Стратегия безопасности мобильных устройств

Тема использования мобильных устройств сейчас волнует многих корпоративных пользователей. Причем все понимают, что от этого никуда не деться; что это уже все используют; что ситуация будет только усугубляться; и что с этим надо что-то делать. Немного цифр и статистики по использованию мобильных устройств есть тут и тут . Недавно, на спонсируемой нами конференции Лаборатории Касперского, я делал доклад на тему "Анализ рынка безопасности мобильных устройств". Да и до этого уже не раз обращался к теме мобильной безопасности. Одной из рекомендаций было создание стратегии защищенного мобильного доступа, которая станет основополагающим документом в области формирования политики использования мобильных устройств в бизнесе, и их защиты. Что должна включать в себя такая стратегия? Я постарался описать ключевые разделы данного документа:Общий подход - применяете или нет?даже если вы решили не использовать мобильные устройства, это лучше зафиксировать, указав причины такого решения.Анализ рисков и модель угрозОт чего защищаемся? Только ли от вредоносного кода? Или проникновения на мобильное устройство? Отношение к утечкам данных? Будем ли контролировать доступ к сайтам, ненужным для работы?Отношение к BYODBYOD - Byu Your Own Device - программа, подразумевающая использование сотрудников собственноручно купленных мобильных устройств. Если нет, то почему. Если да, то какие требования должны соблюдаться пользователями таких устройств при нахождении в офисе (например, сдавать их в камеру хранения при входе) или подключении их в корпоративную сеть.Используемые мобильные платформы Любые или из ограниченного списка? Большинство компаний ограничивает применение iOS, BlackBerry и Android, но встречаются и Windows Phone 7, Symbian, webOS и т.д.Доступ изнутри сетиПринципы защиты и контроля доступа мобильных устройств внутри корпоративной сети (сертификаты и т.д.).Доступ извне сетианалогично предыдущему, но для доступа извне. Например, доступ только через VPN и никак иначе. Применение средств контроля доступа NAC на периметре. Использование отдельной точки входа для таких устройств. Вариантов может быть масса. В этом же разделе должны быть описаны приложения и сервисы, к которым имеют доступ сотрудники извне. Например, только к почте и адресной книге. А может еще и к календарю, бизнес-приложениям.Отношение к JailbrakeНепростой вопрос. Хотя по статистике число взломанных устройств очень незначительно - около 8-10%, их нельзя сбрасывать со счетов. Ведь взломанное устройство - это потенциальная угроза для установки уязвимых приложений.ПриложенияЕсть ли ограничения на используемые приложения? Планируется ли собственная разработка?Магазины приложений - новый канал проникновения вредоносных программ на мобильное устройство. Есть ли ограничения на установку приложений с Интернет-магазинов? Какова процедура установки? Напрямую с Интернет или только через ПК, где приложение можно проверить на вирусы?Функция "антивор"Как искать украденное или потерянное устройство (например, в iPhone/iPad эта функция является встроенной)? Как дистанционного удалить данные на устройстве? Как дистанционно заблокировать устройство? Как защититься при смене SIM-карты?Шифрование данных на устройствеВстроенное шифрование или внешняя система? Шифровать все или только отдельные разделы устройства?Удаленное управление и контрольКак организовать удаленное управление и контроль использования? Делается ли это централизованно или отдается на откуп пользователям? Необходимо ли отключать удаленно отдельные аппаратные компоненты - Wi-Fi, камера, Bluetooth, диктофон и т.д.?ComplianceНадо ли обеспечить соответствие регулятивным требованиям (того же ФЗ-152, СТР-К и т.д.) или этот риск принимается как неактуальный или несущественный?Соответствие политикам ИТ и ИБКак контролируется установка патчей? Как обеспечить наличие нужных локальных настроек? Как проверяется наличие нужных программ на мобильном устройстве? Как снять конфигурацию удаленно? Как "накатить" новую конфигурацию на устройство? Как провести инвентаризацию устройства?АутентификацияЛокальная аутентификация на устройстве (правила выбора PIN-кода). Аутентификация при доступе к корпоративным ресурсам. Аутентификация при доступе к локальным приложениям (например, к почте). Возможен ли удаленный доступ администратора к пользовательскому устройству? А если оно принадлежит не компании?АнтивирусЛичная защита Ведение черного списка номеров (включая и для защиты от SMS-спама). Скрытие от посторонних глаз любой информации по отдельным абонентам (включая SMS, почту и т.д.).Контентная фильтрацияПеренаправление всего трафика на корпоративные средства контентной фильтрации. Использование облачных технологий защиты Web-доступа (например, Cisco ScanSafe). Как контролировать утечки информации по e-mail и другим каналам? Защита от спама (включая SMS-спам).Используемые механизмы защитыОриентация на встроенные механизмы (например, ActiveSync) или внешние средства защиты.Слежение за устройствамиБудем ли контролировать местонахождение устройства? Как? Геолокация?Защищенный VPN-доступ Восстановление и резервное копирование Управление инцидентамиКак осуществляется расследование? Как собираются доказательства на мобильных платформах? Управление журналами регистрации событий.УправлениеКак управляются мобильные устройства с точки зрения вышеперечисленных задач? Как осуществляется troubleshooting?Примерно так. Может я что-то и забыл, но ключевые моменты указал. Надеюсь, данная информация будет полезна при составлении собственной политики работы с мобильными устройствами. При этом помните, что если вы что-то не планируете использовать в настояший момент (например, контроль местонахождения устройств или реагирование на инциденты на мобильном устройстве), то это не значит, что данный раздел не стоит включать в итоговый документ. Просто в нем будет написано, что в настоящий момент данная задача не стоит перед предприятием. Это нужно, чтобы не забыть что-то учесть, когда вы будете пересматривать данную политику.