Кто управляет мобильными устройствами ваших сотрудников?

Одна из распространенных практик в указанном направлении – попытка контролировать потоки информации, связанные с мобильными устройствами, с помощью какой-либо специализированной внешней системы (например, с помощью DLP-системы). У такого подхода есть свои плюсы, но имеются и недостатки, поскольку контролировать перемещения информации на мобильном устройстве в случае его физического выноса за пределы информационной системы организации не получится.

Зачастую лучший выход состоит в использовании мобильных устройств, специально предназначенных для безопасного хранения и обработки информации. Прежде всего нужно проанализировать, какие виды работ планируется выполнять в организации с использованием мобильных устройств, каковы сценарии их использования. Это могут быть: хранение и обработка корпоративной и личной информации сотрудников на USB-устройствах; установка доверенных сеансов связи для удаленной работы на общем ресурсе организации (например, сервере или облаке); полноценная работа на СВТ с возможностью подключения к ресурсам организации по защищенному каналу и др.

По "Секрету"

"ОКБ САПР" предлагает ряд готовых решений для хранения и/или обработки информации с помощью мобильных устройств в рамках различных сценариев работы пользователя.

Защищенные носители информации линейки "Секрет" (защищенные флешки "Личный Секрет"¹, "Секрет Фирмы"², "Секрет Особого Назначения"³; носители ключевой информации "Идеальный токен"⁴; средства ведения архивов журналов событий, защищенных от перезаписи, "ПАЖ"⁵) обладают встроенным механизмом исполнения решения о том, разрешено ли работать с носителем на том или ином СВТ, в соответствии с политиками, заданными администратором. При этом в число таких политик входит и возможность организации доступа к содержимому устройства только после успешного выполнения процедур идентификации и аутентификации пользователя. При подключении "Секретов" к СВТ, не входящим в список разрешенных, информация на них недоступна, поскольку в этом случае недоступны сами устройства – они попросту не определяются операционной системой как флешки (USB Mass Storage Device).

Применение защищенных носителей линейки "Секрет" позволяет совсем запретить применение флешек вне офиса или ограничить его каким-то конкретным заранее оговоренным компьютером, или временно снять ограничение на использование флешки, а потом проверить действия сотрудника по встроенному журналу устройства, недоступному пользователю для модификации.

Средство обеспечения доверенного сеанса связи (СОДС) "МАРШ!"⁶ предназначено для организации защищенной работы удаленных пользователей недоверенных компьютеров с сервисами доверенной распределенной информационной системы через сети передачи данных в рамках доверенного сеанса связи. Конструктивно СОДС "МАРШ!" выполнен в виде USB-устройства, в памяти которого размещается проверенная загрузочная ОС, в которую предустановлены ПО СЗИ и функциональное ПО, необходимое для работы пользователя. Состав ПО СЗИ и функционального ПО может быть любым. Как правило, в состав образа входит следующее ПО: браузер, модуль интеграции (встраивается как плагин браузера и предназначается для инициирования операций с электронной подписью), библиотека электронной подписи, средства VPN и криптоядро.

ПАК "Ноутбук руководителя"⁷ предназначен для обеспечения защищенной работы удаленных пользователей с сервисами доверенной распределенной информационной системы через сеть Интернет в рамках доверенного сеанса связи. В комплексе сохранены все преимущества мобильной рабочей станции, но при этом обеспечивается загрузка ОС в одном из режимов (защищенный и незащищенный). Защищенный режим характерен доверенной загрузкой ОС, авторизацией пользователей по смарт-карте, возможностью загрузки профиля пользователя с определенными настройками и данными, регистрацией контролируемых событий в энергонезависимом системном журнале. При работе в обычном режиме безопасность сетевых соединений не контролируется, действия пользователя не ограничены, а ОС загружается из памяти ноутбука. При выборе защищенного режима ОС загружается из защищенной от записи памяти средства доверенной загрузки "Аккорд-АМДЗ", входящего в состав "Ноутбука руководителя"; жесткий диск ноутбука не используется. Кроме того, пользователю предоставляется изолированная среда, в которой единственным доступным соединением является соединение, разрешенное администратором.

Защищенный планшет TrusT-Pad⁸, построенный на Новой гарвардской архитектуре, также позволяет выполнять работу в одном из двух режимов – защищенном или незащищенном. Работа в разных режимах выполняется в разных ОС, загружающихся из разных, физически разделенных, разделов памяти. Взаимовлияние ОС исключено технологически. Переключение режимов работы производится с помощью физического переключателя (что исключает программное воздействие на выбор режима), расположенного снаружи корпуса устройства. В незащищенной ОС пользователь может работать без всяких ограничений, как на любом привычном ему Android-устройстве. Это очень важно, поскольку компьютер в форм-факторе планшета прочно занял место в личном пространстве пользователей как устройство, позволяющее не только работать, но и отдыхать.

Линейка защищенных микрокомпьютеров Новой гарвардской архитектуры включает в себя варианты как с одной, только защищенной, ОС (подтип MKT⁹), так и с двумя, защищенной и незащищенной (подтип MKTrust¹⁰).

Вариант MKT с одной ОС подходит для сценариев применения, предполагающих работу только в защищенной среде и ни в какой другой. Это целесообразно, например, в том случае, если для работы в незащищенной среде, в обычном режиме – с интернет-ресурсами и всем прочим – у пользователей имеются другие СВТ, а микрокомпьютеры планируется использовать исключительно для решения определенного заранее круга задач в рамках доверенного сеанса связи.

В тех же случаях, когда предполагается также применение устройства в частных целях или служебные задачи предполагают необходимость использования данных из незащищенных ресурсов (допустим, картографической информации), целесообразно применение варианта MKTrusT с двумя ОС.

Микрокомпьютеры семейства MKT и MKTrusT выполнены в таких форм-факторах, что их можно подключить к любому монитору, проектору или даже телевизору через порт HDMI. Для подключения к Интернету есть собственный беспроводной Wi-Fi, управление осуществляется с помощью стандартных проводных или беспроводных клавиатур и мышей. Таким образом, пользователь может получать доступ к своей персональной среде практически из любого места, а не только из своего оборудованного кабинета.

Защищенные носители информации, средства обеспечения доверенного сеанса связи, защищенные планшеты, ноутбуки, микрокомпьютеры – столь широкий набор устройств достаточен для того, чтобы реализовать целый спектр сценариев мобильной работы без ущерба для защищенности.