Инструкция пользователя предписывает вытаскивать токен или закрывать сессию при удалении от рабочей станции. пользователю надлежит послать скрин Админу. Если требуется открытая сессия пользователя, инструкция предписывает сообщать службе безопасности. Выполнять инструкцию или нет, дело владельца данных.
В SDE предусмотрен такой сценарий, поэтому существуют фильтр процессов пользовательской сессии, который отделяет мух от котлет. Однако это повышает сложность и трудозатраты сопровождения для ИБ администратора.
В дополнению к шифрованию системного раздела у пользователя имеется возможность самостоятельно зашифровать отдельные папки (т.е. двойное шифрование данных). К зашифрованным, таким образом папкам, нет доступа даже у системного администратора. Т.е. у системного администратора нет ключа шифрования к этим папкам. Единственное, что может сделать сисамин, зайти по RDP и наблюдать за сессией пользователя. Но получить, скопировать или прочитать зашифрованные папки сисадмин не сможет. (не путать роли сисадмин и администратор ИБ — в системе реализована полноценная ролевая модель)
При этом системный администратор может выполнять все свои должностные обязанности (настройка, резервирование и т.п.)
Добавлю еще печальных примеров:
Потерянный ноутбук коммерческого директора, который он взял с собой на конференцию содержал проекты конкурсных заявок по ключевым закупкам заказчиков, консолидированную отчетность по чистой прибыли и EBIDTA компании в целом, а так же частные отчеты для Ген. директора. Хорошо, что системный и дополнительный раздел был зашифрован
У ведущего адвоката консалтинговой компании, работающей на государственные корпорации украли из авто ноутбук с проектными документами по нескольким клиентам. Помимо адвокатской тайны, на ноуте были сопутствующие материалы, получение от клиента под NDA. Специалист теперь «молится», потому что данные не были защищены.
Директор по маркетингу вне себя от злости его премиальный ноутбук завис наглухо, служба ИТ отказывается вскрывать компьютер самостоятельно, надо его сдавать в сервисный центр производителя. На компьютере рыночный анализ продуктов, которые выпускает компания, анализ конкурентных преимуществ, стратегический план расширения рыночной доли продуктов. Что делать, данные ведь не защищены?!
Эти примеры из повседневной жизни, такую информацию невозможно не выпускать из офиса, такая информация не носит общий характер. Это не списки клиентов, или статистика по рынку — это ключевые данные для компаний, которые каждый день пересекают границы контролируемой зоны компании.
Правильная система шифрования (такая как SDE) не сводит на нет возможность восстановления файлов. Пофайловое шифрование позволяет полноценно резервировать информацию с соблюдением всех циклов резервного копирования.
SDE так же, позволяет купировать аппаратные сбои контроллеров или сбои ядра операционной системы. Т.е. при сбоях железа или ОС в момент шифрования или в момент работы с информацией, данные не будут потеряны.
Безусловно, в статье нет и слова про то, что система шифрования это универсальная таблетка от всех возможных угроз ИБ.
Такие системы решают целевые задачи, главное решать эти задачи эффективно.
Статья в разрешенном формате. А на самом деле надо бы еще «поискать» альтернативную систему, которая позволяет обеспечить шифрование в организации с большим количеством рабочих станций и серверов.
При этом системный администратор может выполнять все свои должностные обязанности (настройка, резервирование и т.п.)
Потерянный ноутбук коммерческого директора, который он взял с собой на конференцию содержал проекты конкурсных заявок по ключевым закупкам заказчиков, консолидированную отчетность по чистой прибыли и EBIDTA компании в целом, а так же частные отчеты для Ген. директора. Хорошо, что системный и дополнительный раздел был зашифрован
У ведущего адвоката консалтинговой компании, работающей на государственные корпорации украли из авто ноутбук с проектными документами по нескольким клиентам. Помимо адвокатской тайны, на ноуте были сопутствующие материалы, получение от клиента под NDA. Специалист теперь «молится», потому что данные не были защищены.
Директор по маркетингу вне себя от злости его премиальный ноутбук завис наглухо, служба ИТ отказывается вскрывать компьютер самостоятельно, надо его сдавать в сервисный центр производителя. На компьютере рыночный анализ продуктов, которые выпускает компания, анализ конкурентных преимуществ, стратегический план расширения рыночной доли продуктов. Что делать, данные ведь не защищены?!
Эти примеры из повседневной жизни, такую информацию невозможно не выпускать из офиса, такая информация не носит общий характер. Это не списки клиентов, или статистика по рынку — это ключевые данные для компаний, которые каждый день пересекают границы контролируемой зоны компании.
SDE так же, позволяет купировать аппаратные сбои контроллеров или сбои ядра операционной системы. Т.е. при сбоях железа или ОС в момент шифрования или в момент работы с информацией, данные не будут потеряны.
Безусловно, в статье нет и слова про то, что система шифрования это универсальная таблетка от всех возможных угроз ИБ.
Такие системы решают целевые задачи, главное решать эти задачи эффективно.
Резюме...., без комментариев))