Совместное использование политик DLP и IRM в GTB DLP Suite

Совместное использование политик DLP и IRM в GTB DLP Suite

Совместное использование политик DLP и IRM в GTB DLP Suite

В обзоре рассматривается расширение возможностей традиционной DLP-системы GTB Enterprise-Class DLP Suite за счёт системы управления правами доступа к данным IRM (Information Rights Management). Данная система предназначена для гибкого разграничения прав доступа к контролируемым данным на основе ролевых политик. Что влечёт за собой повышение надёжности при обеспечении сохранности конфиденциальной информации.

 

 

1. Введение

2. Тестовая среда

3. Возможности GTB IRM

4. Совместное использование GTB DLP и IRM

4.1 Установка и настройка GTB IRM

4.2 Политики GTB DLP

4.3 Практическое применение GTB IRM совместно с GTB DLP

5. Выводы

 

 

Введение

Постоянное увеличение объёмов информации, количества пользователей и мобильных устройств, которыми пользуются сотрудники, приводит к ситуации, когда контролировать движение и использование конфиденциальных данных без специальных средств практически невозможно.

Хорошим подспорьем в решении этой проблемы стали DLP-системы. Именно благодаря им можно осуществить контроль за перемещением конфиденциальных данными и предотвратить их утечку.

Одна из задач DLP-системы состоит в мониторинге движения информации внутри компании. При этом DLP-системы не позволяют осуществлять контроль доступа к данным, которые находятся в компании или покидают ее инфраструктуру. Например , данные несанкционированно передаются внутри компании коллегам или теряется устройство, на котором хранилась важная информация (а DLP-системы не могут шифровать данные на устройствах).

Для решения этой проблемы могут применяться системы шифрования данных, в том числе IRM-системы (Information Rights Management — системы управления правами доступа к данным). С помощью IRM-систем определяются политики использования данных, которые позволяют ответить на четыре базовых вопроса:

  • КТО может использовать данные;
  • ЧТО можно делать с данными (чтение, запись, печать, передача сторонним лицам);
  • КОГДА это можно делать (например, в какой период времени);
  • ГДЕ можно осуществлять эти действия (к примеру, только на корпоративном ноутбуке).

Что самое важное за счет шифрования данных IRM-системы гарантируют конфиденциальность даже в том случае, если данные попали посторонним лицам. При этом IRM не осуществляет контроль движения конфиденциальных данных (внутри или за пределами периметра компании) или обнаруживать утечки. С этим должны справляться DLP-системы.

Как видим DLP и IRM системы являются взаимодополняющими системами. Связка DLP+IRM позволяет в полной мере осуществлять контроль за конфиденциальными данными как внутри периметра компании, так и за его пределами. А также предоставить полную картину использования данных и доступа к ним.

В 2012 году была представлена комплексная DLP-система GTB Enterprise-Class DLP Suite. Ее уникальность состоит в том, что она уже имеет в своем составе полноценный компонент GTB IRM. Он предназначен для разграничения и структуризации прав доступа к важным данным.

Удобно, что обе функции интегрированы в одном продукте. Это снижает общую стоимость владения системой (политика лицензирования учитывает количество пользователей), а также повышает безопасность сохранности данных компании.

 

Тестовая среда

При подготовке этой статьи мы использовали 2 тестовых стенда, которые представляют собой несколько виртуальных машин под управлением VMware ESXi 5.1

и VMware Workstation 10.0.4. Структура стендов такова:

1-й:

  • Виртуальная машина с установленным GTB Central Console;
  • Виртуальная машина с установленным GTB IRM;
  • Виртуальная машина с установленным Windows Server 2008.

2-й:

  • Виртуальная машина с установленным GTB Central Console;
  • Виртуальная машина с установленным GTB IRM;
  • 1 Виртуальная машина с установленной Windows Server 2003 в качестве контроллера домена Active Directory;
  • 2 Виртуальная машина с установленной Windows 7 в качестве рабочих станций.

 

Возможности GTB IRM

Прежде чем мы расскажем о GTB IRM, полезно ознакомиться с типовой схемой работы GTB Enterprise-Class DLP Suite, которая показана на рисунке 1.

 

Рисунок 1. Типовая схема работы GTB Enterprise-Class DLP Suite

Типовая схема работы GTB Enterprise-Class DLP Suite

 

GTB IRM поставляется в виде готового образа виртуальной машины VMware с предустановленной Windows Server 2003 и программным продуктом Seclore FileSecure.

