Результат интеллектуальной деятельности: СИСТЕМА И СПОСОБ ПРИМЕНЕНИЯ ПОЛИТИК БЕЗОПАСНОСТИ К НАКОПИТЕЛЮ В СЕТИ

Область техники

Изобретение относится к решениям для обеспечения безопасности конфиденциальных данных, а более конкретно к системам и способам применения политик безопасности к накопителю в сети.

Уровень техники

В настоящее время число устройств, используемых в корпоративной локальной сети, стремительно растет. Наряду с компьютерами и ноутбуками используются смартфоны, планшеты, коммуникаторы. Каждое устройство имеет встроенный носитель информации, а также есть и отдельные устройства - носители информации. Носители информации обычно называют накопителями. Накопители могут быть подключены к разным компьютерам и использованы для хранения и переноса информации. Почти на каждом накопителе, используемом внутри корпоративной сети, присутствуют конфиденциальные данные, которые не должны попадать за пределы сети.

Обеспечение защиты данных при использовании накопителей достаточно обширная задача. Необходимо определять политики безопасности для накопителя в отдельности или для группы накопителей, проводить мониторинг использования, сохранять историю владения, иметь возможность назначать политики безопасности для устройства. Политики безопасности могут содержать как политики доступа к устройству, так и политики шифрования. Политики безопасности могут назначаться в зависимости от различных критериев использования накопителя, например, в зависимости от того, кто владелец (кому был выдан накопитель), в каком сегменте сети используется накопитель, на каких компьютерах используется накопитель, какой тип накопителя.

Сама идея ограничения доступа к данным не нова. Так, публикация US 8341717 B1 описывает динамическое назначение сетевых политик устройствам на основании классификации. Устройства опознаются на основании цифровых сертификатов, и в зависимости от классификации сертификата устройству предоставляется доступ к различным услугам.

Заявка US 7606801 B2 описывает методы управления политиками безопасности в сетях с разными уровнями доступа к файлам, сбора данных о действиях пользователей и предупреждения о подозрительной активности пользователей.

Описываемые способы позволяют обеспечить безопасность данных в корпоративной сети, в которой используются данные устройства, но не обеспечивают безопасность хранящейся на устройствах информации и не предотвращают возможные утечки информации в случае выноса устройств за пределы корпоративной сети.

Предлагаемая система и способ позволяют управлять доступом к накопителю, а именно: применять политики шифрования, применять политики использования в зависимости от критериев использования и сохранять историю использования накопителя в течение всего жизненного цикла накопителя.

Сущность изобретения

Технический результат настоящего изобретения заключается в повышении безопасности корпоративных данных путем управления доступом к накопителю с использованием системы и способа применения политик безопасности к накопителю в сети, которые определяют политики безопасности, основываясь на истории использования накопителя.

Согласно одному из вариантов реализации, предоставляется система применения политик безопасности к накопителю в сети, которая включает в себя: средство наблюдения за накопителем, которое при возникновении события, связанного, по меньшей мере, с одним накопителем, сохраняет данное событие в историю использования накопителя, при этом событие содержит, по меньшей мере, тип операции над накопителем; средство определения политик безопасности накопителя, которое, на основании истории использования, по меньшей мере, одного накопителя, полученной от средства наблюдения за накопителем, определяет политики безопасности, применимые к накопителю; средство применения политик безопасности, которое на основании данных от средства определения политик безопасности накопителя применяет политики безопасности к накопителю.

Согласно одному из частных вариантов реализации средство определения политик безопасности накопителя определяет политику, содержащую, по меньшей мере, одну разрешенную операцию доступа к данным на накопителе, по меньшей мере, в одном сегменте сети.

Согласно другому частному варианту реализации средство определения политик безопасности накопителя определяет политику, содержащую ограничения использования, по меньшей мере, одного приложения, находящегося на накопителе, по меньшей мере, в одном сегменте сети.

Согласно еще одному частному варианту реализации средство определения политик безопасности накопителя определяет политику, стирающую данные с накопителя.

Согласно еще одному частному варианту реализации определения политик безопасности накопителя определяет политику шифрования данных на накопителе.

Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику, содержащую, по меньшей мере, одну разрешенную операцию доступа к данным на накопителе, по меньшей мере, в одном сегменте сети.

Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику, содержащую ограничения использования, по меньшей мере, одного приложения, находящегося на накопителе, по меньшей мере, в одном сегменте сети.

Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику, стирающую данные с накопителя.

Согласно еще одному частному варианту реализации средство применения политик безопасности накопителя применяет политику шифрования данных на накопителе.

Согласно еще одному частному варианту реализации предоставляется способ применения политик безопасности к накопителю в сети, в котором:

при возникновении события, связанного, по меньшей мере, с одним накопителем, сохраняют с помощью средства наблюдения за накопителем данное событие в историю использования накопителя, при этом событие содержит, по меньшей мере, тип операции над накопителем; определяют политики безопасности, применимые, по меньшей мере, к одному накопителю, с помощью средства определения политик безопасности накопителя на основании истории использования данного накопителя, полученной от средства наблюдения за накопителем; применяют политики безопасности к накопителю с помощью средства применения политик безопасности на основании данных, полученных от средства определения политик безопасности накопителя.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 изображает структуру системы управления доступом к накопителю в сети.

Фиг. 2 изображает общий случай определения политик безопасности для накопителя.

Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

Фиг. 1 отображает структуру системы управления доступом к накопителю в сети.

Средство регистрации накопителя 110 сохраняет данные о накопителях, содержащие его уникальный идентификатор и идентификатор владельца накопителя. Идентификатором накопителя может выступать любая уникальная информация о накопителе, например, его серийный номер, международный идентификатор мобильного оборудования (IMEI, англ. International Mobile Equipment Identity). Идентификатором владельца может являться, например, его логин в локальной сети, адрес электронной почты, комбинация имени и фамилии и прочие данные. Кроме этого средство регистрации может содержать и другие данные о накопителе, такие, как данные о типе накопителя, данные о сегментах сети, в которых разрешено использовать накопитель, заранее определенные политики безопасности для накопителя. Политики безопасности могут содержать политики шифрования, политики управления доступом к устройству, политики контроля приложений. Политики шифрования определяют, нужно ли, например, выполнять полнодисковое шифрование накопителя, выполнять шифрование файлов определенного типа и другие. Политики управления доступом к устройству содержат разрешения на доступ к устройству, а именно, когда можно выполнять чтение с устройства, когда запись, а также когда запрещены оба действия. Политики контроля приложений определяют правила для приложений, находящихся на накопителе, например, запретить запуск всех приложений или запретить сетевую активность запускаемых приложений.

Средство наблюдения за накопителем 120 выделяет события использования накопителя, включающие в себя такие критерии, как: тип операции над накопителем; результат операции над накопителем (например, была ли выполнена запись на накопитель); идентификатор пользователя, выполняющего действия с накопителем; компьютер, на котором выполняются действия с накопителем; сегмент сети, в котором выполняются действия с накопителем; соблюдение политик безопасности для накопителя (если накопитель был зашифрован с использованием полнодискового шифрования, на нем должен присутствовать контейнер шифрования, содержащий зашифрованную информацию). Средство наблюдения за накопителем 120 сохраняет выделенные события использования накопителя и пополняет историю использования накопителя, передает накопленные данные средству определения политик безопасности накопителя 130. В одном из вариантов реализации средство наблюдения за накопителем 120 использует базу данных для сохранения накопленной истории, включающую различные данные о защищаемых компьютерах сети. Когда накопитель подключается к компьютеру в первый и в последующие разы, можно также выделить события, связанные с компьютером (например, операционная система, актуальность обновлений операционной системы, наличие антивируса и актуальность антивирусных баз).

Средство определения политик безопасности накопителя 130 на основании данных от средства регистрации накопителя и истории использования накопителя, полученной от средства наблюдения за накопителем, определяет политики безопасности, применимые к накопителю, которые содержат правила контроля приложений, правила контроля доступа к накопителю и правила шифрования накопителя.

Задача по определению политик заключается в назначении политик накопителям, соответствующих потребностям пользователей и обеспечивающих безопасность хранимых данных. Для получения наиболее полного представления о накопителе в сети используется максимально широкий набор критериев, это позволяет более гибко выбирать политики безопасности. Для характеристики устройств учитываются, например, пользователи устройств, программное обеспечение, установленное на устройствах, аппаратная часть устройств, файлы, хранящиеся на устройстве, а также местоположение устройства в корпоративной локальной сети.

Местоположение накопителя - группа критериев, которая определяет мобильность накопителя. На основании этой группы делают вывод о том, покидает ли накопитель границы корпоративной локальной сети, в каких участках корпоративной сети находится накопитель и т.д. Статистику по местоположению получают, например, проанализировав компьютеры и точки доступа, к которым подключается накопитель, по маске подсети или используют данные с модуля геолокации накопителя. Если установлено, что накопитель перемещается, то накопитель по критерию мобильности признается мобильным, в противном случае устройство признается немобильным. Также определить данный критерий возможно, проанализировав данные об аппаратном обеспечении накопителя, если аппаратура соответствует фотоаппарату или телефону, то логично предположить, что устройство является мобильным. Критерии этой группы в частном случае могут определять следующий тип местоположения: накопитель не перемещается, накопитель перемещается внутри корпоративной сети, накопитель покидает пределы корпоративной сети.

Пользователи накопителя - группа критериев, которая определяет владельцев накопителя или лиц, которые временно используют данный накопитель для работы. Эти критерии могут указывать как на конкретное лицо, так и на некоторую группу пользователей, например администраторы, топ-менеджеры, разработчики и т.д.

Программное обеспечение, установленное на накопителе, - группа критериев, которая характеризует программное обеспечение, под управлением которого находится накопитель (операционную систему и компоненты, приложения, микропрограммы и т.д.). Также критерии определяют принадлежность программного обеспечения к некоторой группе, например, игровое программное обеспечение, офисные программы, браузеры, специальное программное обеспечение и т.д. Под специальным программным обеспечением понимается совокупность программ, используемых для решения определенного класса задач, например, программное обеспечение автоматизированной системы управления технологическими процессами. Также критерий может характеризовать уязвимость программного обеспечения, показывая, насколько данное программное обеспечение угрожает безопасности накопителя. В частном случае используется критерий устаревания программного обеспечения, который показывает, насколько программное обеспечение устарело.

Следует выделить и группу критериев, которая включает в себя критерии, характеризующие файлы, хранящиеся на накопителе. Эти критерии учитывают тип хранящихся документов, их количество, гриф секретности документов (специальная отметка, свидетельствующая о степени секретности сведений, содержащихся в их носителе) или их конфиденциальность (информация, хранящаяся в документе, общедоступна, или к ней имеет доступ ограниченный круг лиц). Применение этих критериев к накопителю позволяет составить представление о назначении и целях использования накопителя. Для определения конфиденциальности документов, хранящихся на накопителе, в частном случае могут применяться методы поиска по словарю, синтаксический разбор фрагментов документа по шаблону, технологии цифровых отпечатков. Для определения грифа секретности применяются в частном случае те же методы и технологии, что и для определения конфиденциальности.

Средство определения политик безопасности накопителя 130 использует вышеописанные критерии. Например, в одном из вариантов реализации накопитель подключается к компьютеру, на котором обрабатываются данные конфиденциального характера (например, сервер). Этот вывод делается за счет того, что компьютер находится в определенной группе. Следовательно, можно предположить, что на накопитель может быть записана защищаемая информация, что приведет в итоге к ее утечке. В свою очередь можно автоматически применить политики шифрования накопителя. Более того, можно сразу сузить область доступности накопителя политиками, определяющими ограничения доступа к накопителю, до тех компьютеров, которые аналогичны тому, к которому произведено подключение (находятся в той же группе или выполняют те же функции, например, серверные). В более сложном случае можно формировать политики меры не в момент подключения накопителя к компьютеру, а в момент попытки копирования на накопитель неких данных. Включение компьютеров в группу может производиться администратором сети.

В другом варианте реализации, например, компьютеры с конфиденциальными данными явно не выделены в отдельную группу. Но при этом средство наблюдения за накопителем 120 определяет, что на компьютере, к которому подключен накопитель, используется приложение определенного типа. Например, клиент для работы с банком, приложение документооборота, HR - приложение. В этом случае можно автоматически на основании сведений о том, какие приложения запускались на данном компьютере в течение заданного интервала времени, сделать достаточно обоснованный вывод о том, нужно ли средству определения политик безопасности накопителя 130 создавать дополнительные политики безопасности для накопителя или нет.

В еще одном варианте реализации, наблюдая за историей перемещения накопителя, определяется, что он подключается к компьютерам определенной группы. Таким образом, можно создать политику безопасности, блокирующую использование накопителя за пределами этой группы, а на основании сведений об используемом в пределах этой группы программном обеспечении назначить политики шифрования.

