Особенности применения систем класса EMM для предотвращения утечек конфиденциальной информации

Максим Репин
специалист отдела
безопасности информационных систем НТЦ "Вулкан",
сертифицированный аудитор СТО БР ИББС

BYOD в массы

В настоящее время политика BYOD (Bring Your Own Device) - использование сотрудниками личных планшетов, смартфонов, коммуникаторов для работы и доступа к корпоративным ресурсам - становится все более популярной.

При всех плюсах применения BYOD существует и обратная сторона медали в виде угрозы утечки конфиденциальной информации через неконтролируемые мобильные устройства. Для нейтрализации этой угрозы применяются системы управления мобильными устройствами - Enterprise Mobility Management (EMM1).

Типовая схема построения системы EMM показана на рисунке. В этой архитектуре EMM играет роль буфера и контролера доступа для пользователей, работающих с корпоративными ресурсами с личных устройств.

Такая схема построения системы EMM позволяет:

• организовать доступ пользователей мобильных устройств к информационным ресурсам на основе групповых политик;
• задать доверенные точки доступа, через которые с устройства может осуществляться выход в Интернет;
• применять политики безопасности в соответствии с корпоративными правилами.

На рынке EMM присутствует целый ряд вендоров: McAfee, Mobilelron, LANDesk, SOPHOS, Zenprise, Sybase, НИИ СОКБ. Это позволяет выбрать решение, наиболее подходящее каждому конкретному заказчику.

При грамотной настройке и администрировании система EMM может существенно снизить риск утечки конфиденциальной информации, однако существуют факторы, снижающие ее эффективность.

Этап внедрения и настройки

Основной проблемой на стадии запуска системы EMM является недостаточный анализ исходной информации о структуре корпоративной сети и применяемых мобильных устройствах. ЕММ-система должна поддерживать максимальное количество типов устройств, имеющихся в распоряжении сотрудников. Учитывая, что большинство представленных на рынке ЕММ-продуктов имеют ограничения по функционалу для различных платформ, необходимо сделать осознанный акцент на наиболее распространенных устройствах и наиболее важных функциях EMM (например, определение точного местоположения устройства, применение групповых политик LotusNotes/Domino, поддержка шифрования данных).

Зачастую возникает ситуация, когда перечень информационных ресурсов и матрица доступа к ним начинают формироваться в то время, когда внедрение системы EMM идет полным ходом. Это может привести к неправильному наделению полномочиями субъектов доступа. Чтобы избежать такой ситуации, необходимо заблаговременно собрать всю необходимую исходную информацию.

Этап эксплуатации

Крайне важно обеспечить грамотное сопровождение системы EMM и соблюдение пользователями мобильных устройств всех требований по обеспечению ИБ. Владельцу планшета или смартфона зачастую трудно заставить себя следовать ограничениям EMM, и он будет пытаться свести их к минимуму, зачастую нарушая политику безопасности. Это может привести к утечке конфиденциальной информации, например, при утере устройства.

Важным аспектом работы по предотвращению утечек конфиденциальной информации заявляется периодическое обновление системы EMM в связи с выходом новых версий операционных систем мобильных устройств. Целесообразно применять единую политику обновления с предварительным тестированием, позволяющим выявить все возможные ошибки, возникающие при работе EMM с устройствами под управлением новых версий ОС.

Сотрудники должны понимать, что в случае утери устройства или его замены необходимо незамедлительно сообщать об этом для блокировки устройства и/или удаления с него конфиденциальной информации.

Часто проблемой является использование съемных носителей на мобильных устройствах. Не все системы EMM могут контролировать все процессы использования съемных носителей.

Наконец, отдельно стоит рассматривать вопрос разрешения работы с устройств, на которых выполнена процедура jailbreak, поскольку это может снижать эффективность EMM.

Этап модернизации

В ходе модернизации системы EMM важной задачей является обеспечение непрерывности ее работы. До ввода в эксплуатацию обновленной версии EMM необходимо проводить тестирование на предмет конфликтов с инфраструктурой. Невыполнение этой рекомендации способно привести к появлению новых угроз либо к перебоям в работе EMM или IT-инфраструктуры.