`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Владимир Безмалый

Шифрование ПК. Давайте задумаемся

+511
голосов

Итак, вы пришли к выводу, что хотите внедрять криптографические методы защиты информации на своем предприятии. Однако вначале я рекомендую сесть и спокойно подумав, ответить себе на несколько вопросов:

1. Что шифровать?
2. Чем шифровать?
3. Как обеспечить законность применения средств криптографической защиты?
4. Как не нанести большего вреда?

Лишь в том случае если у вас есть ответы на все эти вопросы и эти ответы вас устраивают, можно переходить непосредственно к шифрованию. А, казалось бы, все так просто, берешь ПО, шифруешь и все. Ан не тут-то было! Давайте задумаемся, а почему?

Что шифровать?

На самом деле вопрос не тривиален. Внедрение каждого программного обеспечения это, прежде всего расходы. Времени, денег и т.д. Поэтому вопрос, а что же мы будем шифровать, нужно рассматривать очень внимательно. Я не собираюсь здесь долго пояснять, почему ответ «ВСЕ!» даже не рассматривается. ВСЕ – это означает бездумную трату материальных и людских ресурсов. В самом деле, зачем шифровать жесткий диск в отделе рекламы? Таким образом, мы с вами приходим к мысли, что вначале то, собственно, нужно понять, какая информация обрабатывается в компании, что именно составляет коммерческую или банковскую тайну, а что компания просто считает конфиденциальным и определить для себя некий порог возможной стоимости потерь, начиная с которого вы предпочтете информацию шифровать.

Что, на мой взгляд, шифровать нужно однозначно:

1. Мобильные устройства, содержащие информацию, отнесенную к коммерческой и/или банковской тайне или информации с ограниченным доступом;

2. Жесткие диски серверов, подлежащих перевозке (доставке) в филиалы средствами сторонних перевозчиков;

3. Жесткие диски компьютеров, содержащих банковскую (коммерческую) тайну (на случай выхода жестких дисков (компьютеров) из строя с последующим гарантийным ремонтом).

На самом деле в последнем случае нужно посчитать, что дешевле, шифровать или просто купить новый жесткий диск. Однозначно необходимо шифровать, если у вас с поставщиком не заключен договор о возможности сдачи в гарантийный ремонт ПК без жесткого диска.

Чем шифровать?

Вопрос отнюдь не праздный. Криптографические меры безопасности на Украине регулируются государством, причем достаточно жестко. Поэтому стоит учитывать и этот аспект. Хотя мне многие могут возразить, что купить можно много разного ПО для шифрования, я все же хочу спросить – вы хотите иметь дело со службой безопасности Украины и объяснять, откуда вы взяли и почему нарушаете правила лицензирования и соответствующий закон, применяя не сертифицированные средства?

Об этом аспекте тоже, как видите, нужно думать. Хочу сказать, что я никогда не буду применять бесплатное ПО в области шифрования. И вам то же советую.

Как обеспечить законность применения средств криптографической защиты?

Этот вопрос тесно перекликается с предыдущим. В обязательном порядке у вас должны быть предусмотрены процедуры для пользователей о хранении ключей шифрования, о правилах в случае утраты ключей и т.д.

Советую продумывать подобные инструкции и процедуры ДО того как что-то произойдет. А то, что рано или поздно неприятности придут, не сомневайтесь. Причем придут, во-первых, рано, во-вторых, вы, как обычно, будете к ним не готовы. Ведь бутерброд всегда падает маслом вниз, верно?

Как не нанести большего вреда?

Применяя шифрование, сотрудники ИТ и службы безопасности не задумываются о том, что применение, особенно неграмотное применение средств шифрования, приносит гораздо больше вреда, чем пользы! Да-да!

Почему? Попробуем привести пару примеров.

Ваши сотрудники имеют право шифровать свои ноутбуки, однако вы не продумали процедуру хранения резервных ключей (скажете такого не бывает?). Сотрудник забыл пароль – диск форматировать?

Ваш сотрудник выносит информацию на шифрованной флешке? Ситуация невероятная? Отнюдь.

К чему это я? Да просто никогда ТОЛЬКО шифрованием дыры не закрыть! Хотелось, чтобы вы об этом помнили!

На самом деле хотелось бы просто, чтобы уважаемые читатели понимали, что шифрование это хорошо, однако не поддержанное политикой безопасности, организационными документами, инструкциями, обучением пользователей, оно может принести куда больше вреда, чем пользы.

