В рубрику "Спецпроект: mobile security" | К списку рубрик | К списку авторов | К списку публикаций
Доступность необходимой информации там, где нужно, и тогда, когда нужно, позволяет увеличить скорость принятия решений и зачастую является ключевым фактором успеха в бизнесе.
Вместе с тем использование новых технологий неизбежно влечет за «собой появление новых рисков. Основными из I них являются:
Таким образом, компания, принявшая решение об использовании мобильных устройств, должна оценить эти риски и либо принять их, либо предусмотреть механизм, позволяющий снизить их до приемлемого уровня. Таким механизмом может стать система обеспечения безопасности мобильных устройств. Она представляет собой комплексное решение, обеспечивающее оптимальный уровень И Б за счет организационных мер, технических средств и обучения пользователей.
Первым шагом по обеспечению безопасности мобильных устройств должно стать появление документа, который определяет основные положения их использования и формулирует цели использования мобильных устройств (в каких бизнес-процессах должны использоваться, какие ресурсы компании должны быть доступны);
После разработки такого документа необходимо определить частные требования к обеспечению ИБ мобильных устройств:
Такие требования могут быть собраны в отдельный документ (например, "Политика защиты мобильных устройств") либо внесены в уже существующие частные ИБ- и IT-политики компании.
Помимо организационных, необходимы также меры, обеспечивающие техническую реализацию и контроль выполнения требований. Основой таких мер будет решение класса Mobile Device Management (MDM), которое (в зависимости от своего типа и типа устройства) позволяет обеспечить:
В зависимости от актуальных рисков использования мобильных устройств может потребоваться дополнительно использовать:
По статистике, самым слабым звеном в системе защиты информации является человек. Поэтому крайне важно доводить до работников основные правила безопасного использования мобильных устройств и разъяснять их. Хорошей практикой является включение этих правил в существующий процесс обеспечения осведомленности работников в области ИБ, который содержит:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2012