В еще одном варианте реализации, используя историю накопителей пользователя, можно выделить политики безопасности, отражающие аккуратность и потенциальную опасность его пользователя. Например, по данным истории пользователь терял накопители. Вероятно, текущий накопитель тоже будет утерян, поэтому имеет смысл сразу назначать упреждающие политики безопасности, например, использовать шифрование. Если в истории есть данные о занесении вирусов на накопитель, можно определить политики безопасности для контроля приложений, например, запретить для этого накопителя запуск любого исполняемого кода.

Следует отметить, что связанные с накопителем события могут включать не только события о явном использовании накопителя, но и данные о том, какие приложения установлены и используются на компьютерах, к которым подключается накопитель, установлены ли на компьютерах обновления операционной системы, как часто компьютер заражается вирусами и т.п. Например, если накопитель регулярно подключается к компьютерам без последних обновлений безопасности (отсутствуют обновления для операционной системы, или базы антивирусного приложения устарели), можно сделать вывод о повышенной вероятности заражения этого накопителя и изменить политики по данному накопителю в сторону ужесточения.

Средство определения политик безопасности накопителя 130 не только анализирует историю, но и обладает данными о ранее принятых и реализованных политиках безопасности. Основываясь на этих данных, средство определения политик безопасности накопителя 130 может определять новые политики безопасности, основываясь на ранее определенных политиках. Например, с накопителем произошли некоторые события, которые были зафиксированы средством наблюдения за накопителем 120 и сохранены в базе произошедших событий. Основываясь на событиях, были сформированы политики ограничения безопасности. Через некоторое время (например, через неделю), изучая журнал событий, средство определения политик безопасности накопителя 130 может определить, дали ли ранее определенные политики положительный эффект или нет. Например, пользователь постоянно «заражает» накопитель вирусами. Средство определения политик безопасности накопителя 130 определяет политики: запретить выполнение находящихся на накопителе приложений, подключение накопителя ко всем компьютерам за исключением компьютера владельца, выполнить полнодисковое шифрование накопителя. Если с течением времени на накопителе не обнаружены вирусы, то средство определения политик безопасности накопителя 130 определяет, что после применения политик «заражение» накопителя прекратилось, следовательно, изменение политик было эффективно, и его стоит применять в подобных ситуациях. В другом варианте реализации, используя ранее принятые и реализованные политики безопасности, средство определения политик безопасности накопителя 130 будет определять политики безопасности постепенно. Например, в случае возникновения вышеописанной ситуации (накопитель «заражен») сначала ограничивается выполнение приложений, затем подключение к другим компьютерам, затем производится шифрование накопителя. Таким образом, можно определить более эффективный набор политик для каждого отдельного случая.

В одном из вариантов реализации средство определения политик безопасности накопителя 130 информирует офицера безопасности. Например, если средство определения политик безопасности накопителя 130 исчерпало все доступные ему меры модификации политики, а положительный эффект так и не наступил. В такой ситуации необходимо информировать офицера безопасности, выдав ему отчет о том, в чем заключается проблема с конкретным накопителем, и какие ограничения политик уже предпринимались автоматически.

Средство применения политик безопасности накопителя 140 на основании правил от средства определения политик безопасности накопителя 130 применяет ограничения по использованию накопителя. Правила контроля доступа к накопителю регулируют возможные операции чтения и записи на накопителе в целом или для определенных файлов, например, на накопителе типа «фотоаппарат», запрещена запись файлов определенных форматов в любом сегменте сети. Другой пример состоит в том, что накопитель блокируется в системе или на отдельном компьютере, если компьютер расположен в сегменте сети, не разрешенном для использования накопителя. Кроме того, средство применения политик безопасности к накопителю 140 может выполнять очистку накопителя от данных, например, производить полное или быстрое форматирование устройства.

Кроме того, средство применения политик безопасности накопителя 140 на основании правил контроля приложений от средства определения политик безопасности накопителя 130 применяет ограничения по использованию накопителя. Например, запрещен запуск исполняемых файлов с накопителя в заданных или во всех сегментах сети.

Также средство применения политик безопасности накопителя 140 на основании политик шифрования от средства определения политик безопасности накопителя 130 выполняет шифрование на устройстве. Может применяться как полнодисковое шифрование, так и шифрование отдельных файлов или файлов определенных форматов.

Фиг. 2 изображает общий случай определения политик безопасности для накопителя.

