Контакты
Подписка
МЕНЮ
Контакты
Подписка

Подключение к рабочим станциям с домашних ПК сотрудников - Форум по вопросам информационной безопасности

Подключение к рабочим станциям с домашних ПК сотрудников - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 >

Автор: sekira | 72178 23.05.2017 10:07
"бил бы ремнем, чтобы впредь было неповадно..."
золотые слова...

Автор: Андрей , ОКБ САПР | 72180 23.05.2017 12:01
"...Но за идею подключения к таким системам из дома вообще, imho, бил бы ремнем, чтобы впредь было неповадно..."

Сегодня в штате многих компаний есть удаленные сотрудники + есть сотрудники, которым необходим удаленный доступ к корпоративной сети, например, во время коммандировки. С развитием современных коммуникаций это уже норма. Да и если это идет на пользу бизнесу (решение оперативно каких-либо задач из дома), то почему нет? Главное - правильно организовать.

Автор: Андрей , ОКБ САПР | 72181 23.05.2017 12:05
Прошу прощения, сделал опечатку в слове "командировка".

Автор: oko | 72182 23.05.2017 12:34
to Андрей
Бизнес бизнесом, а гос.ресурс гос.ресурсом. Аналогично с ПДн (хотя бывают исключения, согласен)...
Главный фактор: работа из командировок - это нормально, работа на дому - это неограниченное число каналов утечки, как ни крути. Вот за такие поползновения и надо бить по рукам. Потому как информация имеет свойство просачиваться, а человек имеет свойство искать послаблений в любой среде после некоторого времени эксплуатации вверенной ему системы...
Впрочем, тот же МАРШ штука любопытная и полезная. Нужно лишь меру знать, с чем у конечных эксплуатантов, зачастую, проблемы...

Автор: Андрей , ОКБ САПР | 72183 23.05.2017 13:18
Мы считаем, что "МАРШ!", и любой другой наш продукт, реализующий концепцию "доверенного сеанса связи", как раз позволяет снизить риск утечки корпоративной информации, если человек работает удаленно.
Не важно - командировка или дом. В командировке тоже может быть неограниченное число каналов утечки. В том или ином случае, юзер является удаленным.

Тут важно, чтобы пользователь работал с ресурсом, используя доверенное средство (с доверенной вычислительной средой), и АИБ это мог проконтролировать. Да, в командировку можно пользователя отправить с корпоративным ноутбуком с предустановленными СЗИ (минимальную их стоимость я озвучивал выше). Домашний ПК обустраивать таким набором СЗИ нерентабельно, плюс ко всему, это будет вторжением в частную жизнь, если АИБ будет все контролировать, что происходит дома. Поэтому решения, реализующие концепцию ДСС, для удаленной домашней работы идеально подходят.

Автор: oko | 72184 23.05.2017 13:46
to Андрей
Вы рассматриваете проблематику однобоко. Без учета психологии конечного сотрудника...
Если совсем упрощенно, то работа в командировке психологически предусматривает некоторую "замкнутость". Сотрудник инстинктивно будет охранять свою "точку подключения" и "доверенный канал" от лиц, способных реализовать утечку данных (хоть по визуалке, хоть иным способом). А вот в домашних условиях работает подсознательный принцип "мой дом - моя крепость". И там повышается вероятность утечки "по случайности" для лиц, "доверенных" для сотрудника, но "недоверенных" для предприятия (и бизнеса вообще). А дальше работает принцип "просачивания информации". Если все это смоделировать, то явственно выходит, что доверенный канал - это не главное...

Автор: Андрей , ОКБ САПР | 72185 23.05.2017 14:39
to oko

С Вами согласен, я рассматривал проблему с технической стороны. Естественно, что при организации удаленного доступа сотрудников необходимо вводить ряд организационных/административных мер, например: инструкции о том, как пользоваться и хранить технические средства, используемые для удаленного доступа, соглашение о неразглашении защищаемой информации и т.д.
Прошло около недели

Автор: Никита | 72477 02.06.2017 12:06
Если бумажную сторону уже обсосали, расскажу о технической.
Если кратко, то RDP в браузере с двухфакторной авторизацией по сертификату или токену. Всяко будет надежнее, чем VPN при условно скомпрометированном домашнем ПК.

Автор: nekto | 72479 02.06.2017 13:53
to Никита | 72477

Браузер на скомпрометированном ПК не лучше домашнего ПК... Если поставить софт, записывающий видео с экрана, то и браузер тоже будет записан...
Без доверия к операционной системе проблему вообще не решить...
Поэтому - Либо доверенное железо (рабочий ноутбук, планшет и т.п.) с доверенной ОС, либо съёмный загрузочный носитель, с доверенной ОС...
И только после можно говорить о защите канала...

Автор: oko | 72485 03.06.2017 20:26
to nekto
Либо комплексная проверка средствами АВЗ перед установлением соединения...
Либо изоляция памяти, выделенной для обработки ИОД, включая видеопоток (на уровне видеодрайвера и оперативной памяти со свопом)...
Либо прием/передача/отображение ИОД в семантически неявном виде с использованием кодификаторов уровня баз данных ИОД...
Подходов масса - выбирай на вкус, цвет и назначение (не все вышесказанное относится к обычной удаленной работе юзера/админа в операционной среде защищаемой ИС, разумеется)...

to Никита
Предложенный вами подход прекраен, удобен и прост. Жаль только, что в части безопасности он устарел лет на 5. Рекомендую почитать соответствующие технические бумаги...

Страницы: < 1 2 3 >

Просмотров темы: 5587

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*