Обеспечение ИБ корпоративных мобильных устройств
В рубрику "Спецпроект: mobile security" | К списку рубрик | К списку авторов | К списку публикаций
Обеспечение ИБ корпоративных мобильных устройств
Повышение эффективности бизнес-процессов является важнейшим конкурентным преимуществом практически в любом виде бизнеса. Одним из способов такого повышения является использование мобильных устройств в работе, в результате чего ключевые сотрудники компании перестают быть привязанными к своему рабочему месту.
Олег Сафрошкин
менеджер по развитию бизнеса
компании "Информзащита"
менеджер по развитию бизнеса
компании "Информзащита"
Доступность необходимой информации там, где нужно, и тогда, когда нужно, позволяет увеличить скорость принятия решений и зачастую является ключевым фактором успеха в бизнесе.
Вместе с тем использование новых технологий неизбежно влечет за «собой появление новых рисков. Основными из I них являются:
- утечка конфиденциальной информации при использовании мобильных устройств (в результате утери или кражи, действий пользователя, заражения устройства вредоносным ПО, либо в результате перехвата данных, передаваемых между устройством и ЛВС компании);
- использование мобильных устройств для осуществления несанкционированного доступа к ресурсам компании.
Таким образом, компания, принявшая решение об использовании мобильных устройств, должна оценить эти риски и либо принять их, либо предусмотреть механизм, позволяющий снизить их до приемлемого уровня. Таким механизмом может стать система обеспечения безопасности мобильных устройств. Она представляет собой комплексное решение, обеспечивающее оптимальный уровень И Б за счет организационных мер, технических средств и обучения пользователей.
Организационные меры
В данной статье приведены типовые риски, возникающие при использовании мобильных устройств в компании, а также пример системы обеспечения ИБ устройств. При этом хотелось бы подчеркнуть, что такая система является механизмом снижения рисков использования мобильных устройств, поэтому при ее построении необходимо руководствоваться данными предварительно проведенного анализа рисков.
Первым шагом по обеспечению безопасности мобильных устройств должно стать появление документа, который определяет основные положения их использования и формулирует цели использования мобильных устройств (в каких бизнес-процессах должны использоваться, какие ресурсы компании должны быть доступны);
- перечень пользователей, имеющих мобильный доступ к ресурсам компании;
- отношение компании к использованию личных устройств (концепции BYOD);
- перечень платформ или моделей устройств, которые разрешено использовать;
- требования по обеспечению безопасности мобильных устройств, принадлежащих компании (в том числе отношение компании к использованию корпоративных устройств в личных целях);
- действия, которые необходимо выполнить при утрате устройства.
После разработки такого документа необходимо определить частные требования к обеспечению ИБ мобильных устройств:
- требования к обеспечению обязательной аутентификации при работе с устройством;
- требования к управлению конфигурациями устройства;
- требования к управлению ПО устройства;
- требования к обеспечению криптографической защиты информации на устройстве и т.д.
Такие требования могут быть собраны в отдельный документ (например, "Политика защиты мобильных устройств") либо внесены в уже существующие частные ИБ- и IT-политики компании.
Технические меры
Помимо организационных, необходимы также меры, обеспечивающие техническую реализацию и контроль выполнения требований. Основой таких мер будет решение класса Mobile Device Management (MDM), которое (в зависимости от своего типа и типа устройства) позволяет обеспечить:
- централизованное удаленное управление конфигурациями мобильного устройства:
- управление использованием отдельных функций устройства (Bluetooth, Wi-Fi, IrDA, камеры и пр.);
- управление встроенными механизмами защиты мобильного устройства (аутентификации, криптографической защиты и пр.);
- управление программным обеспечением устройства;
- удаленное уничтожение данных с мобильного устройства;
- определение местонахождения устройства;
- хранение и обработку всей информации компании в криптографическом контейнере (являющемся частью MDM-клиента), благодаря чему обеспечивается функционал Mobile DLP.
В зависимости от актуальных рисков использования мобильных устройств может потребоваться дополнительно использовать:
- средства антивирусной защиты;
- средства построения защищенных каналов связи;
- средства контроля и ограничения доступа к ресурсам ЛВС компании на основании контекста доступа и профилей устройств.
Работа с пользователями
По статистике, самым слабым звеном в системе защиты информации является человек. Поэтому крайне важно доводить до работников основные правила безопасного использования мобильных устройств и разъяснять их. Хорошей практикой является включение этих правил в существующий процесс обеспечения осведомленности работников в области ИБ, который содержит:
- вводный инструктаж по вопросам обеспечения ИБ;
- тематические памятки, календари, флеш-ролики и пр., которые напоминают работнику о важности вопросов ИБ;
- проверочное тестирование по вопросам безопасного использования мобильных устройств, проводимое, например, в рамках ежегодной аттестации работника.
ИНФОРМЗАЩИТА, КОМПАНИЯ
127018 Москва,
ул. Образцова, 38
Тел.: (495) 980-2345
Факс: (495) 980-2345
E-mail: market@infosec.ru
www.infosec.ru
127018 Москва,
ул. Образцова, 38
Тел.: (495) 980-2345
Факс: (495) 980-2345
E-mail: market@infosec.ru
www.infosec.ru
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2012
