Шифрование ПК. Давайте задумаемся

Итак, вы пришли к выводу, что хотите внедрять криптографические методы защиты информации на своем предприятии. Однако вначале я рекомендую сесть и спокойно подумав, ответить себе на несколько вопросов:

1. Что шифровать?
2. Чем шифровать?
3. Как обеспечить законность применения средств криптографической защиты?
4. Как не нанести большего вреда?

Лишь в том случае если у вас есть ответы на все эти вопросы и эти ответы вас устраивают, можно переходить непосредственно к шифрованию. А, казалось бы, все так просто, берешь ПО, шифруешь и все. Ан не тут-то было! Давайте задумаемся, а почему?

Что шифровать?

На самом деле вопрос не тривиален. Внедрение каждого программного обеспечения это, прежде всего расходы. Времени, денег и т.д. Поэтому вопрос, а что же мы будем шифровать, нужно рассматривать очень внимательно. Я не собираюсь здесь долго пояснять, почему ответ «ВСЕ!» даже не рассматривается. ВСЕ – это означает бездумную трату материальных и людских ресурсов. В самом деле, зачем шифровать жесткий диск в отделе рекламы? Таким образом, мы с вами приходим к мысли, что вначале то, собственно, нужно понять, какая информация обрабатывается в компании, что именно составляет коммерческую или банковскую тайну, а что компания просто считает конфиденциальным и определить для себя некий порог возможной стоимости потерь, начиная с которого вы предпочтете информацию шифровать.

Что, на мой взгляд, шифровать нужно однозначно:

1. Мобильные устройства, содержащие информацию, отнесенную к коммерческой и/или банковской тайне или информации с ограниченным доступом;

2. Жесткие диски серверов, подлежащих перевозке (доставке) в филиалы средствами сторонних перевозчиков;

3. Жесткие диски компьютеров, содержащих банковскую (коммерческую) тайну (на случай выхода жестких дисков (компьютеров) из строя с последующим гарантийным ремонтом).

На самом деле в последнем случае нужно посчитать, что дешевле, шифровать или просто купить новый жесткий диск. Однозначно необходимо шифровать, если у вас с поставщиком не заключен договор о возможности сдачи в гарантийный ремонт ПК без жесткого диска.

Чем шифровать?

Вопрос отнюдь не праздный. Криптографические меры безопасности на Украине регулируются государством, причем достаточно жестко. Поэтому стоит учитывать и этот аспект. Хотя мне многие могут возразить, что купить можно много разного ПО для шифрования, я все же хочу спросить – вы хотите иметь дело со службой безопасности Украины и объяснять, откуда вы взяли и почему нарушаете правила лицензирования и соответствующий закон, применяя не сертифицированные средства?

Об этом аспекте тоже, как видите, нужно думать. Хочу сказать, что я никогда не буду применять бесплатное ПО в области шифрования. И вам то же советую.

Как обеспечить законность применения средств криптографической защиты?

Этот вопрос тесно перекликается с предыдущим. В обязательном порядке у вас должны быть предусмотрены процедуры для пользователей о хранении ключей шифрования, о правилах в случае утраты ключей и т.д.

Советую продумывать подобные инструкции и процедуры ДО того как что-то произойдет. А то, что рано или поздно неприятности придут, не сомневайтесь. Причем придут, во-первых, рано, во-вторых, вы, как обычно, будете к ним не готовы. Ведь бутерброд всегда падает маслом вниз, верно?

Как не нанести большего вреда?

Применяя шифрование, сотрудники ИТ и службы безопасности не задумываются о том, что применение, особенно неграмотное применение средств шифрования, приносит гораздо больше вреда, чем пользы! Да-да!

Почему? Попробуем привести пару примеров.

Ваши сотрудники имеют право шифровать свои ноутбуки, однако вы не продумали процедуру хранения резервных ключей (скажете такого не бывает?). Сотрудник забыл пароль – диск форматировать?

Ваш сотрудник выносит информацию на шифрованной флешке? Ситуация невероятная? Отнюдь.

К чему это я? Да просто никогда ТОЛЬКО шифрованием дыры не закрыть! Хотелось, чтобы вы об этом помнили!

На самом деле хотелось бы просто, чтобы уважаемые читатели понимали, что шифрование это хорошо, однако не поддержанное политикой безопасности, организационными документами, инструкциями, обучением пользователей, оно может принести куда больше вреда, чем пользы.