Перейти на Sec.Ru
Рейтинг@Mail.ru

10 октября 2014

ИБ и политика BYOD: как предотвратить утечку информации

Игорь Корчагин,
Руководитель группы обеспечения
безопасности информации,
компания ИВК

 

Уровень производительности современных мобильных устройств, а также довольно богатый перечень программного обеспечения, разработанного для мобильных платформ, таких как iOS, Android, Windows Phone, позволяют обладателям данных устройств решать широкий перечень задач не только личного характера, но ориентированных на бизнес-цели. В настоящее время уже не редкостью является использование мобильного устройства для работы с электронной почтой, web-ресурсами, чтения и редактирования электронных документов, работы с заметками и т.д. При этом доля мобильного интернет-трафика с каждым годом набирает все большие обороты, а по данным аналитиков из Morgan Stanley к 2015 году его доля может даже превысить объем компьютерного.

Для работодателя, зачастую, оперативность доступа к корпоративным данным своих сотрудников является одним из ключевых способов достижения конкурентного преимущества, в особенности, если сотрудники по своему роду деятельности в основном находятся вне офиса. При этом стоит отметить, что задача предоставления доступа к корпоративной почте и корпоративным справочникам (адресным книгам) вне рамок офиса уже давно практикуется со стороны руководства, которому необходимо получать всю необходимую информацию на своем планшетном компьютере или мобильном телефоне. Таким образом, напрашивается однозначный вывод, что применение мобильных технологий в бизнесе – это неоспоримое преимущество, которое повышает эффективность бизнеса.

При этом не маловажным является достижение минимизации затрат, в том числе при внедрении новых технологий. Вследствие этого стал развиваться новый подход в развитии ИТ-инфраструктур организаций – BYOD (Bring Your Own Device, принеси собственное устройство), суть которого заключается в том, что для доступа к корпоративным данным пользователи сами выбирают каким устройством пользоваться и с использованием чего осуществлять доступ к корпоративным ресурсам. И с первого взгляда очевидны одни выгоды данного подхода: тут и отсутствие необходимости дополнительных затрат на приобретение мобильных устройств, и отсутствие необходимости дополнительного обучения работы пользователей с новыми устройствами. Но на этом преимущества практически заканчиваются, и начинаются вопросы реализации безопасности, как самого устройства, так и доступа к корпоративным ресурсам.

Концепцию BYOD можно отнести к относительно «молодой», для которой методы защиты использования личных мобильных устройств только формируются, как с технической, так и с организационной точек зрения. При этом именно последствия ее реализации могут существенно повлиять на защищенность корпоративных ресурсов вследствие высокой зависимости от человеческого фактора.

Использование мобильных устройств в ИТ-инфраструктуре может стать причиной таких угроз безопасности информации, как:

-        нарушение конфиденциальности данных при их передаче по каналам связи, в особенности через общедоступные и поддельные сети Wi-Fi;

-        получение нелегитимного доступа к корпоративным ресурсам вследствие заражения ОС мобильного устройства вредоносным ПО;

-        нарушение конфиденциальности данных, которые хранятся на мобильном устройстве, вследствие его утери или кражи, что также может стать причиной нелегитимного доступа к корпоративной сети и др.

Использование личных мобильных устройств изменяет непосредственно ИТ-архитектуру организации, где получается, что её элементы выносятся за пределы контролируемой зоны, а их пользователям предоставляется максимум полномочий по использованию устройств по личному усмотрению. В таких условиях необходимо решение следующих основных трех задач:

-        внедрение на уровне организации комплекса новых технических и в особенности организационных мероприятий, предусматривающих ввод в ИТ-инфраструктуру новых мобильных средств и методов доступа к корпоративным ресурсам;

-        реализация на уровне мобильных устройств комплекса технических мер защиты от неконтролируемого доступа к данным устройствам, в том числе в процессе их хранения и передачи;

-        реализация централизованного учета и контроля использования в ИТ-инфраструктуре личных мобильных устройств.

