Азы безопасности при внедрении BYOD
Интервью с Алексеем Александровым, руководителем направления по работе с технологическими партнёрами компании "Аладдин Р.Д."
Любая корпорация, решившаяся на переход к BYOD, столкнётся с рядом вопросов, которые можно считать неизбежными: как сохранить неприкосновенность корпоративной информации, избежать утечек и, при этом, не ущемить права сотрудников излишне пристальным наблюдением за их гаджетами?
О том, как правильно выстроить политику информационной безопасности при внедрении BYOD, Thinkinnovative.Ru рассказал Алексей Александров, руководитель направления по работе с технологическими партнёрами компании "Аладдин Р.Д."
Известно, что основной проблемой при внедрении BYOD является обеспечение информационной безопасности. Существует ли какая-то общая схема защиты или она выстраивается в каждом случае индивидуально?
Действительно, концепция BYOD предполагает совмещение на одном мобильном устройстве двух сценариев его использования: как личного устройства – доступ к личной почте, в соц.сети, Интернет, мессенджеры и т.д., и как устройства для работы – корпоративная почта, доступ к корпоративным информационным системам и "облакам", мессенджеры, в которых идёт обработка конфиденциальной информации. И очень важно чтобы информация, используемая в обоих сценариях, не "перемешивалась" между собой.
Можно выделить несколько задач, которые нужно решить при внедрении BYOD. К таким задачам относится централизованное управление и учёт мобильных устройств, которые будут использоваться для работы. Далее необходимо обеспечить защиту конфиденциальной информации, хранимой и обрабатываемой на устройстве. При этом нельзя забывать о том, что мобильное устройство будет подключаться к информационным системам через открытые каналы связи. Следовательно, нужно обеспечить защиту передаваемых данных.
Как проконтролировать работу сотрудников с конфиденциальной информацией - не выкладывают ли они её, к примеру, в общедоступные облачные хранилища?
Это может и должно решаться разными способами, как техническими, так и организационными мерами. Один из таких способов – это ограничение функционала мобильного приложения, связанного с экспортом материалов из приложения. Но только техническими мерами этого добиться невозможно. Поэтому требуется проведение обучения сотрудников правилам безопасной работы с конфиденциальной информацией.
Что нужно для того, чтобы обеспечить сохранность корпоративных данных не только при работе в защищённой внутренней сети, но и за пределами офиса?
Для этого могут использоваться те же методы/механизмы, что и на стационарных рабочих местах: аутентификация пользователя при доступе к данным, шифрование информации на устройстве и при передаче данных. А механизмы электронной подписи могут помочь с обеспечением доверия к действиям пользователя на мобильном устройстве и создаваемым им документам.
Наша компания предлагает решение JC-Mobile, позволяющее использовать смарт-карты на мобильных устройствах для решения вышеперечисленных задач. JC-Mobile позволяет организовать безопасный доступ к системам и сервисам компании с мобильных устройств и обеспечивает юридическую значимость подписываемых электронных документов и производимых операций. При использовании JC-Mobile на мобильных устройствах будут доступны следующие функции: cтрогая взаимная двухфакторная аутентификация; формирование усиленной квалифицированной электронной подписи; безопасное хранение ключей и цифровых сертификатов на отчуждаемом модуле безопасности (смарт-карте или Secure MicroSD-токене).
Можно ли провести грань между правами сотрудников на неприкосновенность личных данных и правом компании на контроль и защиту корпоративной информации? Как это сделать технически, есть ли решения?
Как я уже говорил, разделения информации можно добиться за счёт использования специальных защищённых приложений для работы и решений для защиты информации для мобильных устройств.
Помогает ли обеспечению ИБ использование инфраструктуры виртуальных рабочих мест?
Использование виртуальных инфраструктур не освобождает от необходимости защищать информацию на мобильных устройствах, в том числе в момент её передачи по каналам связи.
Оправдывает ли себя практика контейнеризации, когда на устройстве сотрудника чётко разделены корпоративная и личная зоны?
Эта технология достаточно интересна, но зачастую она не полностью применима из-за большого разнообразия моделей мобильных устройств у сотрудников компании. Ввиду различия особенностей мобильных платформ, используемых сотрудниками в работе (если принимать во внимание "худший случай", когда сотрудников не обязывают использовать одинаковые устройства), применять единую для всех платформ модель становится невозможным.
Как часто следует пересматривать политики ИБ при работе с BYOD?
Несомненно, очень важно следить за новостями в области ИБ и оперативно реагировать на новые угрозы, которые появляются достаточно регулярно. Это в свою очередь может потребовать доработку уже существующих политик и решений для обеспечения защиты от новых угроз. Сфера информационной безопасности не стоит на месте – хакеры становятся более продвинутыми, появляются всё новые угрозы, поэтому и решения для защиты должны обновляться/дорабатываться на несколько шагов вперёд.
Действительно ли внедрение BYOD - это головная боль для работников IT-служб? Насколько затратно и ресурсоёмко обычно обходится внедрение?
Полагаю, что это нелегко - и не только технически. Службам ИТ сложно уследить за всеми сотрудниками в части соблюдения политик безопасности компании – тут выступает "человеческий фактор", т.е. степень ответственности/безответственности сотрудников в части исполнения всех требований безопасности. Насколько это затратно или ресурсоемко – судить не могу.
Что мешает развитию BYOD в России?
В России имеются собственные требования к обеспечению безопасности информации, отличающиеся от мировых. Сюда можно отнести и криптографические алгоритмы (ГОСТ), и требования по проведению сертификации средств криптографической информации. В последнее время появляются решения, и ведётся работа по их сертификации, но таких решений мало и они достаточно дороги, и не всегда могут удовлетворить требования заказчика или имеют ограничения по поддерживаемым моделям устройств.