На начальном этапе происходит регистрация 220 накопителя в системе. Накопитель может появиться в системе, например, после закупки. Изначально накопитель не выдан никому из сотрудников, поэтому регистрируются в системе, например, со статусом «Новый накопитель». Владельцем такого накопителя, например, может являться системная учетная запись. Для такого накопителя автоматически формируются правила, предписывающие средству применения политик безопасности к накопителю, блокировать работу с накопителем. Новый накопитель опционально должен очищаться от данных, например, с использованием быстрого форматирования. Далее уточняют данные о накопителе. Это позволяет расширить функциональность средства определения политик безопасности накопителя в предлагаемой системе. Например, в свойствах накопителя указывается, что это фотоаппарат, видеокамера или диктофон. Это можно распознать автоматически по свойствам накопителя (например, классификация драйвера накопителя, тип накопителя, уникальный идентификатор накопителя, производитель накопителя, версия аппаратного обеспечения накопителя, версия программного обеспечения накопителя), а также задать вручную, например, администратор сети может изменить автоматически определенный тип накопителя или указать тип, если он не был определен автоматически. Средство определения политик безопасности учтет это при создании политик средства шифрования для этого устройства. При применении полнодискового или файлового шифрования устройство перестанет функционировать, так как не опознает, например, файловую систему или отдельные файлы на используемом накопителе. Это важно и в случае, если для средства определения политик безопасности задана глобальная политика «шифровать все», так как для указанных устройств автоматически будет создано исключение. С другой стороны известно, что, например, с фотоаппарата можно копировать фотографии и видеофайлы на ПК (в общем случае заданный набор расширений файлов) и удалять их. Записывать данные на фотоаппарат нельзя, равно как нельзя запускать исполняемые файлы. На основании этого можно создать правила для контроля доступа к накопителю и для контроля приложений. В результате кто бы не получил новое устройство, политики для конкретного устройства будут иметь приоритет и учтут его специфику. Аналогично политики можно задавать и для других типов устройств (например, для диктофонов, видеокамер, видеорегистраторов), которые нельзя шифровать, но необходимо ограничивать возможности работы с ними, тем самым исключив утечки данных. В общем случае при регистрации накопителя эти данные могут заполняться автоматически при условии, что средство регистрации накопителя будет иметь базу данных для опознания типа и функционального назначения устройства.

Далее пользователи начинают работать с накопителем 240. Возможны две типовые ситуации - владельцем накопителя становится конкретный человек или отдел. В момент определения владельца для накопителя будет автоматически создан набор правил для средства определения политик безопасности накопителя, осуществляющих контроль доступа к накопителю (необходимо разрешить работу с накопителем конкретному сотруднику или всему персоналу заданной группы) а также набор правил для контроля приложений и шифрования.

С точки зрения безопасности можно выделить ряд характерных ситуаций и сценариев, которые может обработать предлагаемая система.

Подключение накопителя к различным ПК в фирме 241. Средство наблюдения сохраняет историю событий, связанных с накопителем. История событий важна, например, в случае служебных расследований (можно понять, как примерно перемещался накопитель по сети, сформировать круг потенциальных нарушителей безопасности при возникновении инцидентов).

Неиспользование накопителя длительное время 242. Это говорит о том, что накопитель или потеряли, или не используют. В первом случае его можно блокировать, во втором - сигнализировать об этом владельцу накопителя, который может принять решение о возврате накопителя. Если средство наблюдения за накопителем будет фиксировать дату последнего подключения и использовать общий счетчик частоты использования, то неиспользование накопителя можно легко зафиксировать и автоматизировать реагирование. Например, если накопитель не используется 3 месяца, или пользователь сообщает, что не может найти выданный накопитель, но не уверен, что накопитель утерян, в системе для средства определения политик безопасности накопителя вносится политика «условно потерян», автоматически генерируются правила для средства контроля доступа к накопителю для блокировки, с отметкой даты и времени, и причины «Предположительно потерянный накопитель». Если пользователь найдет накопитель, то при его подключении к компьютеру пользователя, которому накопитель выдавался, средство наблюдения за накопителем опознает это действие, и средство определения политик безопасности автоматически отменит политики, связанные с блокировкой. При подключении к неавторизованному компьютеру (компьютеру, пользователь которого не является владельцем накопителя), средства определения политик безопасности блокируют использование накопителя, после чего может быть выдано предупреждение службе безопасности. Если накопитель не используется 6 месяцев, то в этом случае, например, для средства определения политик безопасности накопителя вносится статус «накопитель утерян», и генерируются правила для блокировки утерянного накопителя. В тот же статус накопитель переводится вручную, если пользователь сообщает о его хищении или потере. Любая попытка работы с таким накопителем должна пресекаться. Кроме того, например, при блокировке можно задать дополнительную политику «Стереть данные при первом подключении». Такая политика может создаваться в автоматическом или в ручном режиме (опционально), так как если накопитель был украден, а затем опять появился в сети, важно знать, какие данные находятся на накопителе. В случае обнаружения накопителя (он был утерян долгое время, но затем найден) его можно разблокировать. В случае подключения к любому компьютеру в сети (к компьютеру владельца или другого пользователя) средство наблюдения за накопителем генерирует предупреждение для службы безопасности.