Перед принятием концепции BYOD в своей организации необходимо тщательно проработать стратегию её внедрения и применения, что в дальнейшем должно быть зафиксировано в соответствующих документах по информационной безопасности и автоматизации организации. Стратегия внедрения и применения BYOD должна содержать ответы на следующие вопросы:

-        К каким ресурсам и/или системам должен быть предоставлен доступ (объекты доступа)?

-        Кто имеет право по использованию личных мобильных устройств при доступе к корпоративным ресурсам (пользовали BYOD)?

-        Повлечет ли внедрение концепции BYOD к нарушению внутренних стандартов ИБ и нормативных требований, например, 152-ФЗ?

-        Как изменится модель угроз и модель нарушителя ИБ? Каковы последствия потери контроля над устройством вследствие его кражи/утери или увольнения сотрудника?

-        Какие виды мобильных устройств и платформ могут быть использованы для доступа к корпоративным ресурсам (в том числе и с учетом того, какие защитные меры могут быть выбраны для данных платформ, возможно ли применением единого решения MDM)?

-        Хранятся ли корпоративные данные, подлежащие защите, на мобильных устройствах или мобильные устройства используются только для удаленного доступа к корпоративным ресурсам?

Организация, сформулировав для себя ответы на данные вопросы, уже сможет оценить готовность к внедрению концепции BYOD.

При внедрении концепции BYOD должны быть проработаны:

-        Документация по модели реализации BYOD, а также по управлению данной моделью на всем её жизненном цикле, в том числе данные о методах реализации и ответственных за её поддержку.

-        Политика обеспечения безопасности информации при реализации концепции BYOD.

В политике безопасности обязательно должны быть проработаны вопросы, касающиеся утери/кражи мобильного устройства, увольнения сотрудника, а также передачи мобильных устройств на сервисное обслуживание в сторонние организации. При этом данные вопросы должны описывать действия как для руководства и ответственных за ИБ сотрудников, так непосредственно и для пользователей мобильных устройств. Это обязательно необходимо учитывать при составлении политики безопасности, так как документ должен быть понятен каждому сотруднику.

Как было отмечено ранее, одним из наиболее уязвимых мест в концепции BYOD для ИТ-инфраструктуры организации являются непосредственно сами пользователи мобильных устройств. В связи с этим особенно важным является периодическая организация мероприятий, с целью повышения осведомленности пользователей личных мобильных устройств в области обеспечения ИБ, в том числе обязательное ознакомление с положениями политики безопасности BYOD, а также ответственностью за нарушение требований данной политики. Наиболее эффективным является не сухое предоставление сотрудникам на ознакомление текста политики, а проведение небольшого обучения с разъяснением основных положений данного документа, в том числе разъяснения основных ограничений, которые могут накладываться на условия использования личных устройств в дальнейшем, например, почему запрещено использовать устройства с измененной прошивкой (джейлбрейк).

В концепции BYOD очень важным является регламентация использования личных мобильных устройств пользователями и их контроль со стороны соответствующих служб организации, чтобы в дальнейшем избежать конфликтных ситуаций, связанных с вторжением в частную жизнь. Пользователи должны четко понимать, с какой целью их устройства оснащаются определенными средствами защиты и какие полномочия получают соответствующие службы организации. При реализации контроля мобильных устройств пользователей, данные процедуры должны быть обязательно отражены в политике безопасности.

Для организаций, которые не готовы к передаче на откуп пользователя вопросы выбора и обслуживания мобильного устройства, но при этом заинтересованы в использовании мобильных устройств в своей ИТ-инфраструктуре, существуют две другие концепции: CYOD (Choose Your Own Device, выбери свое устройство) и COPE (Corporate-Owned, Personally Enabled, корпоративное устройство, обслуживаемое сотрудником).