Это решение является двухкомпонетным и состоит из серверной и клиентской частей.

Серверная часть - это сервер политик FileSecure, который является централизованным хранилищем информации о защищаемых файлах, правах доступа к ним, событий, а также другой информации.

FileSecure Desktop Client - это клиентская часть и предназначена для работы с защищаемыми файлами. FileSecure Desktop Client постоянно держит связь с сервером политик, поэтому для обеспечения доступа к защищаемым файлам необходима постоянная, связь с сервером политик (кроме тех случаев, когда в политике даны права на доступ к файлу в оффлайн режиме).

GTB IRM обладает следующими функциональными возможностями:

  • Поддержка большого количества форматов защищаемых файлов (Microsoft Office, Apache OpenOffice, PDF, AutoCAD, изображения, текстовые файлы. Всего около 140 форматов);
  • Защита каталогов (к файлам, которые помещаются в защищённый каталог, автоматически применяются права и политики, которые применены к этому каталогу);
  • Аудит использования файлов;
  • Защищать электронной почты (отправителю необходимо использовать Microsoft Outlook или Lotus Notes, а получатель может использовать любой почтовый клиент или же веб-почту);
  • Удобное и гибкое назначение политик;
  • Защита от утечки информации с использованием «Print Screen», средств предоставления изображения экрана, записи изображения, записи экрана в виртуальных средах;
  • Возможность указания временных интервалов для доступа к защищаемым файлам;
  • Управление с помощью веб-консоли;
  • Поддержка работы клиентской части на мобильных устройствах (iOS 5 и выше, Android 4.x);
  • Удобная модель лицензирования, которая предусматривает наличие лицензии только у отправителя файлов. Лицензировать получателей нет нужды.

Таким образом, GTB IRM может использоваться для обеспечения полного контроля за конфиденциальными данными, которые могут использоваться, как внутри периметра корпоративной сети, так и за её пределами практически на любом устройстве.

 

Логика работы GTB IRM схематически показана на рисунке 2.

 

Рисунок 2. Логика работы GTB IRM

Логика работы GTB IRM

 

Любому файлу его владельцем или администратором системы назначается набор прав доступа и указывается список лиц, на которых распространяется тот или иной набор прав. Далее этот документ передаётся по любому каналу коллегам или партнерам. Права доступа к файлу могут автоматически устанавливаться администратором системы или автором, которому необходимо защитить свои данные. Набор права доступа можно редактировать. Также можно добавлять или удалять пользователей, которым открыт доступ к данным. Пользователи могут иметь полный или ограниченный доступ к файлу (вплоть до запрета или разрешения конкретный действий с файлом). Неавторизованные пользователи не смогут открыть в читабельном виде этот файл вообще, поскольку для них он будет представлять набор байтов.

 

Совместное использование GTB DLP и IRM

Установка и настройка GTB IRM

Процесс установки GTB IRM тривиально прост, поскольку этот программный продукт поставляется в виде готового образа виртуальной машины VMware. Единственное, что требуется от администратора — настроить сетевые параметры гостевой операционной системы, на которой установлен GTB IRM и указать IP-адрес сервера политик IRM в его файле конфигурации согласно документации к этому продукту.

После установки GTB IRM необходимо установить Seclore Filesecure Desktop на рабочие станции пользователей. Этот пакет можно установить как вручную, так и средствами GPO в среде Active Directory (доступен отдельный msi). Процесс установки также предельно прост и не вызывает никаких сложностей.

После того, как Seclore Filesecure Desktop установлен, его необходимо настроить. Процесс настройки заключается в создании профиля подключения к серверу GTB IRM.

Главное окно Seclore Filesecure Desktop показано на рисунке 3.

 

Рисунок 3. Главное окно Seclore Filesecure Desktop

Главное окно Seclore Filesecure Desktop

 

Количество профилей может произвольным, в зависимости от количества серверов GTB IRM, с которыми необходимо работать.

Чтобы создать профиль подключения к серверу GTB IRM, необходимо нажать кнопку добавить, указать в открывшемся окне имя профиля и путь к серверу GTB IRM, как это показано на рисунке 4.

 

Рисунок 4. Создание профиля подключения к серверу GTB IRM в Seclore Filesecure Desktop

Создание профиля подключения к серверу GTB IRM в Seclore Filesecure Desktop

 

Доступна возможность тестирования соединения с указанным сервером. Также предусмотрена возможность импортирования профилей подключения, что упрощает развёртывание и настройку Seclore Filesecure Desktop.

