17.03.2016
Шифрование данных: за и против
О том, шифровать или не шифровать корпоративную информацию, задумывается любой руководитель. Мы возьмем для примера небольшую фирму, стесненную в средствах, и попробуем ответить на этот вопрос.
Законно ли?
Шифруя данные при помощи средств криптозащиты, следует помнить, что нормативные акты, к примеру ФЗ-152 «О защите персональных данных» и соответствующий приказ ФСБ № 378, предписывают использовать только те из них, которые имеют сертификацию российских надзорных органов. Так, если вы приобретали оборудование или ПО у официальных продавцов на территории России, то можете быть уверены, что соответствующий сертификат у них есть. Сложнее обстоят дела с компьютерами и периферией, которые вы или ваши сотрудники привезли из-за рубежа: не исключено, что их использование может быть запрещено. Иными словами, разумнее всего предварительно ознакомиться со списком сертифицированных средств криптозащиты, и, если в нем не упоминается ваша покупка, использовать ее только в домашних условиях.
Анализируем данные
Чтобы определиться, стоит ли шифровать данные, внимательно посмотрите, какого рода информация накапливается в компании. Если это персональные данные ваших клиентов и партнеров, финансовые документы, сведения, касающиеся интеллектуальной собственности предприятия, то вердикт однозначный: шифрование обязательно.
Анализируем угрозы
Факторов риска более чем достаточно как со стороны своих сотрудников, способных забыть рабочий ноутбук в транспорте или ресторане, так и со стороны конкурентов: даже случайный доступ к информации, их глазам не предназначенной, может повлечь ее компрометацию и нежелательный резонанс.
Наконец, не будем забывать о кибератаках. Избитый стереотип, что небольшие фирмы хакерам неинтересны, мало того что устарел – он в корне неверен. Руководитель направления информационной безопасности компании «Системный софт» Алексей Дашков подчеркивает, что хакеры-хулиганы давно уступили место матерым преступникам, цель которых одна – материальная выгода.
Выбираем инструменты
Какое шифрование использовать и почему? По мнению Алексея Дашкова, необходимо поставить заслоны на нескольких рубежах. Это шифрование данных на удаленном сервере, поддержка асимметричной криптографии, прозрачное шифрование и шифрование сетевых папок. Есть и еще два требования, связанных с использованием средств шифрования: возможность разграничения прав доступа к конфиденциальной информации между сотрудниками и возможность хранения работниками закрытых ключей на внешних носителях (токенах). И если второе актуально далеко не для всех компаний, то первое более чем разумно даже в случае малого предприятия.
По сути речь идет о комплексной защите. Первый заслон – виртуальная частная сеть (Virtual Private Network, VPN). Многие современные роутеры поддерживают VPN и позволяют легко создать такую сеть даже начинающему пользователю. Самое простое решение – OpenVPN – обезопасит вашу локальную сеть от проникновения злоумышленников и обеспечит надежный доступ к ее ресурсам (например, NAS или серверу с базами данных) для сотрудников, работающих удаленно.
Вторая линия обороны – антивирусы и файерволы. Они есть в любом комплексном средстве защиты. Ну а то, что антивирус должен быть на каждом ПК, вы, полагаю, знаете и без нас.
Наконец, третий рубеж – шифрование данных на рабочих станциях. Если в вашем офисе стоят обычные настольные ПК, то специальные средства криптозащиты едва ли целесообразны. Но если ваши сотрудники используют для работы ноутбуки или мобильные устройства, то шифрование данных на них более чем уместно. И для этого тоже полно средств. Во-первых, криптозащита поддерживается почтовым сервером. В зависимости от того, какой вы используете, можно применить решение, позволяющее уничтожить содержимое почты удаленно в случае, если мобильное устройство сотрудника утеряно либо похищено.
Кроме того, целый ряд решений позволяют зашифровать информацию на рабочих станциях. Например, бесплатный VeraCrypt, DESLock+ от компании ESET, различные решения InfoWatch, а также более сложные продукты семейства Secret Disk от «Алладин Р.Д.».
Источник:
http://www.it-world.ru/tech4human/solutions/81429.html