперы отключающие USB порты, или на крайний случай в CMOSе, но это все борьба не сболезнью и даже не с симптомами будет.

                

Братец Дыкъ, Вы писали:

> Что значит:
> > Некоторые сотрудники предпринимают попытки коммерческого шпионажа в пользу конкурентов компании.

> Кого-то на этом деле поймали и он еще сотрудник???
> Или это повальное явление.

"Это" сделали 2 человека. Один из которых уже не сотрудник. Второго уволить не могут - слишком ценный специалист.

> Решать проблемы безопастности на уровне технологии, пока эти проблемы не решены на социально-оргинизационном уровне, все равно как "лечить" последствия лучевой болезни косметикой.

Согласен. Но не я разговариваю с сотрудниками. Я имею дело только с железом.

> Извини я не понял, там что один комп на всех?

Нет, у нас компов больше, чем людей. Но для одного отдела комп все же один на отдел.

> В таком члучая не держать важные документы на "проходном" компе, а работать с ними с внешнего носителя, на пример, Zip Drive.

Нет, у нас люди работают с документами, и они должны с ними работать. А вот уносить - нет.

> Валом, и в первую очередь, правильные операционки. Потом идут, если они не включены в операционку, средства разграничения доступа, аудита (фиксации действий пользователей), криптозащиты.

А какие есть средства фиксации действий пользователя? Хотелось бы услышать ответ, подкрепленный опытом.

                

MNT, Вы писали:
> Братец Дыкъ, Вы писали:
>
> > Что значит:
> > > Некоторые сотрудники предпринимают попытки коммерческого шпионажа в пользу конкурентов компании.
>
> > Кого-то на этом деле поймали и он еще сотрудник???
> > Или это повальное явление.
>
> "Это" сделали 2 человека. Один из которых уже не сотрудник. Второго уволить не могут - слишком ценный специалист.

Для меня это как научная фантастика.

> > Решать проблемы безопастности на уровне технологии, пока эти проблемы не решены на социально-оргинизационном уровне, все равно как "лечить" последствия лучевой болезни косметикой.
>
> Согласен. Но не я разговариваю с сотрудниками. Я имею дело только с железом.
>
> > Извини я не понял, там что один комп на всех?
>
> Нет, у нас компов больше, чем людей. Но для одного отдела комп все же один на отдел.
>
> > В таком члучая не держать важные документы на "проходном" компе, а работать с ними с внешнего носителя, на пример, Zip Drive.
>
> Нет, у нас люди работают с документами, и они должны с ними работать. А вот уносить - нет.

А печатать их? Что им мешает унести те же данные на бумаге?
Да и простого пересказа часто бывает достаточно, оосбенно если тот кто пересказывает компетентен в том что он пересказывает, т.е. понимает какая часть данных является более важной, а какая менее.

> > Валом, и в первую очередь, правильные операционки. Потом идут, если они не включены в операционку, средства разграничения доступа, аудита (фиксации действий пользователей), криптозащиты.
>
> А какие есть средства фиксации действий пользователя? Хотелось бы услышать ответ, подкрепленный опытом.

Дык, на счет опыта, извини, я программер, а не администратор, никогда на практике не занимался защитой информации, кроме как встраивал механизмы для этого в свои программы.

В NT 4.0, из под которой я сейчас пишу, можно включить аудит доступа к файлам. Который будет фиксировать кто и когда пытался получить доступ к файлам (в директориях где эта фича включенна) и записывать это в event log.
Наверняка есть программы, которые расширяют этот сервис, но я такие никогда не искал.

                

Братец Дыкъ писал:
> 1. Уладить "все вопросы с сотрудниками".
...
> Решать проблемы безопастности на уровне технологии, пока эти проблемы не решены на социально-оргинизационном уровне, все равно как "лечить" последствия лучевой болезни косметикой.

Это точно, это перво-наперво, без этого любые средства защиты не имеют смысла. В конце концов, при наличии подходящей шпионской техники считывать информацию можно и прямо с экрана.

> Не, уязвимым местом здесь помимо организационого устройства, является операционая система Win 98 (если я правильно понял). Она не предназначена для использования в офисах, и не имеет в себе средств к защите информации, разграничения доступа и т.д.
> Надо ставить что-то более подходящее: NT, 2000, Xp Professional или более радикально сервер с Юниксом.
>
> > За $50 в Москве можно купить 128 Мбайтный брелок, который при подключении в порт без драйверов (?) и внешнего электропитания становится логическим диском компьютера (даже для windows 98 se ?).
>
> Точно не уверен, но думаю драйвера они все же ставят, просто несут их на себе. Тогда на NT, 200, XP Prof, можно отобрать у обычных пользователей право инсталировать новые драйвера - девайсы ( если какой-то растакой администратор им такое право дал) или/и отключить USB порты в Hardware Profile.
....
> Можите посмотреть документацию на материнскую плату, скорее всего, там будут джамперы отключающие USB порты, или на крайний случай в CMOSе, но это все борьба не сболезнью и даже не с симптомами будет.

Windows 2000 и Windows XP действительно подключают USB drives "на лету". Поэтому отключать порты USB придётся действительно в BIOS (в случае Windows 9x) или ВО ВСЕХ Hardware Profiles (для Windows 2000, XP).
При этом надо помнить, что парольная защита BIOS крайне ненадёжна, т.к. легко может быть снята человеком, имеющим физический доступ под кожух компьютера.

Кроме того, необходимо исключить доступ пользователей в Интернет по корпоративной сети, исключить возможность подключения модемов через инфракрасные порты, COM, и т.д.

                

Виталий Харитонов, Вы писали:
> При этом надо помнить, что парольная защита BIOS крайне ненадёжна, т.к. легко может быть снята человеком, имеющим физический доступ под кожух компьютера.
Или вообще просто этот человек может знать просто системные пароли BIOSа.

Можне еще в качествое некоторой защиты запертить доступ к невинчестерным дискам, а точнее определить буквы дисков которые будут видны в виндах.Это делается через реестр, специальными програми "тонкой настройки" виндов, типа x-teqx.

                

Пабло, Вы писали:

> Можне еще в качествое некоторой защиты запертить доступ к невинчестерным дискам, а точнее определить буквы дисков которые будут видны в виндах.Это делается через реестр, специальными програми "тонкой настройки" виндов, типа x-teqx.

Не нашел в интернете ничего о x-teqx... Не уточните ли название этой утилиты?

                

Простите, что долго не отвечал.
Прямая ссылка тут http://downloads.planetmirror.com/pub/majorgeeks/allinone/xq-xsetup-63.zip. Прочитайте про программу на странице http://www.majorgeeks.com/article.php?sid=127&cat=1.

                

Мне еще кое что подсказали, у компьютеров с win2000 можно в логине администратор отключить USB, а те кто могут украсть информацию, по идее должны входить под другими логинами. А для тех машин, на которых win98 если у них корпуса AT, то можно просто вытащить из корпуса заглушку в копрусе с USB, которая подлючена шлейфом к плате. если на компьютерах она (заглушка) есть.