Главный вопрос, который надо задать при выборе решения по мобильной безопасности

Главный вопрос, который надо задать при выборе решения по мобильной безопасности
Самым важным вопросом, который следует задать себе перед выбором решения по мобильной безопасности является: "Разрешено ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". И уже от ответа на него планировать и реализовывать систему защиты.

1. Если запрещаем
Если мы отвечаем "Запрещено", то нам следует сосредоточить усилия именно на том, чтобы конфиденциальная информация не появилась на мобильных устройствах сотрудников. Для этого необходимо:
  1. Разработать и довести до сведения сотрудников Политику допустимого использования (Acceptable Use Policy), в которой в явном виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
  2. Обеспечить контроль и блокирование передачи конфиденциальной информации на устройства. По сути, это будет что-то типа контроля утечки информации за счет:
    • передачи файлов по электронной почте; 
    • выкладыванию файлов в сети Интернет ;
    • передачи данных напрямую на устройство при подключении;
    • созданию устройством дополнительных сетей (например wifi) и передача данных по ним.
  3. Запретить и контролировать отсутствие на компьютерах запрещенного/не разрешенного программного обеспечения (различные "синхронизаторы" (iTunes, Activesync и пр.), облачные хранилища (iCloud, DropBox, GoogleDrive, Яндекс Диск, SkyDrive и пр.), средства удаленного доступа (TeamViewer, PC Remote Control и пр.), и другие, с помощью которых можно передать на мобильные устройства конфиденциальную информацию).
  4. Пересмотреть подход к предоставлению удаленного доступа к корпоративным ресурсам и сервисам.
Как вы понимаете, малореалистичный вариант запретить проносить мобильные устройства на работу и контролировать этот запрет, мы не рассматриваем. А риск фото/видео/аудиозаписи рассматриваем отдельно и скорее принимаем.

2. Если не запрещаем
Обратите внимание, что я употребляю термин "Не запрещено", а не "Разрешено". Это связано с тем, что во многих компаниях на использование мобильных устройств сотрудниками смотрят "сквозь пальцы", в явном виде ничего не запрещая, но и не разрешая. При этом часто сотрудники имеют доступ к корпоративной электронной почте, календарю и списку контактов, а также могут обрабатывать конфиденциальные документы на устройстве. Оценка рисков такой обработки обычно не проводится.
Ну вот, если мы отвечаем "Не запрещено", то нам следует сосредоточить усилия на управлении рисками и инцидентами.

Первым делом необходимо понять область (scope), для этого следует четко определить:
  • Перечень информации и ИТ-сервисов, которые могут быть доступны сотрудникам.
  • Перечень устройств, которые могут использовать сотрудники. Тут важно понимать, это будут корпоративные устройства или еще и личные (см.BYOD), а также перечень операционных систем (это нам необходимо для понимания рисков и выбора конечного решения).
После сбора первичной информации следует оценить возможные риски и еще раз ответить на вопрос "А все-таки, следует ли разрешить ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?". Если и сейчас ответ утвердительный, то необходимо:
  1. Разработать и довести до сведения сотрудников Политику допустимого использования (Acceptable Use Policy), в которой в явном виде прописать требования по использованию мобильных устройств (корпоративных и личных) и удаленного доступа к корпоративным ресурсам и сервисам.
  2. Обучить (повысить осведомленность) пользователей базовым принципам безопасности мобильных устройств (например, "не оставлять без присмотра", "использовать пароли", "установить ПО для поиска/блокирования устройства и стирания информации", "решить с антивирусной защитой" и пр.).
  3. C учетом оценки рисков выбрать и внедрить дополнительные средства защиты и управления мобильными устройствами. 

Обратите внимание, что пока вы не пройдете все шаги, то выбирать дополнительные средства защиты не особо целесообразно...



Дополнительно можете посмотреть:

Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире