№3(2012)

При виїзному аудиті команда спеціалістів працює на території замовника, і після завершення перевірки аудитори повертаються на свої робочі місця. Під час таких пересувань по громадських місцях не виключений факт елементарного викрадення техніки (будь то накопичувач або ноутбук), саме тому даний етап переміщення інформації є найбільш уразливий. Як правило, у початковому та кінцевому місці її зберігання присутній необхідний рівень контролю доступу, а при перевезенні забезпечити достатню захищеність інформації не завжди можливо, тому вважається за доцільне розроблення методики виїзду аудиторів. Питання захисту працівників від зловмисників, виділення робочого автомобіля та масу інших заходів залишимо на розгляд відділу безпеки, наша ж задача – розібратися з тим, як звести до мінімуму збитки, заподіяні клієнту й аудитору при втраті даних під час перевезення.

Є два варіанти розв’язання поставленої задачі:
забезпечити захист інформації на носіях, ускладнивши або зробивши неможливим доступ до неї зловмисників;
організувати передачу даних через Інтернет із достатнім рівнем безпеки.
Розглянемо перший варіант. Одразу наголошу, що для запобігання витоку інформації та її транспортування необхідно використовувати носії, що не містять інших конфіденційних даних, тобто не користуватися під час виїздів ноутбуками, призначеними для щоденної праці. Для такої роботи краще мати декілька пристроїв, які використовуються лише у відрядженнях. Після кожної поїздки рекомендується повністю видалити обліковий запис аудитора, необхідну робочу інформацію зберегти на окремому логічному диску, який можна легко форматувати, та записати поверх щось непотрібне, аби максимально унеможливити шанс відновлення інформації на цьому носії. Видалення запису при наступному входженні в систему призведе до

його повторного створення, що в свою чергу забезпечить надійний захист даних, що могли знаходитись в обліковому записі – забутих документах на робочому столі, у «моїх документах» або в папках для тимчасового зберігання. У процесі роботи бажано використовувати криптографічний захист інформації, паролювання документів стандартними методами чи за допомогою сторонніх програм. Наприклад, якщо ви установите шифр на файл Microsoft Offіce, далі помістите його в архів, що теж буде захищений паролем, не скажу, що це зведе на нуль здобич зловмисників, але як мінімум при достатній складності кодів значно відтягне час, коли інформація зможе бути прочитана. Всі ми люди і можемо забути поставити секретний код, а іноді й махнути на нього рукою – мовляв, кому воно треба, тому краще перестрахуватися: включити шифрування логічного диску (у корпоративних і максимальних версіях Windows® Vista та Windows 7 ця опція реалізована і має назву BitLocker) або використати паролювання за допомогою тих же eToken чи інших методів.
У випадках, коли замовник виділяє аудитору власний комп’ютер, інформація перевозиться на зовнішньому носії. При цьому зникає необхідність хвилюватися за профілі користувачів, але автоматично використовувати шифрування стає значно важче (а іноді навіть неможливо), якщо воно прив’язане до домену аудиторської компанії чи для його використання на комп’ютері має бути встановлене стороннє ПО. На щастя, сьогодні на ринку ІТ-послуг представлено багато рішень для контролю доступу та шифрування інформації на зовнішніх носіях, і цінова політика тут досить різна. Так, флеш-накопичувачі з програмним контролем доступу та шифруванням не набагато дорожчі за звичайні пристрої відповідного об’єму, тоді як накопичувачі з програмно-апаратними засобами значно відрізняються своєю ціною. Для зовнішніх жорстких дисків ряд представленої продукції набагато менший і дорожчий, але на них можна розмістити велику кількість інформації. При використанні даних носіїв залишається сподіватися на надійність засобів і параметрів, використаних виробниками, оскільки в більшості випадків налаштування нами рівня захищеності окреслюється лише зміною складності та довжини паролю (а іноді й ці параметри обмежені).

Другий варіант передачі інформації передбачає використання мережі Інтернет з усіма її перевагами та недоліками. Перш за все зазначу, що тут існує два принципово різних способи. Перший – це обробка даних на території клієнта з подальшою передачею на ресурси, якими володіє аудиторська фірма. Сюди можна віднести пересилку документів електронною поштою у відкритому чи зашифрованому вигляді, передачу на власні сервери FTP, налаштування VPN-каналу та робота через нього тощо. Кожен із зазначених методів має свої недоліки. Так, наприклад, протокол FTP передбачає пересилання паролю у відкритому вигляді на підключення до сервера (перехопивши пакети, можна дізнатися шифр і проникнути на сервер), але даний засіб має доопрацювання SFTP та FTPS, які, використовуючи різні допоміжні протоколи, забезпечують надійність описаного методу передачі даних. VPN уже по замовчуванню є захищеним. Інші ресурси також «обросли» доповненнями, які надають необхідний рівень надійності.

Другий спосіб обміну інформацією передбачає використання віддаленого робочого столу, тобто користувач здійснює операції з файлами не на своєму ноутбуці чи комп’ютері замовника, а на сервері власної компанії. Документи пересилаються із застосуванням шифрування, рівень якого регулюється.
До того ж підключення до віддаленого робочого столу можна здійснити по VPN-тунелю, що в рази підвищує надійність передачі інформації.
В обох вищезазначених способах ступінь захищеності можна збільшити, щоразу використовуючи інші порти для налаштування з’єднань, міняючи паролі доступу та дані авторизації. Політику цих змін необхідно розглядати особисто для кожного аудитора: одному вистачить раз на рік, а іншому і щотижня буде мало.
Отже, сформулюємо алгоритм побудови системи захисту інфор­мації при виїзному аудиті. Перш за все, пам’ятайте, що не завжди у клієнта є можливість та бажання забезпечити стабільне інтеренет-з’єднання, тому не потрібно спиратися лише на всесвітню мережу. Доцільно виділити окреме обладнання для виїздів, забезпечивши на ньому знищення отриманої інформації та облікових записів
(якщо використовується ноутбук). У випадках, коли дані все ж таки перевозяться, необхідно організувати шифрування чи принаймні підвищений контроль доступу до них. Коли ж інформація надається через Інтернет, треба забезпечити високий рівень надійності каналу передачі даних, прослідкувати за їх знищенням на виїзному ноутбуці аудитора після закінчення роботи, організувати шифрування інформації, що може знаходитись у тимчасових папках облікового запису, та паралельно втілити практику зміни даних авторизації,
паролів.

У підсумку хочеться наголосити, що не треба відмовлятися від можливості обміну інформацією через Інтернет, оскільки засоби, необхідні для запобігання кіберзлочину, коштують значно менше, ніж знадобляться для відновлення даних при звичайній крадіжці, до того ж налаштування захищеного каналу передачі не є чимось страшним або нездійсненним. А використання інтернет-технологій призведе до того, що аудитор перевозитиме мінімум інформації, цікавої для злочинців, або зовсім її не матиме.