5 Февраля, 2017

Рекомендации АРСИБ по безопасности мобильных технологий

Andrey Prozorov
На днях получил несколько экземпляров обновленной редакции (версия 2.0) общих рекомендаций «Безопасность мобильных технологий в корпоративном секторе», которые выпускает  АРСИБ . Книжка короткая, всего 107 страниц, но довольно полезная. Рекомендую ее изучить, если вопросы безопасности мобильных устройств вам интересны.
В ней приведены текущие и перспективные подходы, направления и тенденции развития мобильных технологий в корпоративном секторе в части обеспечения ИБ.
Основные цели данного документа - определить области проблемы по обеспечению ИБ мобильных технологий в корпоративном секторе, инициировать дальнейшее обсуждение этой проблемы и развитие ее решений. 




Автор рассматривает несколько определений термина "мобильное устройство" и обобщает его характеристики. На мой взгляд, они довольно удачные, приведу их полностью:
1. Малые геометрические размеры и вес.
2. Наличие, как минимум, одного беспроводного интерфейса сетевого доступа (для передачи голоса и данных).
3. Специализированная мобильная ОС.
4. Наличие встроенных в мобильную ОС функций для синхронизации данных (со стационарным компьютером или ноутбуком, с серверами организации, поставщиками услуг или третьими сторонами и т.п.).

Не буду больше пересказывать книгу, расскажу лучше о том, что в ней есть полезного, и чего в ней не найдете. Это поможет вам сформировать правильные ожидания от прочтения.


Что полезного есть в документе?
  • Приведена удачная классификация угроз для мобильных устройств. 
  • Приведены основные концепции использования мобильных устройств (COPE (Corporate-Owned, Peersonally_Enabled), BYOD (Bring Your Own Device) CYOD (Choose Your Own Device)) и их особенности.
  • Системно рассмотрены концепции управления: MDM (Mobile Device Management), MAM (Mobile Application Management) и MCM (Mobile Content Management).
  • Довольно подробно написано про корпоративную политику использования мобильных устройств. Только жаль, что не приводят пример-шаблон документированных требований.
  • Отдельная глава посвящена национальной мобильной платформе. Ну, это если кому интересно. 

Чего в книге нет, но очень хотелось бы увидеть в следующей редакции (АРСИБ уже начал подготовку версии 3.0)?
  • Отсутствует сравнение мобильных ОС (по распространенности, функциям и безопасности).
  • Хотелось бы больше про конкретные MDM решения, было бы полезно сравнить их функционал и в явном виде указать тот, на которые надо обратить внимание при выборе решения. Сейчас же я рекомендую ориентироваться на свежий Magic Quadrant for Enterprise Mobility Management Suites (2016):



  • Хотелось бы увидеть больше конкретных рекомендации по выбору средств защиты от вредоносного кода, перечень и сравнение основных продуктов.
  • Хотелось бы больше рекомендаций и подходов по защите корпоративной почты на устройствах (это самый распространенный сервис, потребляемый на мобильных устройствах).
  • DLP и мобильный устройства - тоже актуальная тема, которая не раскрыта в текущей редакции документа.
  • Наверное стоит чуть подробнее написать про повышения осведомленности и обучения персонала.
  • Почему-то в книге нет перечня ссылок и литературы, которые могут быть полезны. Приведу свой ТОП:
    • NIST SP 800-124 Rev. 1 (June 2013) Guidelines for Managing the Security of Mobile Devices in the Enterprise ( ссылка )
    • NIST SP 800-101 Rev. 1 (May 2014) Guidelines on Mobile Device Forensics ( ссылка )
    • ISACA Securing Mobile Devices ( ссылка )
    • SANS Mobility/BYOD Security Survey (2012) ( ссылка )
    • Mobile Data Management Buyer’s Guide (2014) ( ссылка )
    • Magic Quadrant for Enterprise Mobility Management Suites (2016) ( ссылка )
    • 2016 Trends in Enterprise Mobility ( ссылка )
    • 2016 Executive Enterprise Mobility Report ( ссылка )
    • В документе авторы ссылаются на отчет "BYOD and Mobile Security Report" (2014), но я нашел его более свежую версию ( за 2016 год ).

Итого, в документе АРСИБ довольно много полезной теории по обеспечению безопасности мобильных устройств, но конкретных рекомендаций (а что же делать? с чего начать? как лучше?) представлено не много. Одного этого документа, к сожалению, будет не достаточно для решения задачи обеспечения безопасности мобильных устройств, хотя глобальные вопросы по теме он закрывает хорошо. Документ будет полезен, если вы только начинаете задумываться о том, как контролировать мобильные устройства, какую концепцию выбрать (COPE или BYOD) и другие базовые.

К сожалению, документ распространяется только в печатном виде (спрашивать его следует у членов  АРСИБ , например, у меня есть 3 копии). Но можно скачать раннюю версию (1.0) тут -  http://aciso.ru/news/3687 .




comments powered by Disqus