Кратко о защите ноутбуков в компании

В настоящее время очень тяжело найти компанию, в составе ИТ–инфраструктуры которой не было бы ноутбуков. Как правило, ими пользуются руководители высшего звена, сотрудники ИТ и ИБ подразделений, торговые представители и многие другие сотрудники.

Очевидно, что хранимая на ноутбуках информация может быть различной (от стратегии компании на год или проектной документации, до схемы IP-адресации и БД (базы данных) владельцев токенов и паролей в компании). Как следствие и убыток от ее потери тоже может быть различен (от суммы, не превышающей стоимость самого ноутбука, до очень значительных сумм и репутации компании). 

Итак, вы ответственный за ИБ (информационную безопасность) в компании и вам необходимо предпринять меры по упорядочиванию всего этого хаоса.

Во-первых, вам стоит начать с анализа того «Кто» из сотрудников (ФИО, должность), «Где» (в ЛВС, дома и т.д.), «Когда» (в рабочее или нерабочее время) и для «Чего» (работа, развлечения) используют ноутбуки, а так же  «Какая» информация содержится на ноутбуках.

Во-вторых, проанализировав все вышесказанное вам необходимо разработать организационно-технические меры защиты информации на ноутбуках. Организационные меры будут выражаться в следующих документах политика «Использования ноутбука», инструкция «Пользователя ноутбука».

Организационные меры должны включать в себя правила:

• Доступа (подключения) к ЛВС и к сетям общего пользования (в данном пункте регламентируются права и тип (локальный аккаунт или аккаунт в каталоге AD) учетной записи для работы в ЛВС и извне). 
•  Хранения информации (в данном пункте регламентируются раздел и папка для хранения информации).
• Пользования ноутбуком (в данном пункте регламентируются обязанности пользователя по настройке защиты, частоте антивирусной проверки ноутбука, настройку и установку ПО).

Технические меры могут включать в себя (в зависимости от модели угроз):

• Криптографические средства защиты (шифрацию жесткого диска или крипто-контейнеры).
• Средства усиленной аутентификации (смарт-карты, биометрию).
•  Антивирусное ПО и межсетевые экраны.
• ПО контроля съемных носителей. 
• ПО контроля деятельности пользователей.

В-третьих, после разработки организационно-технических мер необходимо их утвердить в компании, провести обучение пользователей в соответствии с разработанными документами.

Далее необходимо организовать учет и контроль владения ноутбуками и передачу их другим сотрудникам, проводить периодическое обучение сотрудников правилам работы и контролировать знание содержимого политик ИБ.

Все вышесказанное является кратким комплексом мер, призванным повысить уровень ИБ и защищенность данных в компании. Даже если никаких серьезных инцидентов с ноутбуками не произойдет вы, как сотрудник ответственный за ИБ в компании, обязаны разработать и внедрить меры по защите ноутбуков в компании.

03-08-2010  | Permalink |  Comments (1)