Nous sommes actuellement en train de permettre des bâtons de mémoire USB, mais avec une politique plus stricte. Certains points clés de la politique sont les suivants:
J'ai lu sur les menaces de sécurité dans cet article sur Wikipedia: SB_Flash_Drive # Security_theats , mais j'ai eu des problèmes pour expliquer exactement comment et pourquoi permettre aux bâtons USB est dangereux. Quelques points que j'ai soulevés:
Quelqu'un a-t-il d'autres arguments pourquoi il est dangereux d'utiliser des lecteurs USB et peut-être des suggestions sur la politique si nous devons leur permettre?
Les lecteurs USB permettent la propagation des données sans contrôle du pare-feu réseau - de sorte qu'une raison pour laquelle une telle pare-feu a été définie en premier lieu est une bonne raison d'interdire les lecteurs USB.
Je ne vois pas comment vous pourriez faire respecter une politique d'utilisation no-privée. Personnes volonté Utilisez des lecteurs USB pour transférer des données privées, si seulement les dernières photographies de leur chien, et que vous puissiez faire très peu de choses pour empêcher cela, tant que les entraînements USB fonctionnent du tout pour les utilisateurs. Pour faire respecter une politique de sécurité, vous devez avoir au moins l'une des opérations suivantes:
Si vous souhaitez autoriser l'utilisation des bâtons USB, je vous suggère de la définir sur une machine dédiée, qui exécute un système de type UNIX (donc à l'abri des virus Windows et MacOS - pour une sécurité supplémentaire, viser une configuration confidentielle, par exemple Netbsd sur Un ancien matériel Macintosh basé sur PowerPC), exécute automatiquement le logiciel antivirus et exporte le contenu du lecteur USB (vérifié) via un protocole réseau (par exemple, CIFS ou peut-être un simple serveur HTTP local). Au moins, cela évitera des problèmes avec des périphériques USB qui agissent en tant que claviers. Cela peut éventuellement, cela peut inciter les utilisateurs à échanger des données via le réseau, en supprimant la nécessité de lecteurs USB dans cette situation.
En ce qui concerne les dangers des périphériques USB, vous pouvez citer comme exemple le "PSJailbreak" qui est le système de casse PS3 le plus courant à la mi-2010 (c'était avant la découverte de la formidable gaffe de Sony en ce qui concerne la CSDSA). Le PSJailbreak ressemble à une clé USB, mais agit en interne comme hub USB avec quatre appareils virtuels, qui exploite un débordement tampon dans le noyau.
J'ai construit une analyse de rentabilisation, obtenu des fonds et mis en œuvre des contrôles de médias amovibles à une grande banque. J'ai écrit sur mes leçons apprises ici .
Les principales raisons de la raison pour laquelle vous avez besoin de contrôles de support amovibles:
Prévention de la perte de données - Si vous perdez un périphérique amovible avec de nombreuses données précieuses sur celui-ci, vous ne vous engagez pas à une amende par le régulateur, signalez la présentation de la culasse des données et perdre le visage avec vos intervenants. Vérifiez Datalossdb.org pour des incidents d'£/$ réels, y compris la perte massive de HMRC.
Prévention des fuites de données - Vous fermez l'une des méthodes les plus faciles et les plus élevées que votre personnel puisse voler vos informations par exemple. quand ils partent pour un concurrent. Ceci est facile pour la haute direction de comprendre car ils sont généralement le plus gros coupable de devoir prendre des données "personnelles". Oui, il existe d'autres façons, comme le courrier électronique, mais les gens sélectionneront les plus pratiques, les fermeront une à une heure ou au moins chiffrer et surveiller afin que vous sachiez ce qui est copié
Malware - Comme vous l'avez mentionné. L'exemple Hbgary est un bon, beaucoup d'autres. À l'origine, je n'avais pas cela comme conducteur que notre bureau AV semblait être efficace. Mais si la mise en œuvre maintenant, je pousserais certainement à limiter l'accès à la lecture sur USB ainsi qu'IV n'est tout simplement pas efficace contre les menaces émergentes rapides.
Votre politique semble raisonnable mais je suggérerais les modifications suivantes:
Toute données non publiques stockées sur USB et les supports amovibles doivent être cryptés. C'est beaucoup plus facile pour les gens de postuler et pour vous faire une campagne de sensibilisation plutôt que de demander aux gens de classer les données qu'ils sont notoirement mauvaises à faire
Seule une entreprise fournie par les entreprises USB doit être utilisée sur les équipements d'entreprise. Simple. Je suggérerais d'utiliser un lecteur crypté matériel comme une fer d'idèche et simplement bloquer tout le reste.
Lire et écrire l'accès au support amovible ne doit être fourni qu'avec une raison commerciale et être approuvé par votre responsable de ligne. L'accès doit être ré-certifié tous les trimestres. Certaines entreprises émettent une fois 24 heures sur 24 ou une utilisation USB, mais je pense que ce qui précède fournit un meilleur équilibre de risque et de commodité
Toutes les activités de copie à une fois seront effectuées par le support de bureau/du bureau. Ils auront des clés USB approuvées pour cette activité. Toute données à copier sera approuvée par votre gestionnaire de lignes et HR/Conformité s'il s'agit de la copie des données d'entreprise pour une utilisation personnelle par exemple. en quittant la société.
Vous avez également besoin d'un processus d'exception effectif bien sûr de la politique, où le risque d'exception est examiné par la sécurité informatique et approuvé par l'entreprise.