Круги конфиденциальности

Круги конфиденциальности
Понятием «Круг конфиденциальности» можно оперировать при определении степени необходимой защиты для конкретной информации. Свою идею я постараюсь пояснить на основе защиты личной информации, находящейся в личных HDDличных ПК. Каким образом происходило хранение информации раньше? Вначале на обычных IDE- и компакт-дисках, позже на внешних USB-драйвах и флешках. Теперь настало облачное мировоззрение. Считается, что доверять облаку можно лишь хранение неконфиденциальных данных. Это не совсем так, более того «вываливать» в облака можно и конфиденциальные данные при соблюдении следующих принципов:
- принимаем, что спецслужбы легко могут получить доступ к зашифрованной криптостойкими алгоритмами AES-256 или ГОСТ 28147 информации (вспомните, как контролируется Skypeв DLP, вам даже не нужно обращаться в Microsoft).
- определяем, для кого ваша конфиденциальная информация не является таковой (например, уровень моей зарплаты не является секретом для папуаса Новой Гвинеи, любого еврогражданина, президента США ).
- помним, что потеря зашифрованной конфиденциальной информации не является утечкой.
- не забываем про сроки, в течение которых защищаемая информация остается конфиденциальной.
Исходя из этих принципов, строим план защиты (оставляем для параноиков вариант зашифрованной пару раз TrueCrypt’ом флешки):
1. Самые ценные данные отправляем в американское или еврооблако, предварительно зашифровав чем-нибудь ГОСТ’овым.
2.Менее ценные данные отправляем туда же, но без предварительного шифрования.
3. Данные не представляющие особой ценности, а таких всегда будет большинство, оставляем на хранении на территории РФ (типа Яндекс.Диск ).

При такой схеме более важным, чем сами данные являются ключи шифрования таковых и доверенность среды, с которой осуществляется доступ. Разумеется, данный подход не является универсальным, а очень зависит от модели угроз. Представьте, что будет, если наши чиновники продолжат для служебной переписки использовать «безопасный» Gmail, или коммерческие фирмы продолжат использовать социальные сети в качестве базовой площадки для обсуждения Roadmap, Knowhowи прочего внутреннего документооборота.
Облака Аналитика Риски
Alt text

Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей на нашем Youtube канале.

Евгений Шауро

Блог специалиста по информационной безопасности