+511
голосов

Напечатать Отправить другу

Читайте также

"Хочу сказать, что я никогда не буду применять бесплатное ПО в области шифрования"

Т.е. Вы считаете, что ПО с неизвестной реализацией алгоритма шифрования лучше чем ПО с открытым кодом, которое обычно и бывает бесплатным? И после этого говорите о безопасности.
Даже открытый код не безопасен. В тьюринговской лекции Томсона это показано предельно доходчиво.

я сказал именно то что хотел сказать.
О ПО с окрытым кодом я никогда не говорил и не буду говорить.
Я говорю именно о бесплатных продуктах. А это не только ПО с открым кодом, верно?
Вы сами и только вы отвечаете за свою безопасность. Вам выбирать что использовать.

А я всего лишь выражаю свою точку зрения. Вы можете соглашаться со мной или нет - это ваше право. И, поверьте, мне это абсолютно все равно. Мою точку зрения вы не измените.

Microsoft Security Trusted Adviser
MVP Consumer Security

Я не пытаюсь повлиять на вашу точку зрения. Я просто пытаюсь получить ответ на вопросы, поставленные в посте.
Вопрос №2-"Чем шифровать". Насколько надежны средства, обеспечивающие безопасность? Что я о них знаю? Что могу узнать?
Т.е. я просто пытаюсь понять вашу точку зрения.

Хороший вопрос. На который очень сложно ответить. Насколько надежны...
1. Посмотрите какой алгоритм реализован. Неизвестный алгоритм уже повод для настороженности, согласны?
2. Посмотрите длину ключа. Для симметричных сегодня, на мой взгляд, это минимум 128 бит, для несимметричных 2К
3. А вот далее наступает самое интересное - как реализован тот или иной алгоритм. Боюсь что здесь можно только читать отзывы. И не более того

Microsoft Security Trusted Adviser
MVP Consumer Security

Если бы еще знать,чьи отзывы читать :-)
А серьезно, с первыми двумя пунктами все ясно, а на третий ответа нет, к сожалению. Отзывы вещь субъективная, а процедуры проверки не существует.
Отсюда и мысли об открытом коде. Анализ реализации алгоритма позволит судить о надежности. Я не вижу другого пути. Или я чего-то не понимаю?

С одной стороны вы правы, но лишь с одной.
Для шифрования на Украине сегодня разрешено применять только сертифицированные продукты (в крайнем случае для корпоративного сектора). Таким образом, наш выбор существенно сокращается. Верно? И, насколько мне известно, открытый код не реализует подобные алгоритмы. Правда я могу ошибаться.
Microsoft Security Trusted Adviser
MVP Consumer Security

У автора хотел бы спросить: в чем смысл поста в блог? Зачем поднимать вопрос об ИБ и говорить очевидные вещи? Это естественно, что необходимо категорировать информацию. Очевидная вещь и о непродуманной процедуре восстановления. Гнать в шею таких безопасников.
В общем, я не понял, на кого расчитан пост. Если на начинающих, то наверное, есть необходимость начать с азов (пачка ИСО-стандартов, рекомендации, RFC), если для профессионалов, надо добавить изюминки, а не стандартную ситуацию обсасывать.

А теперь вопрос по сути к автору, у которого уважаемый статус по ранжиру от MS. Вопрос, который меня интересует:
- Смогу ли я использовать на Украине BitLocker или нет? Я однозначно ответить на вопрос не могу: с одной стороны он не сертифицирован на Украине (смысла сертификации вообще не вижу, и попробуйте мне доказать обратное!) с другой я приобрел на территории Украины товар (Windows 2008) и имею право использовать весь его функционал.
Пока никто внятно не ответил мне на такой вопрос. Хотелось бы послушать рассуждения автора.

PS: насчет лично мое мнение и никто не переубедит... здесь никто никого переубеждать не собирается, все взрослые люди.

---
Удачи.

Однозначного ответа на ваш вопрос у меня нет.
Я в свое время задавал этот же вопрос нашим уважаемым органам и тоже внятного ответа не получил
PS
Естественно вопрос я задавал как частное лицо.
Microsoft Security Trusted Adviser
MVP Consumer Security

Скажите пожалуйста, в какой именно орган вы обращались? Это был письменный запрос? Невнятный ответ вам в каком виде дали?

Я обращался как частное лицо. Это не был письменный официальный запрос. Я получил два взаимоисключающих ответа:
1. Нельзя. Нужно сертифицировать
2. Можно. Вы честный покупатель, купили - можете работать.
Естественно, фамилии тех, с кем говорил, я приводить не буду.
Соответственно, я понимаю, что нужен письменный запрос. НО я его делать не буду :) Я ведь не официальное лицо.

