В рубрику "Спецпроект: mobile security" | К списку рубрик | К списку авторов | К списку публикаций
В настоящее время политика BYOD (Bring Your Own Device) - использование сотрудниками личных планшетов, смартфонов, коммуникаторов для работы и доступа к корпоративным ресурсам - становится все более популярной.
При всех плюсах применения BYOD существует и обратная сторона медали в виде угрозы утечки конфиденциальной информации через неконтролируемые мобильные устройства. Для нейтрализации этой угрозы применяются системы управления мобильными устройствами - Enterprise Mobility Management (EMM1).
Типовая схема построения системы EMM показана на рисунке. В этой архитектуре EMM играет роль буфера и контролера доступа для пользователей, работающих с корпоративными ресурсами с личных устройств.
Такая схема построения системы EMM позволяет:
На рынке EMM присутствует целый ряд вендоров: McAfee, Mobilelron, LANDesk, SOPHOS, Zenprise, Sybase, НИИ СОКБ. Это позволяет выбрать решение, наиболее подходящее каждому конкретному заказчику.
При грамотной настройке и администрировании система EMM может существенно снизить риск утечки конфиденциальной информации, однако существуют факторы, снижающие ее эффективность.
Основной проблемой на стадии запуска системы EMM является недостаточный анализ исходной информации о структуре корпоративной сети и применяемых мобильных устройствах. ЕММ-система должна поддерживать максимальное количество типов устройств, имеющихся в распоряжении сотрудников. Учитывая, что большинство представленных на рынке ЕММ-продуктов имеют ограничения по функционалу для различных платформ, необходимо сделать осознанный акцент на наиболее распространенных устройствах и наиболее важных функциях EMM (например, определение точного местоположения устройства, применение групповых политик LotusNotes/Domino, поддержка шифрования данных).
Зачастую возникает ситуация, когда перечень информационных ресурсов и матрица доступа к ним начинают формироваться в то время, когда внедрение системы EMM идет полным ходом. Это может привести к неправильному наделению полномочиями субъектов доступа. Чтобы избежать такой ситуации, необходимо заблаговременно собрать всю необходимую исходную информацию.
Крайне важно обеспечить грамотное сопровождение системы EMM и соблюдение пользователями мобильных устройств всех требований по обеспечению ИБ. Владельцу планшета или смартфона зачастую трудно заставить себя следовать ограничениям EMM, и он будет пытаться свести их к минимуму, зачастую нарушая политику безопасности. Это может привести к утечке конфиденциальной информации, например, при утере устройства.
Важным аспектом работы по предотвращению утечек конфиденциальной информации заявляется периодическое обновление системы EMM в связи с выходом новых версий операционных систем мобильных устройств. Целесообразно применять единую политику обновления с предварительным тестированием, позволяющим выявить все возможные ошибки, возникающие при работе EMM с устройствами под управлением новых версий ОС.
Сотрудники должны понимать, что в случае утери устройства или его замены необходимо незамедлительно сообщать об этом для блокировки устройства и/или удаления с него конфиденциальной информации.
Часто проблемой является использование съемных носителей на мобильных устройствах. Не все системы EMM могут контролировать все процессы использования съемных носителей.
Наконец, отдельно стоит рассматривать вопрос разрешения работы с устройств, на которых выполнена процедура jailbreak, поскольку это может снижать эффективность EMM.
В ходе модернизации системы EMM важной задачей является обеспечение непрерывности ее работы. До ввода в эксплуатацию обновленной версии EMM необходимо проводить тестирование на предмет конфликтов с инфраструктурой. Невыполнение этой рекомендации способно привести к появлению новых угроз либо к перебоям в работе EMM или IT-инфраструктуры.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2012