BIS Journal №2(37)/2020

3 июня, 2020

Цель достигнута!

Решение Secret Cloud Enterprise от Secret Technologies позволило гибко организовать процесс файлового обмена.

Хочу рассказать о внедрении в АО «МСП Банк» решения в сфере файлообмена, позволяющего обеспечить передаваемые файлы необходимой защитой, гарантировать конфиденциальность информации, контролировать и управлять процессом обмена.

Существенное увеличение объема информационных потоков в нашем кредитном учреждении между различными категориями пользователей, как между сотрудниками в пределах банка, так и между сотрудниками и клиентами сделало обмен файлами неотъемлемой частью современных бизнес-процессов.  В этой связи возникает необходимость постоянного анализа ресурсов транспортировки данных в контексте обеспечения информационной безопасности, снижение рисков утечки конфиденциальной или другой важной информации.

В ходе этой работы мы обратили внимание на процесс обмена информацией с новыми контрагентами – юридическими лицами, которые еще не являются клиентами нашего банка.

В стандартном случае клиенту необходимо передавать в банк несколько десятков документов различных форматов: pdf, docx, jpeg, png. В совокупности объем этих документов составляет порядка 50 МБ, что превышает допустимый размер почтового вложения. При этом клиенты могли передавать документы в банк тем способом, который выбирали сами, в основном через Яндекс Диск, Облако Mail, Dropbox, FTP-серверы и другие средства.

Такой способ передачи информации не позволял просто запретить использование облачных или недоверенных сервисов, что создавало условия для неконтролируемой утечки данных, снижало контроль за их обменом, повышало риск вирусных заражений.

Для минимизации угроз, эффективного управления и контроля всего процесса файлообмена, потребовалось создание единого канала получения документов от юридических лиц в рамках работы с новыми клиентами, т.е. внедрение специализированного решения, которое бы соответствовало требованиям информационной безопасности и стало для пользователей доступным и понятным на интуитивном уровне, без дополнительного обучения.

При выборе подходящего решения, с которыми предстояло работать пользователям, немаловажную роль мы отводили анализу влияния требований информационной безопасности на удобство его использования и функциональность, старались найти баланс в классическом треугольнике (Рисунок).

С учетом всех этих обстоятельств было выбрано решение Secret Cloud Enterprise от российской компании Secret Technologies, ведущей разработки своих продуктов с 2012 года, специалисты которой успешно реализовали десятки проектов в области информационных технологий и информационной безопасности в различных отраслях.

Решение Secret Cloud Enterprise позволило гибко организовать контролируемый процесс файлового обмена, основанный на следующем алгоритме действий:

  • внутренний пользователь запрашивает загрузку документов у клиента (контрагента) по внешней ссылке;
  • клиент (контрагент) загружает документы по предоставленной ссылке. При этом количество документов ограничено, контрагент не может перегрузить систему;
  • производятся обязательные проверки получаемых документов:

– проверка по белому списку типов файлов – контрагент может загружать только документы (не допускается наличие исполняемых файлов, медиа-файлов и т.д.);

– антивирусная проверка файлов – для противодействия проникновения вредоносного программного обеспечения;

– проверка на архив с паролем – если файл является архивом с паролем, файлы внутри невозможно проверить, такой архив должен быть заблокирован для загрузки.

  • пользователь получает файлы, прошедшие проверки;
  • передача файлов от пользователя вовне проверяется в системе через карантин вручную (файлы также могут проверяться на DLP-системе), т.к. это не является стандартным действием в рамках процесса;
  • все события файлового обмена записываются в журнал и могут передаваться в систему лог-менеджмента.

Принятое решение стало эффективным инструментом для обеспечения безопасного файлообмена и удовлетворяет потребностям нашего кредитного учреждения. Цель достигнута – процесс функционирует, требования ИБ выполнены, пользователи довольны функциональностью и удобством.

Дерзайте, и Вы добьетесь поставленной цели!

Смотрите также