Дзмiтрок:
ive7,
1) Соединение - не проблема при нынешнем уровне развития коммуникаций. Канала 128 К - в принципе достаточно для работы, даже более-менее можно по GPRS удаленно доступ поиметь. Не говоря о развитых 3G сетях во многих странах. Стоит - ну 5-10 долл в день максимум.
128K достаточно для удаленного администрирования сервера, но недостаточно для нормальной работы с документами. Имею опыт администрирования сервера по RDP через GPRS. Это не работа, а пытка. GPRS и 3G классно работают на улице рядом с базовой станцией. Часто случалось, что в отеле, на производстве, в поездах и просто за городом связь еле работает и задержки прохождения пакетов огромные.
Дзмiтрок:
2) Графика - зависит от характера работы. Для дизайнеров/CAD можно жестко сконфигурировать машины, только на использование через сеть файлов и дать таким образом работать.
3) Clipboard - ес-сно запретим, если они ПОЛНОСТЬЮ работают через RDP с тонкого клиента - зачем Clipboard?
Чтобы копировать из документа, полученного от партнеров на флешку, а не перенабирать 20-значные номера банковского счета.
Принтеры тоже отключим? Есть у винды такой классный принтер - "Generic/Text only".
Дзмiтрок:
Пользователи локально инфу не сохранят, т.к. возможности такой НЕТ.
4) Пересылка по почте - это ЛОГИ. А по ним мы отслеживаем что-куда. А значит - доказательная база - суд - итд.
Принт-скрина - нет. Фотографировать экран в офисе - значит попасть на видео - доказательная база - суд - итд.
Опять же - ЗИ в головном офисе - учтена.
НО! решение, приведенное выше - это базовое решение. Оно обеспечивает основные требования к ИБ. Оно создает управляемую инфраструктуру. Оно позволяет дальше работать в этом направлении. Так сказать , создает костяк. И позволяет получить доказательную базу о хищении информации из предприятия путем злоупотребления своим служебным положением (ну например, мы дали начальнику отдела доступ к файлам подчиненных - а он сфоткал с экрана/переслал по почте). НО! Опять же - ничто не мешает нам внедрить DRM - а это значит, что даже если переслал он файлы - то он их не откроет вне сети и с другого пользователя).
Ес-сно он может , к примеру, т.к. он начальник , и ,допустим, мы дали ему допуск работать удаленно - зайти дома с ноутбука в сеть открыть файлы и сфоткать - но - это , при развернутом включенном аудите и настройках ПО выдаст нам алерт о нетипичном поведении, и когда он придет след . раз на работу - можно поинтересоваться, а зачем это он открывал поочередно все файлы сотрудников? И т.д.
Т.е. , еще раз повторюсь, что гос. тайну так не защитишь, но базовое секьрити это решение обеспечивает.
С организационными вопросами - согласен, тольк круглосуточно - перегнули вы. Оно автоматически мониторится. А непосредственно за соблюдение политик на местах возлагается ответственность на непосредственных руководителей и прописывается так же в контрактах сотрудников.
Следы останутся, но вот информацию уже украли. И обнаружат это в лучшем случае на следующий день и то, если алерты это не потонут в море ложных срабатываний.
Тут ты выступаешь скорее как следователь, а не как специалист по защите информации.
Коммерческие конторы побоятся обращаться в суд. Есть риск, что в результате изучения следователями доказательств повсплывает черная/серая бухгалтерия.
Дзмiтрок:
Насчет банков - иногда, заходишь в банк (не там где они платежки принимают в опер. зале, а внутрь) - и удивляешся, как там еще все не покрали )
Не крадут у банков потому, что до сих пор не придумано способов как получить украденные деньги.
Как ты думаешь, насколько времени хватит терпения директора, когда он помучается в командировках с доступом к терминальному серверу, будет регулярно получать жалобы от партнеров на то, что присланный контракт не читается из-за DRM, регулярно отправлять деньги не неправильные реквизиты и потом бодаться с банком чтобы их вернули. Особенно с учетом того, сколько это стоит, и что нет гарантии, что инфу не уведут.
Защита информации это очень неудобно и дорого. Призрачная защита коммерческих секретов не оправдывает тот уровень проблем и издержек, которые создает комплекс мер по защите информации.