Нарушение политики шифрования 243. Например, средство наблюдения за накопителем обнаружило, что контейнер шифрования удален. В одном из вариантов реализации в такой ситуации система автоматически создает для средства определения политик безопасности политику «Нарушение политики шифрования», выдается предупреждение службе безопасности, для средства контроля доступа к накопителю автоматически создается правило блокировки со статусом «Блокировка ввиду нарушения политик шифрования». В другом варианте реализации система автоматически создает для средства определения политик безопасности политику «Восстановление политики шифрования», устройство очищается от данных (форматируется), к нему применяется полнодисковое шифрование.

Увольнение пользователя 244. При этом обычно все накопители, выданные пользователю, сдаются. При этом, например, средство регистрации накопителя переводит их статус «Новый» с очисткой данных или сразу фиксируется выдача на другого пользователя без удаления данных. Если, например, накопитель уволенного пользователя не предъявляется системе, то он автоматически переходит в статус «Накопитель утерян».

Перевод пользователя на другую должность 245. В такой ситуации политики безопасности накопителя будут другими, и та информация, которую пользователь ранее хранил на накопителе, не может быть использована. В таком случае, например, при фиксации смены должности система автоматически корректирует политики для накопителей пользователя, например, инициирует их принудительную очистку. В другом случае при переводе пользователь сдает накопители по аналогии с увольнением.

Поломка накопителя 246. В такой ситуации, например, накопителю с помощью средства определения политик безопасности накопителя вносится статус «Блокировка вышедшего из строя накопителя», но без удаления из базы данных средства регистрации накопителя для того, чтобы сохранилась история использования накопителя.

Обнаружение вируса на накопителе 247. В этом случае, например, можно опционально блокировать накопитель с особым статусом «Блокировка зараженного накопителя» и выдачей предупреждения. Это важно, например, если по политикам такой накопитель запрещено выносить за пределы корпоративной сети.

Блокировка накопителя службой безопасности 248. Например, накопитель блокируется со статусом «Заблокирован службой безопасности», кроме того, необходимо иметь возможность блокировать все накопители заданного пользователя или указанного отдела.

Накопитель списан вне зависимости от исправности 249. В такой ситуации уничтожение данных важно и может быть обязательным с сохранением информации средством наблюдения за накопителем, выполнено оно или нет. После этого накопитель получает статус "Блокирован как списанный" с формированием правила для средства контроля доступа к накопителю на запрет его использования.

Стоит отметить, что система может создавать отчеты помощью генератора отчетов при смене статуса. Например, если накопитель выдается пользователю, то автоматически распечатывается документ, на котором есть данные накопителя, дата, место для подписи получившего накопитель пользователя. Такой документ (его электронный вариант или изображение) может вноситься в систему средством регистрации накопителя и привязываться к накопителю. Пока нет документа в системе, не формируются правила на разрешение использования накопителя. В случае инцидента специалист безопасности сразу получит все документы, позволяющие привлечь пользователя к расследованию инцидента.

Еще одна функция, которая возможна в системе, - проведение принудительной инвентаризации. Для заданных накопителей (по накопителю, пользователю, группе пользователей, отделу) средством определения политик безопасности для накопителя включается статус «Требуется подтверждение наличия». Пользователи получают запрос на подтверждение того факта, что накопитель у них. Подтверждение выполняется, например, посредством подключения накопителя к любому компьютеру, на котором разрешено его использование. Если подтверждение выполнено в заданный период времени (например, 10 дней), то статус «Требуется подтверждение наличия» снимается с фиксацией даты подтверждения и компьютер, с которого оно выполнено. Иначе накопитель автоматически переводится в статус «условно потерян».

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.