На этом пока оставим Seclore Filesecure Desktop в стороне и вернёмся к нему чуть позже, а пока рассмотрим настройки GTB IRM.

Управление GTB IRM осуществляется с помощью веб-консоли, начальная страница которой показана на рисунке 5.

 

Рисунок 5. Начальная страница веб-консоли GTB IRM

Начальная страница веб-консоли GTB IRM

 

В левой части окна предоставлен список репозиториев, а в правой — поля для ввода учётных данных для доступа к GTB IRM. Репозитории используются для аутентификации пользователей на сервере GTB IRM.

Сразу после установки доступно два репозитория: System Repository и External Users. Системный репозиторий содержит в себе пользователя root и используется для настройки и управления сервером GTB IRM.

Рассмотрим по порядку все возможности, которые доступны системному пользователю в консоли управления. Это необходимо для понимания того, каким образом осуществляется первоначальная настройка GTB IRM и принципа работы с системой.

Начнём с пункта меню — File (Файл), который показан на рисунке 6.

 

Рисунок 6. Меню File (Файл), консоли управления GTB IRM

Меню File (Файл), консоли управления GTB IRM

 

В данном меню можно получить всю информацию о файлах, защищаемых с помощью GTB IRM. Как видно из рисунка, для поиска конкретной информации можно использовать удобный фильтр поиска с широкими возможностями. Это позволяет офицеру безопасности быстро получить необходимую ему информацию о том или ином защищаемом объекте. Если выполнить поиск, не указав какие-либо критерии, то на экран будет выведен список всех защищаемых объектов (рисунок 7).

 

Рисунок 7. Список защищаемых объектов в GTB IRM

Список защищаемых объектов в GTB IRM

 

Нажав на имя файла, можно получить детальную информацию:

  • кто его владелец;
  • кем и когда был изменён в последний раз;
  • когда был защищён;
  • путь файлу;
  • активность работы с файлом;
  • политики, которые к нему применены (рисунок 8).

 

Рисунок 8. Полная информация о защищаемом объекте в GTB IRM

Полная информация о защищаемом объекте в GTB IRM

 

В меню Activity (Активность) можно получить всю информацию о работе с защищённым объектом. Также доступен фильтр поиска, аналогичный фильтру поиска в меню File (Файл). Пример результата запроса показан на рисунке 9.

 

Рисунок 9. Просмотр информации о работе с защищённым объектом в GTB IRM

Просмотр информации о работе с защищённым объектом в GTB IRM

 

Как видно из рисунка, офицер безопасности может получить исчерпывающую информацию о том кто и когда пытался поработать с объектом, характер работы и успешность этого действия.

Следующее меню — Credential (Набор прав). Здесь можно получить информацию обо всех наборах прав, которые хранятся на этом сервере, посмотреть их настройки, а также узнать список объектов, к которым применена тот или иной набор (рисунок 10).

 

Рисунок 10. Список политик GTB IRM

Список политик GTB IRM

 

Всю информацию, полученную в меню File (Файл), Activity (Активность) и Credential (Набор прав), можно сохранить в формате CSV.

Список классификации документов содержится в меню Classification (Классификация). Данная функция позволяет классифицировать различные типы документов согласно политики безопасности, которая применяется в организации (рисунок 11). Добавлять или удалять классификации может только администратор сервера GTB IRM.

 

Рисунок 11. Список классификации документов в GTB IRM

Список классификации документов в GTB IRM

 

Сразу после установки GTB IRM для использования доступны пять стандартных типов классификации.

Меню Configuration (Конфигурация) содержит в себе различные инструменты для настройки сервера GTB IRM.

Для аутентификации пользователей на сервере GTB IRM используются репозитории, в которых хранится вся информация о пользователях. Управление репозиториями осуществляется в меню Repository (Репозитории). На рисунке 12 показан список репозиториев доступных на нашем тестовом стенде, а на рисунке 13 показана детальная информация о репозитории GTB.TEST, а также его настройки. Управлять репозиториями может только администратор сервера.

 

Рисунок 12. Список настроенных репозиториев в GTB IRM

Список настроенных репозиториев в GTB IRM

 

Рисунок 13. Настройки репозитория GTB.TEST

Настройки репозитория GTB.TEST

 

Наш тестовый репозиторий GTB.TEST хранит в себе информацию о пользователях, полученных из домена Active Directory тестовой инфраструктуры.

