Защита корпоративной информации, часть 2: технические возможности

  • 28 октября 2015 в 11:58
  • 1549
  • 9
  • 3

Добрый день, коллеги!

В прошлой публикации (Часть 1) мы начали разбирать основные способы хранения информации в компании. Продолжаем серию решений.

Данные в облаках

Это решение достаточно распространенно в силу своего удобства. Действительно, хранение данных в облаке – это не только возможность не бояться за сохранность данных (в смысле возможной потери), но и возможность обмениваться данными между сотрудниками, возможность прямо в браузере редактировать документы, возможность отправки больших файлов вашим контрагентам и многие другие возможности.

«+»

  • Действительно удобно.
  • Надёжно – данные можно восстановить из резервных копий (если одновременно не произошел сбой у вас и у облачного провайдера).

«-»

  • Вы доверяете все данные другой компании.
  • В случае утечки данных от учётки, тот, к кому попали учётные данные, может получить доступ ко всем вашим данным (а вы даже не узнаете про это!), в том числе и удалённым (например, при работе с DropBox).
  • Данные по-прежнему хранятся на вашем диске. То есть данный способ не может быть рассмотрен как самостоятельный способ защиты от утечек данных.

Удалённый сервер

Стандартное решение для притупления чувства опасности или реального обеспечения безопасности.

«+»

  • Защита всех данных, с которыми работают сотрудники.

«-»

  • Полная зависимость от наличия связи с интернетом. В случае, если нет быстрого и стабильного подключения, о работе офиса можно забыть.
  • Зачастую не составляется план действий в экстренной ситуации. Поэтому вся безопасность работает до тех пор, пока кто-то из сотрудников не согласился подсказать пароль.
  • Системный администратор обладает полной властью над данными, в некоторых случаях даже после увольнения.
  • Полная зависимость он наличия доступа в интернет. Стоимость интернета в офисах зачастую бывает значительная, а качество – ниже плинтуса.
  • Резкое понижение быстродействия.
  • Зачастую требует обучения сотрудников и жёсткого контроля соблюдения регламента.
  • Даже если удалось обеспечить отключение от удалённого сервера и отключение самого сервера, в случае «Маски-шоу» «гостям» всё равно сразу же становится понятно, что искать, где искать и как искать.

«Пиротехника» + стандартный диск

Иногда бывают ситуации, когда лучше потерять данные, чем допустить их попадание в чужие руки. В таких случаях пользователи обычно не полагаются на программные методы защиты и удалённые сервера, а предпочитают иметь возможность физически уничтожить хранилище данных.

Метод может быть реализовано множеством способов:

  1. Магнитный стиратель жёстких дисков (наиболее правильное решение).
  2. Взрывчатка, патроны и т.п. под жёстким диском – способ кроме того, что не законный, но и не очень действенный, по причине того, что гарантий уничтожения данных при этом нет.
  3. Работа жёсткого диска в модифицированной микроволновке (реальный случай).
  4. Ещё множество других вариантов.

«+»

  • Гарантия уничтожения данных при правильном внедрении.
  • Возможность запустить процесс, не прикасаясь к компьютеру.

«-»

  • В случае ложного срабатывания, вы теряете все данные без какой-то возможности восстановить их.
  • Умышленное уничтожение данных очевидно всем.
  • Обычно необходимо нажимать специальную кнопку на компьютере/брелке для запуска механизма уничтожения данных.
  • Значительная стоимость решения.
  • Не даёт никакой защиты от физического хищения компьютера с данными.

Резюме: данный метод требует не только творческого подхода, но и чрезвычайно качественной реализации. Обычно его применение не обоснованно.

0_13b7dd_42f2ea26_L

Шифрование локального жёсткого диска

Самое простое и логичное решение для того, чтобы не допустить доступ к данным – зашифровать их. Но этот метод не так прост, как кажется. Шифрование локального жёсткого диска возможно в различных режимах: до загрузки операционной системы, шифрования отдельного диска, шифрование контейнеров в облаке и т.д.

Возможен большой набор опций:

  1. Правдоподобное отрицание: ввод фиктивного пароля, который даёт доступ к диску с содержимым, не представляющим ценности.
  2. Дистанционное отключение: возможность руководителя компании дистанционно, с помощью мобильного приложения, звонка или смс сообщения отключить у всех или части пользователей доступ к шифрованным дискам.
  3. Несколько уровней доступа.
  4. Проверка на нахождение компьютера в локальной сети компании.
  5. Резервное копирование зашифрованных файлов в облако.
  6. Шифрование можно совместить с «аварийный выключателем», позволяющим руководителю аварийно удалено отключать рабочие места.

«+»

  • Лучшее соотношение «цена-качество».
  • Наиболее гибкое решение, позволяющее выстраивать алгоритм работы бизнес логики в зависимости от потребностей пользователя.
  • Самое быстрое внедрение из систем, обеспечивающих приемлемый уровень безопасности.
  • Является необходимым дополнением к варианту со «спрятанным локальным сервером» и желательным для варианта с «удалённым сервером».
  • Не делает вас зависимым от качества каналов связи.

«-»

  • За 150 000 лет можно подобрать пароль для расшифровки данных, но, скорее всего, к этому моменту владельцу бизнеса будет уже всё равно, что стало с данными.
  • Требует внедрения и регулярной проверки регламента использования.
  • Использование такого механизма возможно определить. При использовании технологии правдоподобного отрицания невозможно.
  • Законность использования.

Мы рассмотрели часть основных решений, существующих на данный момент. Нашли ли мы «серебряную пулю»? Однозначно – нет.

Безусловно, каждое имеет свои плюсы и минусы, особенно в части стоимости и сроков внедрения. Правильный выбор технологии (а скорее всего, их сочетание) и своевременное внедрение позволит вам сделать свой бизнес безопасным, а жизнь более спокойной.

По желанию участников форума можем разобрать подробнее любое из приведенных решений и дать практические рекомендации по внедрению.

Добавить
Для того чтобы оставить комментарий или проголосовать, вам необходимо войти под своим логином или пройти несложную процедуру регистрации
Также, вы можете войти используя:

Цитата из статьи

«Взрывчатка, патроны и т.п. под жёстким диском»

 Не потянет на 223.1 УК РФ?) Изготовление СВУ?

А вообще, были в мою бытность работы в ИТ-отделе такие блоки питания, марки Sparkman. Дословно "искрящий человек". Они очень любили взрываться (точнее, взрывались емкости), с разбрасыванием повсюду рваной фольги.

29 октября 2015 в 9:15

Потянет)) юридические аспекты обязательно нужно учитывать, это целая большая тема для описания. Мы когда разрабатывали некоторые решения для заказчиков узнали очень много нового в юридической части этого вопроса для себя.

29 октября 2015 в 9:25

Как-то рассказывали, что серверные шкафы висели на улице на спец. кронштейнах. А дом был старый, стены ветхие, и этаж далеко не первый. В один прекрасный момент вся эта конструкция благополучно улетела вниз вместе с куском стены, увлекая за собой рабочие компьютеры со столов сотрудников.

29 октября 2015 в 12:252