Наиболее понятной с точки зрения правовых вопросов, четкости распределения ответственности, а также реализации единой политики безопасности, является концепция CYOD. При таком подходе организация полностью принимает на себя все расходы, как на приобретение устройств, так и на оснащение их необходимым для пользователя ПО, однако получает возможность наиболее эффективно управлять расходами на средства защиты, а также на обслуживание и управление мобильными устройствами.

Одним из методов снижения рисков утечки информации является минимизация объемов критичной информации, сохраняемой непосредственно на самом мобильном устройстве, с переходом на обработку информации непосредственно в защищенных облачных сервисах.

Подводя итог можно выделить следующие ключевые задачи, которые должны быть решены организацией, собравшейся внедрить у себя концепцию BYOD, и при этом минимизировать вероятность утечки информации:

-        Четкое определение стратегии внедрения BYOD, а также методов обеспечения безопасности.

-        Разработка однозначной и лаконичной политики безопасности BYOD.

-        Повышение уровня осведомленности пользователей мобильных устройств в вопросах соблюдения политики ИБ, а также потенциальных угрозах безопасности информации.

-        Применение технологий, позволяющих минимизировать объем хранимой на устройстве критичной информации, например, применение облачных технологий.

Просмотров: 1813

Мнения экспертов

Тематика BYOD (использование личных мобильных устройств сотрудников на работе) очень актуальна. Есть различные варианты, и автор их описал, также наметил аспекты политики безопасности организации с учетом использования модели BYOD. Описал и другие варианты использования мобильных устройств на раб. месте (не BYOD). В целом статья будет полезна для сотрудников отделов ИБ, в чисто обзорном плане. Практические методики пока «не развернуты» в данной статье, что не удивительно, т.к. это значительно увеличит объем статьи.

Тема, затронутая автором статьи, актуальна на сегодняшний день. Для руководителей организаций, начальников основных структурных подразделений, системных администраторов и многих других категорий работников важно быть на связи в любое время дня и ночи. Концепция BYOD предлагает решение этой проблемы. Автор правильно отметил, что не стоит забывать о проблемах безопасности. В публикации поставлены основные задачи по обеспечению безопасности данных при применении концепции, определены вопросы, требующие решения. В целом статья заставляет задуматься над решением проблем применения пользователями собственных мобильных устройств. Хотелось бы увидеть более конкретные примеры угроз безопасности, в статье они представлены достаточно общими словами, не хватает схем, графиков – любого графического материала для наглядности. На мой взгляд, автор может развить данную тему и более глубоко рассмотреть поставленные им самим вопросы в следующих статьях.

  • Лебедев Р.В.Лебедев Р.В.
    ОАО "Информационные спутниковые системы"
    начальник сектора защиты инфорации
В статье рассмотрена весьма актуальная для современного бизнеса тема – использование в рабочем процессе личных устройств сотрудников или BYOD. Автор, безусловно, правильно указал на ключевые преимущества концепции – оперативность и мобильность доступа к информационным ресурсам, удобство и комфорт работы на личном устройстве – преимущества, которые в скором будущем могут превратить ее из просто перспективного направления в одно из требований современного успешного бизнеса. В концепции BYOD ключевое внимание уделено «доступности» информации, что, само собой, негативно влияет на обеспечение ее конфиденциальности и целостности. Автор достаточно развернуто описывает характерные для BYOD угрозы безопасности, механизмы их возникновения и типовые пути нейтрализации. Также указывает «ориентиры», которых следует придерживаться при внедрении концепции. В целом, статья дает довольно ясное общее впечатление о том, что из себя представляет BYOD, какие дает преимущества и влечет последствия. Для более полного образа, на мой взгляд, автору следовало уделить больше внимания технической стороне вопроса – описанию структурных изменений в информационной системе при адаптации ее к работе с личными устройствами пользователей и соответствующим методам защиты от утечек.

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Автор

  • Корчагин И.И.Корчагин И.И.
    ЗАО ИВК
    Руководитель группы обеспечения безопасности информации

Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru