Проблемы внедрения дискового шифрования

Олег Ларин,
старший инженер по информационной безопасности Wrigley GmbH

Полное дисковое шифрование на мобильных компьютерах организаций заслуженно получает все большее распространение. Но наряду с множеством замечательных отчетов о достоинствах различных систем шифрования полез-знать о проблемах, возникающих при внедрении этой технологии. Надеюсь, данный опыт внедрения полного дискового шифрования позволит кому-то избежать типичных ошибок.

Работа с пользователями

Еще при планировании необходимо найти баланс между настройками безопасности и комфортом работы пользователей. Скажем, возможность предварительной аутентификации перед загрузкой операционной системы (ОС) резко снижает риски доступа к данным, но может привести к серьезной дополнительной нагрузке на центры поддержки пользователей и отделы ИТ, особенно в крупных организациях.

Очень важно еще до внедрения оценить, как система дискового шифрования будет влиять на производительность компьютеров всех имеющихся конфигураций. К примеру, выяснилось, что больше других страдают от потери в производительности пользователи ультрапортативных ноутбуков. Обнаружив "группу риска" вовремя, можно спланировать меры по снижению негативного влияния.

Еще до внедрения важно морально подготовить отделы ИТ и пользователей к появлению проблем, так как не все они могут быть выявлены на этапе тестирования. Возникающие вопросы нужно решать как можно скорее, документировать и передавать эту информацию в отделы ИТ. Очень хорошо, если отдел ИТ поддерживает базу знаний по результатам своей работы. На координационных собраниях необходимо разъяснять отделам ИТ и центрам поддержки предстоящие изменения в процедурах их работы. Скорее всего, будут затронуты следующие стандартные процедуры: установка и переустановка ОС, восстановление данных при повреждении жесткого диска. Кроме того, необходимо предусмотреть случаи, когда шифрование потребуется удалить с компьютера, и определить, кто санкционирует удаление программы.

Шифрование все же заметно загружает компьютер, а замедление работы воспринимается пользователями негативно. Поэтому крайне желательно разъяснить всем сотрудникам, что внедрение шифрования — это не блажь отдела безопасности, а решение высшего руководства, направленное на снижение определенных рисков. Такое разъяснение должно исходить от имени руководства организации.

Подготовка документации для пользователей также ощутимо помогает при внедрении. Сюда входят общая информация с указанием причин внедрения шифрования, руководство пользователя и часто задаваемые вопросы. В транснациональной организации имеет смысл перевести эти документы на все основные языки.

Проблемы внедрения

При подготовке аппаратной части нужно выявить, где дисковое шифрование не может быть установлено или вследствие проблем с производительностью, или конфликта с BIOS компьютера, или специфических, несовместимых с шифрованием функций каких-то компьютеров. Проблемы с BIOS практически всегда решаются ее обновлением. Еще бывают случаи, когда производитель системы шифрования выпускает новую версию программы именно для разрешения проблемы с конкретной версией BIOS.

При шифровании всего диска поврежденные блоки, которые лежали бы долго нетронутыми, будут автоматически задействованы и повлекут сбои в работе. Поэтому рекомендуется перед установкой программы проверять диск на наличие дефектов.

Если организация работает с образами дисков для установки ОС, то нужно интегрировать шифрование в процедуру установки. Обычно производители программ для создания образов и пакетов шифрования взаимно поддерживают друг друга.

Работы для отдела ИТ хватит и после успешного завершения проекта. Например, при приобретении новых компьютеров потребуется их предварительное тестирование на совместимость с используемым пакетом шифрования.

Сейчас достаточно много компаний-интеграторов имеют опыт внедрения шифрования. Однако не стоит полностью рассчитывать на то, что интегратор предвидит все проблемы, так как инфраструктура каждой организации уникальна. Грамотный выбор партнера значительно поможет внедрению.