Мониторинг ключевых слов

При внедрении любой системы по защите данных нужен список ключевых слов или терминов, которые необходимо контролировать / отслеживать во всех документах компании и по всем каналам передачи данных.

Для данной операции отредактируем фильтр словарей с именем «Словарь отраслевых терминов», добавим туда ключевые слова и выражения из внутренних документов компании, для чего в интерфейсе администратора переключаемся на вкладку «Фильтры» и переходим в фильтр «Словарь отраслевых терминов».

../_images/cases_21.png ../_images/cases_22.png

Добавляем ключевые слова. Например, «Лицензиар», «Лицензиат», «Карточка предприятия» и т.п., после чего жмем кнопку «Сохранить».

../_images/cases_23.png

После данного действия будет произведён пересчёт всех событий на предмет поиска указанных слов\выражений во всех перехваченных файлах по всем каналам общения пользователей.

Затем можно вернуться в меню «Сработавшие фильтры/Название/Словарь отраслевых терминов» и проверить события, которые там присутствуют.

Картина может быть следующей:

../_images/cases_24.png

Допустим, что в нашей компании пользователь «User11» на машине «philvoch2» не должен иметь доступа к этим документам. Однако мы видим, что он его не только скачал к себе на компьютер, но и отослал другому пользователю по почте - «ik@staffcop.ru» и скопировал этот документ на переносной носитель. Мы получаем два вопроса, требующих пояснения со стороны данного пользователя.

../_images/cases_25.png

Судя по остальным событиям с интересующим нас фильтром, очевиден еще один вопрос:

../_images/cases_26.png

Итак, файл, содержащий контролируемую информацию, был связан с событием «Web». Это значит, что файл был загружен в сеть. Давайте узнаем, куда именно? Для этого кликнем на имени пользователя «Lenovo» и на приложении «Firefox». Уберём фильтр по ключевым словам «Словарь отраслевых терминов», кликнув по нему левой кнопкой мыши в меню применённых фильтров:

../_images/cases_27.png ../_images/cases_28.png ../_images/cases_29.png

Таким образом, пользователи «Lenovo» на компьютере «oooodddddd-ПК» и пользователь «User11» на компьютере «philvoch2», работают в паре и делятся с кем-то на стороне конфиденциальной информацией через файлообменник - «rgho.st».

Проведя анализ перехваченного файла, переданного на обменный хостинг «rgho.st», очевидно, что он не совпадает с документами из системы отчётности, т.е. в документе, переданном этим сотрудником (который вообще не должен иметь доступ к этим документам), есть изменения в договоре и цене за ПО. Это явное нарушение работы компании с контрагентами.

../_images/cases_30.png