Контакты
Подписка
МЕНЮ
Контакты
Подписка

Утечки информации: как избежать. Безопасность смартфонов

Утечки информации: как избежать. Безопасность смартфонов

В рубрику "Техническое обозрение" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Утечки информации: как избежать, Безопасность смартфонов

Илья Сачков,
руководитель направления, группа информационной безопасности Group-IB


Проблемы утечек информации освещены на данный момент настолько полно, что уже не всегда становится интересно о них читать, да и узнать что-то новое очень сложно. В этой статье будет рассмотрена другая сторона утечек, которая еще не была освещена достаточно хорошо. Речь идет о смартфонах.

Они давно вошли в корпоративную жизнь. Современные смартфоны имеют функционал настольного компьютера: Wi-Fi, доступ в Интернет, электронная почта, множество приложений, большой объем памяти. Но очень немногие организации понимают, насколько велики риски использования корпоративных смартфонов, тем более что такие устройства находятся обычно в эксплуатации у руководства (топ-менеджеров, начальников отделов и т.д.).

Централизованная защита от вирусов и спама

В начале проведем сравнение антивирусов/антиспам-решений, предназначенных для защиты корпоративных смартфонов.

Задача: централизованная защита корпоративных смартфонов от заражения вирусами и получения спама.

В этом разделе будут рассмотрены три решения: Каspersky  Mobile  Security,   Symantec Mobile Security и Panda Security for smartphones (табл. 1).



Все три решения с точки зрения функционала одинаковы. Разница в платформах и консоли управления. Panda ориентирована на операционную систему Symbian, Symantec - только на Windows Mobile, Kaspersky поддерживает обе. Но с точки зрения  корпоративного управления централизованной системой является только Symantec.

Полноценная защита

Защита смартфонов не ограничивается только антивирусом и антиспамом. Смартфон - это полнофункциональный компьютер, к которому должны быть применимы правила шифрования, контроля портов, аудита и межсетевого экрана.

В этом разделе будем сравнивать четыре продукта: Каspersky Mobile Security, Symantec Mobile Security, Panda Security for smartphones и GuardianEdge Smartphone Protection (см. табл.).



Из четырех продуктов для корпоративного использования подходят лишь два - Symantec Mobile Security и GuardianEdge Smartphone Protection. Только в них есть возможность централизованного управления через консоль. При этом Symantec не поддерживает интеграцию с ActiveDirectory и сервером Active-Sync.

Контроль портов смартфона (карты памяти, Wi-Fi, Bluetooth, камера, диктофон) поддерживает только GuardianEdge.

Что же касается межсетевого экрана, то у Panda Security for smartphones его нет.

Шифрование поддерживает только Symantec и Guardian-Edge. Контроль целостности файлов есть во всех четырех "конкурсантах", а вот контроль над установкой приложений реализован только в GuardianEdge.

Комментарий эксперта

Елена Голованова,
генеральный директор компании "ИнфоТехноПроект"

Не останавливаясь на технической стороне вопроса (в статье об этом говорится достаточно), хотелось бы заострить вопрос утечек с еще одной стороны - со стороны человеческого фактора при использовании корпоративных смартфонов.

Я полностью согласна с автором по поводу категорий специалистов, использующих смартфоны, однако необходимо обратить внимание на те категории информации, которые эти специалисты обычно используют. Наряду с коммерческой информацией в большинстве случаев обрабатывается также информация, содержащая персональные данные.

К сожалению, автором статьи не рассматриваются вопросы защиты персональных данных при использовании этих технических средств.

Кроме того, еще ни один производитель средств защиты не заявил о создании комплексного решения для смартфонов, способного защитить персональные данные в соответствии с требованиями законодательства Российской Федерации. А делать это необходимо. Зачастую смартфон выступает в качестве одного из элементов корпоративной информационной системы.

Таким образом, руководству компаний необходимо определять не только технические средства защиты смартфонов, но и меры защиты информации при их использовании на корпоративном уровне. Среди таких мер в рамках корпоративной системы защиты персональных данных обязательно должны присутствовать меры организационной и административной защиты, к которым относятся разработка и утверждение политики защиты персональных данных при их обработке с использованием различных устройств. При этом необходимо определить:
  • категории данных, обрабатываемых в системе с использованием смартфонов;
  • перечень должностей или сотрудников, допущенных к обработке персональных данных;
  • права доступа к общекорпоративным ресурсам;
  • виды ответственности за нарушение установленных правил;
  • перечень лиц, которые несут ответственность за нарушение принятой политики защиты персональных данных.
Другой мерой может стать ликвидация неграмотности, в том числе и правовой в сфере персональных данных. Решение проблемы - профессиональная переподготовка или дополнительное обучение сотрудников всех уровней (от рядовых специалистов до руководства компании), допущенных к обработке персональных данных.

В целом, применяя организационные или административные меры при обработке персональных данных, в том числе и при использовании мобильных технических средств, компания в состоянии обеспечить надлежащий уровень защиты обрабатываемых персональных данных. При этом нет необходимости ожидать создания новых или адаптации уже существующих технических решений к требованиям уполномоченных федеральных органов исполнительной власти по технической защите персональных данных, а использовать возможность комбинации опробованных технических средств и разработанной в интересах компании системы защиты персональных данных.

Подведем итоги

Теперь можно сделать выводы. В настоящее время для защиты смартфонов необходимо совмещать два продукта: антивирус/антиспам и решения для комплексной защиты (блокировка портов, шифрование, централизованное управление и аудит).

Однако ни один из продуктов при тесте не показал полного функционала.

Из антивирусных/антиспамовых решений для малого бизнеса больше преимуществ у "Лаборатории Касперского", как у нецентрализованного продукта. Если речь идет о серьезных организациях, то лидер - Symantec. Panda Security for smartphones пригоден лишь для личного использования на смартфонах Symbian. Из решений для комплексной защиты по всем тестам определился явный лидер - GuardianEdge Smartphone Protection.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2008
Посещений: 16979

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Илья Сачков

Илья Сачков

Генеральный директор компании Group-IB (Группа информационной безопасности)

Всего статей:  7

В рубрику "Техническое обозрение" | К списку рубрик  |  К списку авторов  |  К списку публикаций