:strip_icc():strip_exif()/u/192890/brain.jpg?f=community)
topic geplaatst met toestemming van moderator Koffie, mits openingspost en replies van voldoende niveau blijken
Inleiding
Ik ben werkzaam op een Engels overheidsinstituut, en in Engeland zijn ze wakker geworden aangaande beveiliging nadat er allerlei USB-sticks zijn verloren en er CDs met persoonlijke data onbeveiligd zijn verstuurd. Zie hier voor een voorbeeld van die blunders
.
Enfin, nu is de tegenreactie van de overheid gekomen (vertaald uit de email, soms wat krom):
- de regering heeft instructies gegeven aan alle overheidsdepartementen dat vanaf vandaag geen enkel apparaat (blackberry, PDA of zo) of computer/laptop welke persoonlijke informatie bevat nog mag worden meegenomen zonder dat de informatie versleuteld is via encryptie.
- alle data die herleid kunnen worden tot een identificeerbare nog levende persoon zijn "persoonlijke data". Als voorbeeld wordt gegeven personeelsbeoordelingen, of zelfs emails waar iemands personeelsbeoordeling wordt besproken. Als er maar een heel klein beetje twijfel is of de data onder deze categorie vallen, dan moeten die data worden versleuteld.
Draconische maatregelen, maar hoe te implementeren, en hoe eventuele onwerkbaarheid te voorkomen?
Waar is onze ICT-afdeling nu naar op zoek?
De ICT is nu op zoek naar een encryptieprogramma dat voldoet aan "FIPS certification", welke werkt op laptops met Windows, MacOS en Linux, en geen fortuin kost. Een wonderprogramma dus. Truecrypt was een zeer behoorlijke keuze geweest, maar voldoet als open source programma blijkbaar niet aan de FIPS standaard (heeft ons hoofd ICT me verteld). Truecrypt wordt wel als tijdelijke oplossing aanbevolen tot ICT een vaste oplossing heeft. Hoe dit met uitgaande emails, webmail etc moet, dat is nog niet duidelijk.
Waar is dit topic voor bedoeld?
Onze ICT weet nog niet welk programma aan de eisen voldoet, zeker niet aangaande removable drives. Zelf denk ik dat er geen volledige beveiliging mogelijk is, maar toch wil men zo goed mogelijk voldoen aan de opdracht van de regering. Echter, het is belangrijk dat er ook nog gewerkt kan worden, dus het vinden van een balans tussen beveiliging en werkbaarheid.
Ik zou graag willen horen (liefst van systeembeheerders) van bedrijven en overheden welke encryptiesoftware en praktijken er worden gebruikt. Beveiligde USB-sticks en laptops zijn mooi, maar er is al teveel "normale" hardware in gebruik, dus het zal softwarematig moeten gebeuren. Al onze PCs zitten in een AD/DC-gecontroleerd netwerk, de meeste mensen zijn standaard user en men kan software pushen indien nodig. Er is een duidelijke policy aangaande wat mag en niet mag, etc.
Ik zou dus graag mensen willen uitnodigen aan te geven welke encryptie-software en -technieken er worden gebruikt in hun organisatie. Paar "regels" om te voorkomen dat het een opsomtopic wordt
(dan gaat het namelijk de verkeerde kant op en zal het worden gesloten):
- Vertel dus welke software/technieken/gebruikersregels er worden gebruikt
- of bekend is of ze FIPS certified zijn
- geef aan wat de voordelen en nadelen zijn, en wat de ervaringen zijn. Zowel goede als slechte ervaringen zijn welkom,
- svp met onderbouwing.
Met dank
Inleiding
Ik ben werkzaam op een Engels overheidsinstituut, en in Engeland zijn ze wakker geworden aangaande beveiliging nadat er allerlei USB-sticks zijn verloren en er CDs met persoonlijke data onbeveiligd zijn verstuurd. Zie hier voor een voorbeeld van die blunders
.Enfin, nu is de tegenreactie van de overheid gekomen (vertaald uit de email, soms wat krom):
- de regering heeft instructies gegeven aan alle overheidsdepartementen dat vanaf vandaag geen enkel apparaat (blackberry, PDA of zo) of computer/laptop welke persoonlijke informatie bevat nog mag worden meegenomen zonder dat de informatie versleuteld is via encryptie.
- alle data die herleid kunnen worden tot een identificeerbare nog levende persoon zijn "persoonlijke data". Als voorbeeld wordt gegeven personeelsbeoordelingen, of zelfs emails waar iemands personeelsbeoordeling wordt besproken. Als er maar een heel klein beetje twijfel is of de data onder deze categorie vallen, dan moeten die data worden versleuteld.
Draconische maatregelen, maar hoe te implementeren, en hoe eventuele onwerkbaarheid te voorkomen?
Waar is onze ICT-afdeling nu naar op zoek?
De ICT is nu op zoek naar een encryptieprogramma dat voldoet aan "FIPS certification", welke werkt op laptops met Windows, MacOS en Linux, en geen fortuin kost. Een wonderprogramma dus. Truecrypt was een zeer behoorlijke keuze geweest, maar voldoet als open source programma blijkbaar niet aan de FIPS standaard (heeft ons hoofd ICT me verteld). Truecrypt wordt wel als tijdelijke oplossing aanbevolen tot ICT een vaste oplossing heeft. Hoe dit met uitgaande emails, webmail etc moet, dat is nog niet duidelijk.
Waar is dit topic voor bedoeld?
Onze ICT weet nog niet welk programma aan de eisen voldoet, zeker niet aangaande removable drives. Zelf denk ik dat er geen volledige beveiliging mogelijk is, maar toch wil men zo goed mogelijk voldoen aan de opdracht van de regering. Echter, het is belangrijk dat er ook nog gewerkt kan worden, dus het vinden van een balans tussen beveiliging en werkbaarheid.
Ik zou graag willen horen (liefst van systeembeheerders) van bedrijven en overheden welke encryptiesoftware en praktijken er worden gebruikt. Beveiligde USB-sticks en laptops zijn mooi, maar er is al teveel "normale" hardware in gebruik, dus het zal softwarematig moeten gebeuren. Al onze PCs zitten in een AD/DC-gecontroleerd netwerk, de meeste mensen zijn standaard user en men kan software pushen indien nodig. Er is een duidelijke policy aangaande wat mag en niet mag, etc.
Ik zou dus graag mensen willen uitnodigen aan te geven welke encryptie-software en -technieken er worden gebruikt in hun organisatie. Paar "regels" om te voorkomen dat het een opsomtopic wordt
(dan gaat het namelijk de verkeerde kant op en zal het worden gesloten):
- Vertel dus welke software/technieken/gebruikersregels er worden gebruikt
- of bekend is of ze FIPS certified zijn
- geef aan wat de voordelen en nadelen zijn, en wat de ervaringen zijn. Zowel goede als slechte ervaringen zijn welkom,
- svp met onderbouwing.
Met dank
I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.
:strip_icc():strip_exif()/u/22837/scrubs.jpg?f=community)
/u/28468/librarian2.png?f=community)
(Als er ergens een papiertje+handtekening is af te geven dan).
:strip_exif()/u/216514/sgisurf.gif?f=community)
:strip_exif()/u/24090/hekje.gif?f=community)
. Ik ga bij het hoofd ICT navragen hoe het precies met de FIPS zit, dwz welk nummer en welke details. Zijn respons op mijn Truecrypt voorstel (gelijk gedaan gisterenmiddag) was dat het niet voldeed aan de eis "certified to FIPS standard". Het lijkt dus inderdaad om de certificering te gaan, maar ik vraag het na.
:strip_icc():strip_exif()/u/37855/icoon.jpg?f=community)
:strip_icc():strip_exif()/u/32232/laupro60x60.jpg?f=community)
:strip_exif()/u/16622/121823.gif?f=community)
:strip_exif()/u/33047/steveb.gif?f=community)
:strip_icc():strip_exif()/u/25852/bowmore_18k.jpg?f=community)
) en denk dus even niet na over encryptie (en tik dit op de werklaptop met Truecrypt :strip_icc():strip_exif()/u/30846/crop624404d93a803_cropped.jpg?f=community)