Microsoft Security Trusted Adviser
MVP Consumer Security

"Поэтому стоит учитывать и этот аспект. Хотя мне многие могут возразить, что купить можно много разного ПО для шифрования, я все же хочу спросить – вы хотите иметь дело со службой безопасности Украины и объяснять, откуда вы взяли и почему нарушаете правила лицензирования и соответствующий закон, применяя не сертифицированные средства?

Об этом аспекте тоже, как видите, нужно думать. Хочу сказать, что я никогда не буду применять бесплатное ПО в области шифрования. И вам то же советую.
"

может потому что, вы слабо владеете познаниями в бесплатном ПО, например потому же вопросу шифрования???

Также вопрос,вы говорите, что используя "нелицензированное" ПО для шифрования, мы рискуем столкнуться с нашей бравой "конторой"... Вы можете мне назвать хоть один НПА, запрещающий мне, частному лицу, использовать шифрование персональных данных посредством свободно-распротраняемых алгоритмов и ПО, не важно сертифицирован он ДСТСЗИ (а не СБУ).....???

Частному? А кто говорит о шифровании для частного лица? В данном случае речь идет о шифровании корпоративном. А закон о лицензировании никто не отменял, верно?
Microsoft Security Trusted Adviser
MVP Consumer Security

Возможно мой вопрос покажется глупым, но все-таки.
Что означает " продукт сертифицирован"? Он проверен, включая алгоритм и его реализацию? Или просто разрешен к применению?

Это означает что продукт прошел определенные проверки и признан разрешенным к применению
PS
Это частное мнение. А точную трактовку нужно спрашиватьу тех, кто занимается сертификацией.

Microsoft Security Trusted Adviser
MVP Consumer Security

То, что криптографический продукт сетифицирован спецорганами (те же продукты Microsoft) означает, в частности, наличие т.н. backdoor, т.е. возможности спецслужб взломать шифр легко и безболезненно. Разумеется, что производитель такой программы старается не афишировать этот нюанс.
Поэтому упор автора на пользование платными сертифицированными продуктами обусловлен не обьективностью, а попыткой саморекламы. Собственно поэтому автора и чужое мнение не интересует.
По своему опыту могу сказать, что есть как неплохие платные продукты (от Jetico, напр.), так и бесплатные (TrueCrypt). Последние, конечно, больше подходят для персонального, нежели корпоративного использования.

Вы не правы.
1. Автору по большому счету наплевать что вы будете использовать. Более того, за вашу безопасность деньги получаете вы, значит и отвечать вам
2. То, что необходимо использовать сертифицированное ПО в корпоративной среде - мнение не автора, а требование украинского законодательства
3. BitLocker на сегодня не сертифицирован. Это так, кстати.
4. Сертифицированным продуктом в области шифрования на Украине на сегодняшний день является ТОЛЬКО Secret Disk от Aladdin (www.aladdin.ru). Я просто не помню электронный адрес их украинского представительства
Если вы сможете назвать мне еще какой-то сертифицированный продукт для шфрования всего жесткого диска - буду признателен.
PS
Не стоит путать требования украинского законодательства и частное мнение автора. Вам же полезнее и безопаснее будет, когда придут проверять
Microsoft Security Trusted Adviser
MVP Consumer Security

1. согласен весь
2. Это требование так же и Российского законодательства
3. Я знаю только 2 программы которые имеют сертификаты. Это Крипто ПРО и CyberSafe. Все остальные - это вольные поделки и в учреждениях использоваться не могут.

Кроме того, шифрование - это хрупкая стезя. Без нормального ПО, без службы поддержки, мануалов внедрять его крайне сложно.
Я вот сейчас сижу пишу сообщение, а мой киберсейф шифрует себе спокойно. И я спокоен что использую качественное ПО.

И это намного лучше, чем запороть диск, или флешку, а потом бегать по форумам с криками "помогите"

Ну а что касаемо самого шифрования, то использование программ намного проще как средство, чем долгое изучение всех аспектов криптографии.
Простому пользователю достаточно нажать всего пару кнопок. И пользователь счастлив, что его не закидывают тоннами инструкций.

Спасибо, Сергей. Я действительно не знал сайт их представительства
Microsoft Security Trusted Adviser
MVP Consumer Security

кстати, для Российских пользователей, вот их офф. сайт
http://cybersafesoft.com/rus/

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT