Подготовка организации к проверке ФСТЭК

Итак, перед плановой проверкой ФСТЭК встала задача просканировать все компьютеры пользователей на предмет наличия в них документов, содержащих грифы секретности и конфиденциальности.

Проверка компьютеров на наличие «запрещенных» файлов

Мы точно знаем, что в названиях наших «запрещенных» файлов или внутри них могут быть присутствовать следующие ключевые слова:

Поиск в стандартном Проводнике Windows может спасти только, если проверять каждый компьютер в отдельности, да и качество поиска внутри файлов оставляет желать лучшего, поэтому встроенные возможности Windows меня не устроили. Поскольку мне необходимо было проверить сразу более 500 рабочих мест, то хорошей альтернативой стала программа 10-Strike Network File Search Pro, обзором которой я сейчас и займусь.

Через точку с запятой задаем критерии поиска по типам файлов:

А также что именно нужно искать:

Для того, чтобы сэкономить время, я создал белый список ресурсов и каталогов, в которых будет производиться поиск файлов:

Чтобы не терять время и не искать потенциальные файлы в системных директориях, задаем фильтр для папок, существенно ограничивая область поиска:

Обращаю внимание, что указанный фильтр по папкам значительно сужает область поиска только в пределах диска C$.

Поэтому для полноты картины понадобится повторное сканирование без фильтра папок и без ресурса C$.

Указываем где именно, на каких компьютерах будет производиться поиск или выбираем всё Сетевое окружение:

Программа выдает обширный список найденных файлов, а результаты поиска можно сохранить в формате .txt или .html для дальнейшего анализа.

После того как файлы найдены, они удалены пользователями в корзину, а сама корзина очищена, то рекомендую произвести очистку свободного места на жестком диске. Для этой задачи можно воспользоваться одной из самых доступных программ — CCleaner. Количество проходов перезаписи зависит от уровня «секретности» найденных файлов, а также от типа жесткого диска — для SSD больше одного раза очистить не получится, видимо, разработчик программы слишком озабочен продлением срока жизни наших SSD дисков.

Кроме этого, рекомендую обратить внимание на следующие каталоги, где могут храниться временные файлы Microsoft Office, которые открываются из вложений в присланных письмах, либо временные файлы программы 1С Предприятие:

Если сделать соответствующий фильтр в программе 10-Strike Network File Search Pro, то можно без зазрения совести и уведомления пользователей удалить все найденные файлы из этих каталогов.

Я немного решил упростить всем жизнь и делегировать право проведения очистки компьютеров самим пользователям. Несмотря на то, что запуск программы требует административных прав, специально для этого был написан bat-файл, который в дальнейшем был скомпилирован исполняемый .exe, из которого производился запуск CCleaner c повышенными привелегиями.

Итоги. Проверено более 500 компьютеров, найдено больше тысячи документов с пометкой «для служебного пользования», все сотрудники оповещены, файлы удалены и организация полностью готова к проверке ФСТЭК!

Проверка истории вставки USB-устройств

Любая проверка ФСТЭК обязательно проверит все ваши «секретные» компьютеры на предмет вставки неучтенных флэшек и, наоборот, обычные компьютеры на предмет учтенных. Поэтому на компьютерах обязательно смотрим ветку реестра:

И чистим её программой USBDeView или USBOblivion, которые довольно просто найти в Интернете. Проблема заключается лишь в том, что USBOblivion полностью удаляет раздел USBSTOR, что может вызвать лишние подозрения со стороны проверяющего. Сразу становится понятно, что компьютер специально готовили к проверке. Поэтому я рекомендую после подобной чистки переводить системную дату и время на компьютере и повставлять пару-тройку гарантированно легальных флэшек после каждой смены даты-времени.

Да, можно вручную выборочно удалять ветки из реестра, но для этого нужно предварительно отключить UAC (Контроль учетных записей) — это, я думаю, все умеют делать, а также скопировать в папку Windows программу PsExec.exe, фактически принадлежащую компании Microsoft из пакета Sysinternals, и запустить редактор реестра от имени пользователя SYSTEM:

Всё, после запуска редактора реестра можно удалять и импортировать всё, что душе угодно.

Удачи вам, друзья! Если данная статья оказалась полезной, то лучшей благодарностью станет пост данной страницы на вашей страничке в соцсетях и добавление в закладки браузера. Заходите на мой сайт и получайте еще больше полезной и нужной информации!


Категории: Безопасность

Комментирование отключено