В любой современной компании используются мобильные устройства. Причем на них обрабатывается корпоративная информация, в том числе и бизнес-критичная. И в случае потери, кражи устройства или в результате заражения вредоносным ПО эта информация может попасть в чужие руки.
Разные классы оборудования имеют различный уровень опасности. Ноутбуки, например, — это стандартные рабочие места, которые используются в рамках корпоративной инфраструктуры уже давно. Для них применимы все методы защиты, которые используются в любой компании. По крайней мере, антивирус на ноутбуках, скорее всего, стоит, и ИТ‑служба заботится о том, чтобы он поддерживался в актуальном состоянии.
А вот что касается КПК, планшетов, смартфонов, коммуникаторов, то с ними проблем больше. Практики их использования в корпоративной среде еще пока немного. При этом данные устройства построены на других программно-аппаратных платформах, и использовать средства защиты информации, которые применяются на ПК и ноутбуках, мы просто не можем. В итоге не редкость, что устройства просто остаются вообще без всякой защиты, в то время как угрозы в области информационной безопасности для них остаются в силе.
Однако все популярные мобильные платформы, в частности Symbian, iOS, Android, имеют неплохие встроенные механизмы самозащиты. И сотрудники ИТ-отделов могут активировать все эти функции, даже и выключенные по умолчанию. Кроме встроенных, существует масса дополнительных средств и механизмов защиты. В частности, имеются средства, позволяющие свести к минимуму риски, связанные с процессом размытия периметра сети. Например, есть средства для создания VPN-туннелей между корпоративной сетью и устройством для всех основных платформ. Для платформы iOS их предлагают, в частности, компании Cisco и CheckPoint. Нужно знать о наличии таких средств и уметь их грамотно применять.
Имеются также средства защиты, блокирующие доступ к информации и в том случае, если устройство утеряно или украдено. Часто соответствующие механизмы реализованы на уровне платформы. Их можно активировать с помощью систем управления мобильными устройствами (или MDM, от mobile devices management). Они служат для централизованного учета и управления такого оборудования в рамках компании. Одной из их функций и является задание определенных механизмов защиты, включая полное шифрование данных или шифрование отдельных карт памяти, данных, которые синхронизируются с корпоративной системой, например, почтовой, включая письма, контакты, задачи. Можно ввести механизмы аутентификации, заставляя при каждом включении или выходе из режима ожидания вводить пароль. Имеются также механизмы принудительной блокировки устройства при неактивности, что позволяет предотвратить возможность прочитать информацию в случае утери или кражи устройства. Часто есть возможность полного аппаратного сброса в дистанционном режиме, если стало известно о его утере или краже. Все вышеперечисленное может производить администратор безопасности в централизованном режиме.
Начинать же работы по внедрению технических средств защиты следует с выработки политик. Это некие организационные документы, которые определяют возможности использования мобильных устройств в рамках компании. Мы рекомендуем четко очертить перечень конкретных моделей устройств, которые возможно использовать (или, по крайней мере, версий операционной системы), допустимые сценарии использования мобильных устройств, включая перечень информационных систем, к которым будет разрешен доступ с мобильных устройств. В этом же документе необходимо донести до пользователей информацию о тех средствах и механизмах защиты, которые будут применяться. Кроме того, надо изложить сведения о мерах и правилах по защите устройства, над которыми представители службы ИБ не властны, но несоблюдение которых может привести к плачевным результатам. Например, не передавать посторонним, не оставлять без присмотра мобильные устройства и т. д. Мы также рекомендуем включать в документ меры ответственности за нарушение установленных норм. В обязательном порядке должны быть контакты сотрудников службы ИБ, к которым нужно обращаться в случае возникновения непредвиденных ситуаций, например утери или кражи. И этот документ должен быть доведен до всех сотрудников. Кроме того, нужно обязательно поддерживать у сотрудников уровень осведомленности в области информационной безопасности.