В GTB IRM существует такое важное понятие, как Hot Folder. Hot Folder, по сути, это логический шаблон, который можно использовать для защиты файлов с предопределённым набором прав доступа. Они определяются один раз и, в дальнейшем, их можно использовать для сколь угодно большого количества файлов.

В отличие от стандартных прав доступа, Hot Folder содержит также информацию о классификации файла, а также его владельце, как часть шаблона. Таким образом, всё, что необходимо сделать, это связать файлы с нужным Hot Folder. Hot Folder может наследовать права от других Hot Folder и расширять права других Hot Folder.

В меню HotFolders содержится информация обо всех Hot Folder данного сервера и предоставляет удобный инструментарий для работы с ними. Меню Audit Log содержит в себе системный журнал работы сервера, пример которого показан на рисунке 14.

 

Рисунок 14. Системный журнал работы сервера GTB IRM

Системный журнал работы сервера GTB IRM

 

Применение политик GTB DLP

Прежде чем рассказать о совместном применении политик GTB DLP и GTB IRM, поясним, что же представляют собой политики в GTB DLP в целом. Это необходимо для того, чтобы понять каким образом обеспечивается совместная работа DLP и IRM на уровне политик. Политики GTB DLP представляют собой набор объектов, которыми описываются критерии того, какие данные считаются конфиденциальными. В GTB DLP есть предустановленный набор объектов, но можно создать и свой. Непосредственно после развёртывания GTB DLP для работы доступны предустановленные политики. Список предустановленных объектов показан на рисунке 15.

 

Рисунок 15. Список предустановленных объектов в GTB DLP

Список предустановленных объектов в GTB DLP

 

Критерии конфиденциальных данных описываются в объектах с помощью собственного логического языка GTB DLP (с ним можно ознакомиться в документации к продукту). На рисунке 16 показан типовой пример указания критериев для определения конфиденциальной информации.

 

Рисунок 16. Пример заданных критериев в объекте политики GTB DLP

Пример заданных критериев в объекте политики GTB DLP

 

При создании политики, в неё добавляются необходимые объекты, которых может быть, практически, неограниченное количество. На рисунке 17 показан пример новой политики с набором объектов.

 

Рисунок 17. Новая политика с набором объектов в GTB DLP

Новая политика с набором объектов в GTB DLP

 

Также политики можно объединять в наборы. Это позволяет добиться максимальной гибкости в настройке всей системы под конкретные требования заказчика и достичь необходимого уровня детектирования данных.

Подсистема GTB DLP eDiscovery, которая предназначена для обнаружения конфиденциальных данных в сети компании, также использует в своей работе политики GTB DLP. К данным, которые обнаружены с помощью GTB DLP eDiscovery можно сразу применить политики GTB IRM. На рисунке 18 показан пример задачи локального сканирования компьютеров в сети.

 

Рисунок 18. Задача локального сканирования GTB eDiscovery

Задача локального сканирования GTB eDiscovery

 

Детектирование конфиденциальной информации осуществляется по указанным в задачи политикам. Можно указать несколько политик одновременно. Обнаруженные данные можно скопировать по указанному пути, переместить или вообще удалить.

Таким образом, можно легко и просто в кратчайшие сроки проинспектировать все данные на конечных точках сети, сетевых хранилищах, хранилищах Microsoft SharePoint и определить какие данные являются конфиденциальными и применить к ним необходимые действия.

Практическое применение GTB IRM совместно с GTB DLP

Прежде всего необходимо подключить GTB IRM к GTB DLP. Сделать это довольно просто. В GTB Central Console нужно указать адрес сервера GTB IRM, номер HotFolderCabinet и пароль к нему. Если всё сделано правильно, то при проверке подключения к серверу GTB IRM с указанными параметрами будет выведено сообщение об удачном подключении (рисунок 19).

 

Рисунок 19. Настройка подключения GTB IRM к GTB DLP

Настройка подключения GTB IRM к GTB DLP

 

Первый шаг сделан. Далее необходимо создать определённые политики на сервере GTB IRM. Каждый пользователь может создавать свои политики для файлов и указать на кого эта политика будет распространяться, и кто какими правами будет обладать.

Для этого пользователю необходимо зайти на сервер GTB IRM, указав свои учётные данные.

Рабочее пространство пользователя схоже с рабочим пространством системного пользователя GTB IRM, но содержит уменьшенное количество инструментария и один дополнительный инструмент — Web Connect (рисунок 20).

