InfoWatch CryptoStorage Enterprise

InfoWatch CryptoStorage – это централизованная защита конфиденциальной информации криптографическими методами в процессе ее хранения и обработки в рамках единой корпоративной информационной системы. Решение позволяет избежать несанкционированного доступа к данным непосредственно внутри сети компании, предотвратить утерю конфиденциальных данных при их передаче по сети, а также обеспечить защиту данных в случае, если носитель или ноутбук, на котором они хранятся, был утерян.

Централизованная защита и управление

Централизованный сервер политик InfoWatch CryptoStorage позволяет определять, настраивать и хранить политики для каждого пользователя системы. Среди основных функций Сервера политик:

хранение информации, необходимой для работы InfoWatch CryptoStorage (списки пользователей и компьютеров, политики, назначенные пользователям и т. п.); выдача пользователям отдельных прав на работу с защищенными объектами как при работе в сети, так и за ее пределами; сбор и хранение информации о действиях пользователей на клиентских компьютерах; сбор и хранение информации о защищенных объектах; обеспечение прав комиссии восстановления.

Объекты защиты

InfoWatch CryptoStorage предоставляет широкие возможности для защиты информации. Криптографическая защита может быть установлена на любые файлы и папки, а также на логические диски, включая системные и загрузочные области, и съёмные носители (USB-накопители, Flash-диски, карты памяти для мобильных устройств и т.п.). Решение также позволяет создавать защищенные хранилища данных - специализированные файлы-контейнеры, размер которых ограничивается только особенностями ОС или размерами диска.

Совместная работа в сети

В InfoWatch CryptoStorage предусмотрена возможность установки защиты не только на локальном компьютере, но и на удаленные папки и файлы. С помощью консоли удаленного управления на удаленном компьютере можно создавать файлы-контейнеры а также защищать логические диски (в том числе – системные и загрузочные). В решении реализована совместимость с DFS (Microsoft Distributed File System).

Разграничение прав доступа

Определение доступа к защищенному объекту возможно одним из трех способов: по паролю, секретному ключу или сертификату открытого ключа. Одновременно возможен доступ к объекту нескольких пользователей. Применяются различные способы хранения секретных ключей - файл на любом носителе, электронные ключи eToken и ruToken. Управление сертификатами осуществляется Центром Сертификации. Поддерживаются широко распространенные стандарты X.509 и PKCS.

Защита может также быть установлена на папки и файлы внутри защищенных дисков, в том числе и внутри файлов-контейнеров, файлы-контейнеры, в свою очередь, могут размещаться внутри защищенной папки. Глубина вложенности при этом неограниченна. Доступ для каждого объекта в таких случаях также может быть иерархически разграничен.

Аутентификация пользователя

Осуществляется в обязательном порядке перед началом работы с защищаемыми данными. В случае защиты загрузочного или системного раздела жесткого диска авторизация пользователя осуществляется еще до загрузки операционной системы.

Надежная защита за пределами сети

При необходимости работать с защищенными объектами за пределами компании пользователю выдается ограниченный по времени действия сертификат, определяющий с какими уже созданными объектами он может работать, какие объекты создавать.

Настройка политик

Установка и настройка InfoWatch CryptoStorage Enter­prise осуществляется централизованно с помощью консоли удаленного администрирования. Централи­зованное применение политик, позволяет определить правила работы с конфиденциаль­ной информацией для каждого пользователя, месторасположение защищенных объ­ектов, время работы и разрешенные действия над защищенными объектами. Система ролей пользователей обеспечивает безопас­ный многопользовательский доступ к данным.

Интеграция с корпоративным каталогом

Интеграция с Microsoft Active Directory позволяет напрямую выбирать пользователей или группы пользователей из корпоративного каталога и централизованно применять к ним корпоративные политики безопасности. Решение позволяет централизованно устанавливать клиентскую часть InfoWatch CryptoStorage Enter­prise посредством политик Microsoft Active Directory.

Восстановление доступа к конфиденциальной информации

Для повышения надежности защиты каждому из пользователей решения выдается уникальный секретный ключ. В случае его утери или недоступности, доступ к зашифрованным данным может быть восстановлен с помощью комиссии восстановления, в состав которой входят уполномоченные пользователи.

Функциональные роли пользователей системы.

В InfoWatch CryptoStorage предусмотрено несколько ролей пользователей с различными правами при работе с системой:

Пользователь – сотрудник, работающий с защищенным объектом в соответствии с заданными политиками безопасности. В число его возможностей входят:

• Установка защиты и создание файлов-контейнеров на локальном компьютере с возможностью выбора алгоритма шифрования из числа поддерживаемых системой, владельца объекта, способ авторизации владельца объекта.
• Создание защищенных объектов на удаленных компьютерах.
• Установка/переустановка/снятие защиты с дисков в фоновом режиме
• Определение способа доступа владельца к защищенному объекту
• Доступ к защищенному объекту того или иного типа

Владелец объекта – пользователь, наделяемый дополнительными правами определять, кто из других пользователей может работать с защищенным объектом. Помимо прав обычного пользователя он имеет следующие возможности:

Организация многопользовательского доступа к защищенным объектам. Организация иерархической системы доступа к данным Изменение параметров защиты объекта (алгоритм шифрования и/или ключ) и снятие защиты с объекта Администрирование удаленных защищенных объектов

Администратор – лицо, создающее политики доступа к защищенным объектам для всех пользователей и осуществляющее контроль над их действиями. Непосредственного доступа к защищенной информации администратор не имеет. В число его возможностей входит:

Подключение/исключение пользователей системы Отзыв сертификата открытого ключа пользователя Анализ работы пользователей с конфиденциальной информацией Настройка правил работы пользователей с конфиденциальной информацией, позволяющих определить для каждого пользователя месторасположение защищенных объектов, с которыми ему разрешено работать, а так же время работы; задать типы защищенных объектов разрешенных пользователю; разрешить/запретить создание новых защищенных объектов, снятие защиты с объект,; регулирование состава лиц, допущенных к объекту, использование консоли удаленного управления; работу с защищенными объектами вне корпоративной сети и т.д.

Преимущества

• Работа в оффлайн режиме
• Надежность защиты в экстренных ситуация – в InfoWatch CryptoStorage реализована защита данных от сбоев в процессе шифрования, в том числе и в результате сбоев питания
• Выбор алгоритмов шифрования - InfoWatch CryptoStorage позволяет использовать как широко распространенные криптобиблиотеки (AES/128/256 и т.п.), так и сертифицированного криптопровайдера Агава, реализующего ГОСТ 28147-89.
• Использование собственного уникального секретного ключа каждым пользователем системы.