1 Russian Enterprise Mobility Summit PC Week/RE г. Москва, 2015
2 БЕЗОПАСНОСТЬ МОБИЛЬНЫХ ТЕХНОЛОГИЙ В КОРПОРАТИВНОМ СЕКТОРЕ А. Першин Ассоциация руководителей служб информационной безопасности 21 октября 2015 г.
ТЕЗИСЫ Мобильные устройства. Определения. Политика мобильной безопасности. Основные составляющие. Управление корпоративными мобильными технологиями. Основные понятия. Мобильные технологии и обеспечение их безопасности как часть бизнес-процессов организации. 3
Мобильные устройства. Определения 4
5 Базовые характеристики мобильного устройства*: Малые геометрические размеры и вес. Наличие, как минимум, одного беспроводного интерфейса сетевого доступа (для передачи данных): интерфейс Wi-Fi, сотовой связи или другой для подключения устройства к сетевой инфраструктуре оператора связи с возможностью подключения к сети Интернет или к другой сети передачи данных.. Специализированная мобильная операционная система (ОС), не являющаяся полнофункциональной ОС стационарных компьютеров и ноутбуков. *Согласно NIST SP release 1.
Мобильная операционная система Мобильная ОС – это (специально разработанное) программное обеспечение, которое позволяет смартфонам, планшетам и другим (беспроводным) устройствам выполнять приложения и программы. Как правило, мобильная ОС стартует при включении устройства и выводит на экран иконки или ссылки для запуска приложений или доступа к данным (информации). Мобильная ОС также управляет телефонными соединениями, доступом к сотовым и беспроводным сетям. systemhttp://searchmobilecomputing.techtarget.com/definition/mobile-operating- system. 6
Мобильное устройство «Мобильные устройства включают смартфоны и планшетные компьютеры, которые поддерживают соединения с различными беспроводными сетями (как правило, сотовыми и Wi-Fi), а также включают приложения для приема/ передачи/ обработки голоса и данных. Такие устройства выполняют мобильные операционные системы для доступа к мобильным датчикам, сервисам голоса и данных» («Government Mobile and Wireless Security Baseline», CIO Council, май 2013 г.). 7
Политика мобильной безопасности. Основные составляющие 8
9 Политика безопасности мобильных устройств Это набор правил, определяющих использование и обеспечение безопасности мобильных устройств в корпоративной сети. Она обязательна к применению и должна быть доведена до сведения всех сотрудников, использующих мобильные устройства. Она должна включать следующее: 1. Цели и задачи. 2. Область применения. 3. Допустимая область применения мобильных устройств. 4. Применяемые политики (безопасности). 5. Обеспечение исполнения. 6.Ответственность. 7.Определения.
Рекомендации по составлению и реализации политики Создать подразделение и/или рабочую группу по мобильным технологиям (в целях координации работ, разработке политики мобильной безопасности и организации взаимодействия с другими компонентами информационной инфраструктуры организации). Определить стандарты использования мобильного устройства. Определить авторизованных пользователей. Классифицировать данные. Следует определить категории критичности ресурсов и данных, к которым разрешен мобильный доступ. Установить полномочия доступа. Разработать реалистичную политику. Для мобильных устройств периметр контролируемой зоны существенно шире. Использовать системы управления мобильными устройствами. Системы класса МхМ влияют на общий уровень безопасности организации. 10
11 Наиболее важные положения политики безопасности*: * По данным обзора «BYOD & Mobile Security Report», 2014 г.
Управление корпоративными мобильными технологиями. Основные понятия 12
Стратегия ЕММ. Определение Enterprise Mobility Management (EMM) – это стратегия управления корпоративными мобильными технологиями. ЕММ – это совокупность персонала обеспечения, процессов и технологий, предназначенных для управления комплексом мобильных устройств, беспроводных сетей и соответствующих сервисов для обеспечения мобильных операций в целях обеспечения бизнес-процессов организации. 13
Цели и задачи ЕММ Цель ЕММ – определить, можно ли и как интегрировать доступные мобильные технологии с задачами и процедурами бизнес-процессов организации, и как обеспечивать поддержку работников. ЕММ включает комбинацию систем управления мобильными устройствами, приложениями и данными, а также их интеграцию с внутренней инфраструктурой организации и, в первую очередь, со службой каталогов. Обеспечение безопасности мобильных технологий организации – лишь часть функций ЕММ. 14
Схема ЕММ 15
Технологии, используемые ЕММ 16
ЕММ как часть UEM ЕММ является частью стратегии Unified Endpoint (Security) Management (UEM), т.е., унифицированное управление (включая управление безопасностью) совокупностью оконечных устройств организации. Она определяет политику и правила управления всеми оконечными устройствами организации, включая мобильные устройства всех типов, ПК, серверы, сетевое оборудование и другие устройства. 17
Мобильные технологии и обеспечение их безопасности как часть бизнес- процессов организации 18
Особенности внедрения мобильных технологий Для мобильных устройств периметр не контролируемой зоны практически неограничен. Специфические риски и угрозы, приложения, средства управления, обеспечения безопасности и контроля. Как правило, службы ИТ и ИБ от темпов развития мобильных технологий. Пользователи, как правило, имеют опыт и собственные предпочтения к правилам использования мобильных устройств и приложений. Пользователи (особенно руководство) хотят свободного доступа к корпоративным ресурсам и данным. 19
Стратегия использования мобильных приложений Все ли неотложные задачи автоматизации бизнес-процессов решены? По каким направлениям предполагается добавлять дополнительные задачи бизнес-процессов, и какова будет их ценность? Как предполагается измерять эту ценность? Есть ли понимание, как будет направлен поток данных к и от приложения? Корпоративные мобильные приложения взаимосвязаны с внутренними системами организации. Существуют ли результаты обследования и необходимые ресурсы для разработки и внедрения мобильных приложений? Какие мобильные устройства будут использоваться? Необходимо ли дополнительное обучение пользователей? Определены ли ключевые исполнители, эксперты и/или персонал? 20
21 СПАСИБО ЗА ВНИМАНИЕ