 

Рисунок 20. Рабочее пространство пользователя GTB IRM

Рабочее пространство пользователя GTB IRM

 

Пользователь может просматривать полную информацию о защищённых им файлах, активность работы с ними и список собственных наборов прав, включая предустановленную администратором сервера, которая создаётся в обязательном порядке. Пользователь может управлять своими набором прав. Наборы прав других пользователей для него недоступны.

Чтобы создать набор прав, нужно зайти в меню Credential (Набор прав) и нажать кнопку Add Credential (Добавить набор прав).

В открывшейся форме необходимо указать имя набора. Можно добавить описание, чтобы лучше ориентироваться в собственном списке наборов прав. Далее необходимо выбрать пользователей и указать для них права доступа к файлу. Можно указывать как отдельных пользователей, так и группу пользователей. Результат показан на рисунке 21.

 

Рисунок 21. Создание набора прав пользователя GTB IRM

Создание набора прав пользователя GTB IRM

 

Итак, что у нас получилось. Пользователь Администратор имеет полные права на работу с файлом. Пользователь Валентин Алексеенко может просматривать файл и распечатывать, в том числе в оффлайн-режиме, когда нет связи с сервером GTB IRM. А пользователь Гость может только просматривать файл. Теперь набор прав можно сохранить.

При желании можно задать дополнительные параметры для доступа к файлу, а именно:

  • Указать временной период доступа к файлу;
  • Указать, на каком компьютере можно получить доступ к файлу;
  • Указать диапазон IP-адресов, для которых будет доступен этот файл;
  • Указать количество дней доступа к файлу после первого использования.

Сделать это можно на закладке Advance (Дополнительно).

На этом можно считать, что набор прав создан. Теперь его можно использовать как для защиты файлов лично пользователем, так и для работы в составе GTB DLP. Чтобы набор прав работал в связке с GTB DLP необходимо осуществить ряд действий в GTB Central Console.

Заходим в раздел «Настройка DLP», меню IRM, там, где мы указывали параметры связи с сервером GTB IRM и выбираем категорию IRM-политики. Далее, нажимаем кнопку «Добавить IRM политику», указываем имя новой политики и, при желании, её описание (рисунок 22).

 

Рисунок 22. Добавление новой IRM политики в GTB DLP

Добавление новой IRM политики в GTB DLP

 

После того как мы нажмём кнопку «Добавить», произойдёт автоматическая переадресация в консоль GTB IRM сервера. В открывшемся окне нужно выбрать владельца, указать классификацию документа из списка доступных и выбрать нужные наборы прав из тех, которые принадлежать владельцу (рисунок 23).

 

Рисунок 23. Задание параметров новой IRM политики в GTB DLP

Задание параметров новой IRM политики в GTB DLP

 

После нажатия кнопки Add (Добавить) произойдёт обратная переадресация в GTB Central Console и можно будет сохранить созданную политику.

Теперь нужно связать IRM политику с DLP политиками. Это можно сделать в категории Сопоставление политик.

Для этого необходимо нажать кнопку отобразить IRM политику, в открывшемся окне выбрать нужные политики DLP и указать политику IRM из списка доступных (рисунок 24).

 

Рисунок 24. Сопоставление DLP и IRM политик

Сопоставление DLP и IRM политик

 

Каков итог наших действий? Схема приблизительно следующая. Офицер безопасности с помощью подсистемы GTB eDiscovery сканирует объекты инфраструктуры на наличие информации, которая попадает под действие созданных DLP-политик компании. В случае обнаружения такой информации, к ней автоматически применяются (если была включена такая опция) IRM-политики, которые связаны с соответствующими DLP-политиками, которые сработали.

Таким образом, можно оперативно структурировать права доступа к информации во всей инфраструктуре компании и обеспечить должный уровень безопасности при работе с важными данными. Также это позволит компании минимизировать риски при передаче данных сторонним лицам или при работе сотрудников компании с этими данными вне периметра сети.

На рисунке 25 показано, что увидит пользователь, который не имеет прав доступа к файлу или злоумышленник, который похитил эту информацию.

 

Рисунок 25. Результат открытия защищённого документа без прав доступа к нему

 

Если на конечной точке сети установлен Seclore Filesecure Desktop и пользователь пытается получить доступ к защищённому файлу не имея к нему прав, то он увидит сообщение подобное как на рисунке 26.

 

Рисунок 26. Сообщение пользователю об отсутствии доступа к файлу при установленном Seclore Filesecure Desktop

Сообщение пользователю об отсутствии доступа к файлу при установленном Seclore Filesecure Desktop

 

Теперь расскажем о том, как пользователи могут работать с защищёнными файлами с помощью Seclore Filesecure Desktop.

