Организация информационной безопасности мобильных устройств и доступа к информации в компаниях

Предлагаю рассмотреть следующий кейс: Нужно защитить мобильное устройство или устройства в рамках организации информационной безопасности компании, чтобы шифровалась информация, возможно добавлялись какие-то ограничения по доступам с учетом актуальных политик безопасности компании, а так же была возможность удаленной блокировки.

Рассматривать будем несколько типов решений, как самое бюджетное, так и решение которое потребует финансовой поддержки.

Написание политики, использование бесплатных и нативных средств

Самым бюджетным решением будет конечно же, написание политики безопасности компании относительно использования личных мобильных устройств в рамках BYOD (Bring Your Own Device) внутри компании и на каких условиях можно будет пользоваться со своего мобильного корпоративными сервисами вроде почты.

1. В политике обязательно должны быть прописаны пункты, которые в случае если пользователь желает использовать корпоративные сервисы со своего мобильного устройства должен выполнять.
2. В принудительном порядке заставлять пользователей шифровать информацию на мобильных устройствах нативным средствами (предусмотренно в iOS / Android)
3. Подключать сервисы которые предоставляют возможность удаленной блокировки мобильного устройства (Google, iCloud)
4. Стараться использовать сложные пароли и графические ключи для разблокировки устройства (для лучшей мотивации к такому поведению, стоит на этапе заключения с сотрудником контракта обозначить эту часть ответственностью со стороны сотрудника за утечку информации)
5. Провести краткий инструктаж по таким простых пунктам как обновление ПО, установка стороннего ПО не из плеймаркетов, root/unlock/jailbreak — это плохо, стараться не терять устройство и не оставлять его с легко доступных местах в разблокированном состоянии, избегать подключений к сомнительным wi-fi точкам

Конечно же, интеграция мер такого характера это не просто но бюджетно. Из основных проблем — правильно построить процесс установки и настройки ПО на устройства, а так же самих устройств, проведение инструктажа, и конечно же  заставить пользователей соблюдать правила. Лучше всего выполнять данные мероприятия при принятии нового сотрудника в компанию. Так же остается актуальной проблема при замене устройства сотрудником на новый девайс, т.к. он о таком стечении обстоятельств может попросту забыть проинформировать.

 

Использование антивирусных решений от ESET или Kaspersky

Готовые и обкатанные решения вроде тех, что предлагают для энтерпрайза Kaspersky или ESET — будет проще в плане интеграции, но без ответственных за «красную кнопку» все же не обойтись и тут.  Такого рода решения обычно имеют какую-то централизованную консоль управления, где можно централизованно мониторить определенные типы активности устройств, удаленно их блокировать, шифровать, отправлять сообщения и выполнять множество других разныз полезных операций. С моей точки зрения, отвечать за такую кнопку должна либо первая линия супорта, либо подразделение по ИБ.

Сразу давайте рассмотрим, что же нам предлагают ребята из ESET:

• Эффективная защита мобильных устройств под управлением (Android / iOS / Windows Mobile / Symbian)
• Ограничение использования мобильных приложений и доступа к ним (может строиться на базе белого или черного списка)
• Предоставляется защита данных на потерянном или украденном устройстве
• Возможность использования политик безопасности, а в случае их несоблюдения — информирование пользователя и администратора
• Централизованное управление при помощи ESET Remote Administrator
• Напоминание об активации шифрования

Хотелось бы обратить внимание на последний пункт — описан он, как напоминание, хотя в дейтствительности больше пользы было бы от возможности принудительного шифрования через политики безопасности. Честно говоря, данный факт мне проверить не довелось, по тому я не могу с уверенностью сказать, что там такой функционал не предусмотрен на уровне политик безопасности. В целом, по функционалу вопросов нет — он довольно обширен и с возложенными задачми по безопасности справиться может.

Далее, давайте обратим внимание на решение от Kaspersky — «Kaspersky Endpoint Security для бизнеса» в который входит «Kaspersky Security для мобильных устройств»:

• Работает с платформами iOS / Android / Windows Mobile
• Минимальные требования к системе управления Kaspersky Security Center 10 SP1 или выше
• Защита от вредоносного ПО, спама и фишинговых ссылок
• Контроль приложений (допускает использование только разрешенных программ, блокируя запуск нелицензионного или нежелательного ПО)
• Тот же анти-вор как и в ESET с возможностью удаленной блокировки устройства и удаления данных (в ESET плюс в том, что может получать команды через SMS)
• Изолированные контейнеры для приложений и возможность выборочной очистки памяти устройства позволяют разделить корпоративную и личную информацию, хранящуюся на устройстве сотрудника
• Возможность использовать обязательное шифрование

Сочетание функционала шифрования и защиты от вредоносного ПО в составе Kaspersky Security для мобильных устройств дает возможность обеспечить проактивную защиту  мобильного устройства, а не просто изолировать устройство и хранящиеся на нем данные.

Трудно так сразу определить какой продукт лучше, у каждого есть свои небольшие плюсы и минусы. Но, конечно же лучше обратить внимание на решение с возможностью удаленного контроля и принудительного шифрования.

Хочу отметить еще два интересных решения в данном вопросе: Juniper Networks Junos Pulse Mobile Security Suite и Intunes от Microsoft.

Juniper не предоставляет возможности шифрования, но он очень хорош в плане работы с политиками безопасности, ограничем использования не обновленного ПО, а так же возможность работы через VPN и удаленного управления.

Если же вы строите решение на базе продукции от Microsoft, то конечно стоит взглянуть на Intunes (Enterprise Mobility + Security).

Перечень функциональных и интеграционных возможностей данного ПО очень объемный, но хотелось бы отметить несколько основных:

• Шифрование
• Работа с политиками безопасности
• Возможность интеграции с AD (должна быть синхронизация локального Active Directory и Microsoft Azure Active Directory Premium)
• Ограничение возможностей копирования и сохранения информации исключительно в рамках продуктов Microsoft (т.е. если сохранять информацию, то разрешит только в облаке MS, если копировать текст из письма — то только в Word или Excel)
• Обеспечение комплексного управления настройками мобильных устройств, в том числе действий, выполняемых дистанционно, таких как сброс пароля, блокировка устройства и шифрование данных

Как вы уже успели заметить, решений по обеспечению информационной безопаности мобильных устройств и хранимой на них информации — множество, остается лишь изучить положительные и отрицательные стороны, разобраться с вашими требованиями к возможностям ПО и исходя из правил ваших политик безопасности выбрать что-то максимально оптимальное.

Как вы уже поняли, самыми основными пунктами должны быть: шифрование информации, ограничение по использованию ПО, возможность удаленного контроля и мониторинга.

Всю нужную дополнительную информацию по продуктам найти очень легко, оперируя их названиями в любой поисковой системе, по тому ссылок я не приводил.

Может быть интересно: