понедельник, 2 декабря 2013 г.

Круги конфиденциальности

Понятием «Круг конфиденциальности» можно оперировать при определении степени необходимой защиты для конкретной информации. Свою идею я постараюсь пояснить на основе защиты личной информации, находящейся в личных HDD личных ПК. Каким образом происходило хранение информации раньше? Вначале на обычных IDE- и компакт-дисках, позже на внешних USB-драйвах и флешках. Теперь настало облачное мировоззрение. Считается, что доверять облаку можно лишь хранение неконфиденциальных данных. Это не совсем так, более того «вываливать» в облака можно и конфиденциальные данные при соблюдении следующих принципов:
- принимаем, что спецслужбы легко могут получить доступ к зашифрованной криптостойкими алгоритмами AES-256 или ГОСТ 28147 информации (вспомните, как контролируется Skype в DLP, вам даже не нужно обращаться в Microsoft).
- определяем, для кого ваша конфиденциальная информация не является таковой (например, уровень моей зарплаты не является секретом для папуаса Новой Гвинеи, любого еврогражданина, президента США).
- помним, что потеря зашифрованной конфиденциальной информации не является утечкой.
- не забываем про сроки, в течение которых защищаемая информация остается конфиденциальной.
Исходя из этих принципов, строим план защиты (оставляем для параноиков вариант зашифрованной пару раз TrueCrypt’ом флешки):
1. Самые ценные данные отправляем в американское или еврооблако, предварительно зашифровав чем-нибудь ГОСТ’овым.
2.Менее ценные данные отправляем туда же, но без предварительного шифрования.
3. Данные не представляющие особой ценности, а таких всегда будет большинство, оставляем на хранении на территории РФ (типа Яндекс.Диск).

При такой схеме более важным, чем сами данные являются ключи шифрования таковых и доверенность среды, с которой осуществляется доступ. Разумеется, данный подход не является универсальным, а очень зависит от модели угроз. Представьте, что будет, если наши чиновники продолжат для служебной переписки использовать «безопасный» Gmail, или коммерческие фирмы продолжат использовать социальные сети в качестве базовой площадки для обсуждения Roadmap, Knowhow и прочего внутреннего документооборота.

Комментариев нет:

Отправить комментарий