В первую очередь пользователю необходимо авторизовать на сервере GTB IRM, выбрав соответствующий профиль сервера в Seclore Filesecure Desktop и указав свои учётные данные (рисунок 27).

 

Рисунок 27. Авторизация пользователя на сервере GTB IRM при помощи Seclore Filesecure Desktop

Авторизация пользователя на сервере GTB IRM при помощи Seclore Filesecure Desktop

 

В случае успешной авторизации пользователь сможет работать с файлами, на которые у него есть права доступа.

При открытии файла пользователю будет показано информационное окно, в котором будут перечислены его текущие права доступа к файлу и права доступа к файлу в оффлайн режиме, когда отсутствует связь с сервером GTB IRM (рисунок 28).

 

Рисунок 28. Список прав доступа к файлу в GTB IRM

Список прав доступа к файлу в GTB IRM

 

Также важной особенностью этой системы является то, что пользователь может защищать свои файлы даже в том случае, если они не попадают под действие DLP политик.

Это можно сделать с помощью всё того же Seclore Filesecure Desktop авторизовавшись на сервере GTB IRM. Для этого нужно открыть контекстное меню нужно файла и выбрать команду Protect, указав в открывшемся окне нужный профиль (рисунок 29).

 

Рисунок 29. Выбор профиля и авторизация в Seclore Filesecure Desktop

Выбор профиля и авторизация в Seclore Filesecure Desktop

 

Затем необходимо указать классификацию объекта и выбрать подходящий набор прав (рисунок 30).

 

Рисунок 30. Выбор классификации объекта и набора прав в Seclore Filesecure Desktop

Выбор классификации объекта и набора прав в Seclore Filesecure Desktop

 

После чего будет выведено сообщение об успешной защите файла, и доступ к нему будет регулироваться теми правами, которые указаны в соответствующем наборе.

И последнее о чём мы хотели рассказать — инструмент Web Connect. Данная функция позволяет открыть для просмотра некоторые типы защищённых документов (в соответствии с правами доступа) на устройстве без установленного Seclore Filesecure Desktop, но с наличием браузера и доступа серверу GTB IRM. Для этого пользователю нужно авторизоваться на сервере GTB IRM, в личном рабочем пространстве выбрать меню Web Connect и загрузить защищённый файл со своего устройства на сервер GTB IRM. После этого этот файл можно посмотреть в браузере.

Данная возможность доступна только для файлов типа doc, docx, odt, rtf, txt, xls, xlsx, ods, ppt, pptx, odp, pdf.

 

Выводы

Благодаря своим возможностям, GTB IRM прекрасно интегрируется в GTB DLP и обеспечивает высокий уровень защиты данных в совокупности с простотой обслуживания и настройки.

Простой интуитивно понятный веб-интерфейс позволяет работать с GTB IRM практически с любого устройства, а поддержка мобильных устройств под управлением iOS и Andorid, со стороны Seclore Filesecure Desktop, расширяет диапазон применения данного решения в компаниях и позволяет им идти в ногу со временем - можно получить доступ к защищаемым файлам даже на мобильных устройствах.

Поддержка почти 140 форматов файлов, в том числе и бинарных, позволяет применять GTB IRM для компаний, работающих практически во всех сферах деятельности. Важным преимуществом GTB IRM является возможность защиты каталогов с данными, а не только отдельных файлов, что упрощает работу с этим продуктом и снижает нагрузку на конечного пользователя, уменьшая вероятность допущения ошибки при назначении прав доступа к разным файлам.

Простота в установке и настройке, а также гибкость политик позволяет легко и грамотно назначить права доступа к важным данным и избежать избыточности прав доступа. Также, с помощью GTB IRM, можно осуществить защиту электронной почты, которая будет автоматически шифроваться при отправке. Это позволит избежать компрометации данных в том случае, к примеру, когда выбран неверный получатель и других подобных.

Политика лицензирования учитывает количество пользователей. При этом лицензия необходима только отправителю информации. Клиентское ПО полностью бесплатно и нет нужды в установке лицензии на каждого получателя.

К сожалению, есть и небольшие недостатки. Немного удивило отсутствие русской локализации серверной части GTB IRM. К тому же выявилась несколько некорректная работа в инструмента Web Connect в браузере Internet Explorer 11 (этот браузер может быть принят за основной в компании).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru