Автор: sekira | 72178 | 23.05.2017 10:07 |
"бил бы ремнем, чтобы впредь было неповадно..."
золотые слова... |
Автор: Андрей , ОКБ САПР | 72180 | 23.05.2017 12:01 |
"...Но за идею подключения к таким системам из дома вообще, imho, бил бы ремнем, чтобы впредь было неповадно..."
Сегодня в штате многих компаний есть удаленные сотрудники + есть сотрудники, которым необходим удаленный доступ к корпоративной сети, например, во время коммандировки. С развитием современных коммуникаций это уже норма. Да и если это идет на пользу бизнесу (решение оперативно каких-либо задач из дома), то почему нет? Главное - правильно организовать. |
Автор: Андрей , ОКБ САПР | 72181 | 23.05.2017 12:05 |
Прошу прощения, сделал опечатку в слове "командировка".
|
Автор: oko | 72182 | 23.05.2017 12:34 |
to Андрей
Бизнес бизнесом, а гос.ресурс гос.ресурсом. Аналогично с ПДн (хотя бывают исключения, согласен)... Главный фактор: работа из командировок - это нормально, работа на дому - это неограниченное число каналов утечки, как ни крути. Вот за такие поползновения и надо бить по рукам. Потому как информация имеет свойство просачиваться, а человек имеет свойство искать послаблений в любой среде после некоторого времени эксплуатации вверенной ему системы... Впрочем, тот же МАРШ штука любопытная и полезная. Нужно лишь меру знать, с чем у конечных эксплуатантов, зачастую, проблемы... |
Автор: Андрей , ОКБ САПР | 72183 | 23.05.2017 13:18 |
Мы считаем, что "МАРШ!", и любой другой наш продукт, реализующий концепцию "доверенного сеанса связи", как раз позволяет снизить риск утечки корпоративной информации, если человек работает удаленно.
Не важно - командировка или дом. В командировке тоже может быть неограниченное число каналов утечки. В том или ином случае, юзер является удаленным. Тут важно, чтобы пользователь работал с ресурсом, используя доверенное средство (с доверенной вычислительной средой), и АИБ это мог проконтролировать. Да, в командировку можно пользователя отправить с корпоративным ноутбуком с предустановленными СЗИ (минимальную их стоимость я озвучивал выше). Домашний ПК обустраивать таким набором СЗИ нерентабельно, плюс ко всему, это будет вторжением в частную жизнь, если АИБ будет все контролировать, что происходит дома. Поэтому решения, реализующие концепцию ДСС, для удаленной домашней работы идеально подходят. |
Автор: oko | 72184 | 23.05.2017 13:46 |
to Андрей
Вы рассматриваете проблематику однобоко. Без учета психологии конечного сотрудника... Если совсем упрощенно, то работа в командировке психологически предусматривает некоторую "замкнутость". Сотрудник инстинктивно будет охранять свою "точку подключения" и "доверенный канал" от лиц, способных реализовать утечку данных (хоть по визуалке, хоть иным способом). А вот в домашних условиях работает подсознательный принцип "мой дом - моя крепость". И там повышается вероятность утечки "по случайности" для лиц, "доверенных" для сотрудника, но "недоверенных" для предприятия (и бизнеса вообще). А дальше работает принцип "просачивания информации". Если все это смоделировать, то явственно выходит, что доверенный канал - это не главное... |
Автор: Андрей , ОКБ САПР | 72185 | 23.05.2017 14:39 |
to oko
С Вами согласен, я рассматривал проблему с технической стороны. Естественно, что при организации удаленного доступа сотрудников необходимо вводить ряд организационных/административных мер, например: инструкции о том, как пользоваться и хранить технические средства, используемые для удаленного доступа, соглашение о неразглашении защищаемой информации и т.д. |
Автор: Никита | 72477 | 02.06.2017 12:06 |
Если бумажную сторону уже обсосали, расскажу о технической.
Если кратко, то RDP в браузере с двухфакторной авторизацией по сертификату или токену. Всяко будет надежнее, чем VPN при условно скомпрометированном домашнем ПК. |
Автор: nekto | 72479 | 02.06.2017 13:53 |
to Никита | 72477
Браузер на скомпрометированном ПК не лучше домашнего ПК... Если поставить софт, записывающий видео с экрана, то и браузер тоже будет записан... Без доверия к операционной системе проблему вообще не решить... Поэтому - Либо доверенное железо (рабочий ноутбук, планшет и т.п.) с доверенной ОС, либо съёмный загрузочный носитель, с доверенной ОС... И только после можно говорить о защите канала... |
Автор: oko | 72485 | 03.06.2017 20:26 |
to nekto
Либо комплексная проверка средствами АВЗ перед установлением соединения... Либо изоляция памяти, выделенной для обработки ИОД, включая видеопоток (на уровне видеодрайвера и оперативной памяти со свопом)... Либо прием/передача/отображение ИОД в семантически неявном виде с использованием кодификаторов уровня баз данных ИОД... Подходов масса - выбирай на вкус, цвет и назначение (не все вышесказанное относится к обычной удаленной работе юзера/админа в операционной среде защищаемой ИС, разумеется)... to Никита Предложенный вами подход прекраен, удобен и прост. Жаль только, что в части безопасности он устарел лет на 5. Рекомендую почитать соответствующие технические бумаги... |
Просмотров темы: 5587