Информационная безопасность предприятия.

А насколько небольшая компания и какова конечная цель поста?

 

Проблема реально насущная, и востребованная начиная с опр. уровня.
Коллеги плотно занимаются, достаточно профессионально. Секретами никто делится не будет, увы)
Стоимость соответствующая)

Тока не надо забывать, никакая инф. безопасность никогда не спасет от слива путем чел. фактора-жадности.

 

а что есть какая то секретная информация?

 

обычно самое секретное - это голые фотки секретутки с генеральным

по теме - каждому сотруднику покупается личная ЭЦП, на комп ставится криптоклиент.
каждый документ подписывается и шифруется подписью организации + личной подписью сотрудника.
открывается соответственно так же.

более дешевая реализация - каждый документ шифруется крипто-прогой (их вагон) по паролю, расшифровывается так же по паролю.
так работает газпром. минус - нужно обеспечить регулярную генерацию паролей.

к внутренней сети и видеонаблюдению доступ открывается через VPN, реализаций море.

вход в инет (и доступ к компу вообще) строго по смарт-картам (чипам), все данные фиксируются.

 

Это в ЦРУ так или в ФСБ?))

 

про цру не знаю, в фсб во многих офисах сеть одноранговая без домена, юзеры под админской учёткой сидят.
им из главка вопрос поступает "обеспечиваете?" - "обеспечиваем!", в это время админы в серверной вотку пьют.
мои одногруппники через фсб и фсо прошли, ловить там нечего.

 

Сейчас основной канал утечки это человеческий фактор, а по простому длинный язык сотрудников. Какие бы не были технические средства главное это персонал.

 

Чтобы все это реализовать надо определить в компании понятие коммерческой тайны и что в него включается.
Затем надо определить какой круг лиц, должностей и уровней будут допущены к этой тайне, а какие нет. После этого все это надо прописать в трудовых договорах, смк, приказах.
Определить меры наказания за разглашение этой информации.
После этого можно приступать к внедрению.
Без вышеуказанных мер есть риски. Например:
1. В случае утечки надо доказать, что это была коммерческая тайна, а без бумаг с перечнем информации, попадающей в режим коммерческой тайны, а иначе провал.
2. Суметь доказать, что это разглашение коммерческой тайны и компания понесла ущерб ввиду этой утечки.
3. Все электронные фичи без бумаги и понятия режима «коммерческой тайны» могут сыграть против Вас.
Резюмируя, начните с бумаг. Но все вышеуказанное на 100% не обезопасит

 

Какой бюджет есть желание освоить? И какого уровня паранойи достичь?

Данные хорошо бы в облаке хранить, на компах юзеров флешки с гостевой ОС и удаленный рабочий стол в облаке.

 

ВСё это ф..ня , маски шоу не один раз переживал , ТЕРМОРЕКТАЛЬНЫЙКРИПТОАНАЛИЗ ломал любые пароли. Особенно если человек не подготовленный , девченки быстрее всех ломались . Одна богатая компания , столько бабок вложила в безопасность (фильтрация почты , заходов на сайты , переписки , печатей на принтеры ) , человек который всё сливал , просто инфу фотал на смартфон.
Щас можно достать любую инфу , плати бабки и всё , информацию по счетам , детали звонков и смс , слушать телефон , ломать почту , даже от icloud отвязывают потеряшки , вы думаете откуда всё идет ? просто ищут нужных людей .
А минималка , VPN . Хранить данные (обмены и базы и 1с(можно облаке)) и бэкапы в защищенном контейнере , аля трукрипт и пароль должны звать только вы , ну и кнопку , чтобы всё отваливалось при нажатии.

 

На объекты росатома запрещен пронос мобильных и флешек. На входе - рентген. Связь глушат напрочь.

 

Откуда такая информация?

 

Всё это фигня, был я в АО «НИКИЭТ» дважды, может и запрещено, но никто не обыскивает, двери, рамки, охрана, туда сюда люди вполне ходят. Если человек захочет, то способ найдёт.

В каком только, при условии что все провайдеры информацию по первому требованию предоставляют, а трафик нешифрованный только в путь на лету снимают.

Чем заниматься то нужно, что бы ещё и не один раз захаживали?

 

Для общеизвестного примера , иранская ядерная программа, если надо , всё пронесут .

винирами барыжил , а если серьезно , всегда есть тот, кто хочет чего-то спрятать и есть такие люди , которые хотят , чтобы с ними поделились .

 

На всё надо время , а у вас его не будет .
Шифруешь раздел целиком тем же трукриптом и делаешь ещё один пароль (чтобы при его вводе раздел удалялся , против терморектального криптоанализа) и при включении , вводишь нужный, главное компьютер перегрузить если придут . Можно на флэшку ( SSD флэш , USB3.0 ) ОС поставить и так же зашифровать и таскать с собой .
Ну если вообще "не петришь" и хочешь полную анонимность с такими плюшками как подмена днс , аномайзеры и всё такое , то на таких ресурсах как дарквэб , можно готовые флэшки взять .

 

Езжу регулярно на завод в электросталь.

 

Ну рутина эта надоест через неделю , ну если хочется , скачай тот же ccleaner , там есть радел удаление данных , в нем выбираешь ТОЛЬКО СВОБОДНОЕ МЕСТО и количество проходов и запускаешь , вот и увидишь сколько времени это займет и будешь ли это делать постоянно.

 

ох сказал бы я , что там ребята проносили .

 

Зашифрованная флешка с никсами, работа строго в терминальной сессии на сервере в облаке за речкой, логин туда по отпечатку пальца или смарт-карте. Прав у юзера никаких, терминальный сервер приложений, рабочие базы лежат на другом сервере, путь скрыт, сисадмин не в штате и работает удаленно без договора за битки. В офисе много камер и суровая служба собственной безопасности.

 

правильно заметили , отличаются , поэтому делать это постоянно смысла нет . Раздел шифровать и при включение пароль , самое простое решение .

 

Если в штате и охрана их знает, то допускаю, там вход через зеленый коридор.
Я сторонюю организацию представляю, пронести ничего не могу.

 

Ну вот поэтому , мы опять же упираемся в человеческий фактор . И в большинстве случаев , это главная проблема . Полностью исключить его нельзя , но способами , как ты писал выше , его можно минимизировать.

 

Трукрипт или любой другой аналог , он шифрует раздел целиком с файлами подкачек , лучше по хабру полазить , по фразе трукрипт , там примеры в статьях были . Просто очень долго все нюансы писать , да и не в этом месте.