«Какие новые задачи ставит необходимость обеспечения ИБ - например, с точки зрения роста мобильности сотрудников и пользователей?» Фёдор Прохоров Руководитель Управления информационных технологий ЗАО КБ «Ситибанк» 15 марта 2012

Разнообразие клиентских устройств Сотрудники Обычные ПК (Windows, Linux, Mac OS) Ноутбуки (удаленный доступ через VPN) Тонкие клиенты Смартфоны (iOS, Android, Blackberry OS, Windows Mobile 7) Планшеты (iOS, Android) Клиенты Интернет-банкинг (ПК и ноутбуки на различных платформах) Мобильный Интернет-банкинг (смартфоны и планшеты) Приложения для смартфонов и планшетов (информационные или клиенты для сервисов) 2

Противоречия 3 Баланс между крайностями Удобство для пользователейБезопасность и управляемость Хранение данных в устройствеТолько удаленный доступ (отсутствие данных на устройстве) Одно приложение для одной платформыКроссплатформенность Жесткие политики и ограничения на корпоративных устройствах Использование личных смартфонов и планшетов (BYOD) с ограниченной функциональностью Ограниченный выбор вариантов для рядовых сотрудников Гибкость для руководителей

Плюсы и минусы различных клиентов 4 КлиентПлюсыМинусы Корпоративный ПК, ноутбук или тонкий клиент в офисе Простота администрирования, поддержки и контроля. Проверенные временем процедуры и технологии защиты Минимальные возможности настройки и установки приложений для обычных пользователей, ограниченный модельный ряд и версии ПО Корпоративный смартфон (Blackberry OS) Удаленное администрирование, развитые средства обеспечения целостности и безопасности Возможность использования только для целей организации. Невозможность 100% гарантии конфиденциальности передаваемых данных Корпоративный смартфон или планшет (iOS, Android, Windows) Удаленное администрирование, средства контроля за целостностью. Большой выбор платформ и форм-факторов Ограниченное использование из-за невозможности гарантии 100% сохранности информации Личный ноутбук (в корпоративной сети или VPN) Гибкость и удобство для пользователя. Возможность удаленной работы Сложность контроля за безопасностью и применения политик конфиденциальности, ограничивающая использование. Личный смартфон или планшет Наибольшая гибкость и удобство для конкретного пользователя Возможность применения ограничена удаленным доступом к корпоративным ресурсам и приложениями с гарантированной защитой хранимой информации

Средства защиты – основные тренды Фокус защиты от вредоносных программ смещается от стандартных ПК к планшетам и смартфонам Требуются новые проактивные технологии для мониторинга и анализа всего парка устройств, а также управления защитой в реальном времени Важно концентрироваться на контроле за ПО и конфигурацией устройств с помощью единых кроссплатформенных продуктов Новые технологии потребуют обучения сотрудников ИБ и ИТ, более тесного их взаимодействия Требуются изменения внутренних процедур и процессов, особенно процесса разработки или сертификации нового ПО под различные платформы 5

Средства защиты – полный контроль за устройствами Переход от «обычного» антивирусного агента к системам отслеживающим версии модулей системного ПО, установленное внешнее ПО, конфигурацию, любые изменения и активности. Серверная часть ПО управления и мониторинга клиентских устройств должна получать и обрабатывать внешнюю (сведения о «0-day» уязвимостях, их степень опасности) и внутреннюю (классификацию данных, находящихся на каждом устройстве) информацию. Современные средства управления клиентскими устройствами должны быть интегрированы с системами обновления ПО и иметь возможность создавать и выполнять различные потоки работ Вcтроенные средства обеспечения безопасности в Blackberry OS, iOS и растущее число продуктов для Android не всегда обеспечивает требуемый уровень безопасности для финансовых организаций. 6

Средства защиты – путь вперед Разработать программу повышения квалификации сотрудников служб ИТ и ИБ для управления приложениями и конфигурациями в кросс-платформенных средах. Обновить и пересмотреть существующие процессы для улучшения интеграции, уменьшения дублирования и создания единого подхода для всех платформ. Продумать объединение служб, занимающихся обеспечением ИБ для обычных ПК, виртуальных машин и смартфонов/планшетов Внедрение систем, обеспечивающих интегрированное управление защитой для всех клиентских устройств и включающих в себя возможность управления приложениями и обновлениями ОС. Обновляемая детальная база «хороших» и «плохих» приложений, с указанием их требований к ресурсам, зависимостей и «нормального» поведения должна быть интегрирована в систему управления. 7

Контроль за ПО для мобильных устройств Полное доверие к существующим открытым репозиториям и вендорам (Google / Apple / Microsoft) Доверие к существующим открытым репозиториям и запрет некоторых приложений Разрешение только избранных приложений из открытых репозиториев Создание внутреннего репозитория и разрешение избранных приложений из открытых источников Полный запрет открытых репозиториев и размещение всего ПО во внутреннем репозитории Полный удаленный контроль за ПО, без возможности самостоятельной установки приложений пользователями даже из внутренних репозиториев 8 Риск для организации Удобство для пользователей

Корпоративные репозитории приложений – App Stores Для большинства финансовых организаций будет оптимальным создание внутреннего App Store и тщательный контроль за ПО из внешних источников (или полный его запрет) Пользователи привыкли к открытым репозиториям и будут ожидать аналогичного удобства при работе с внутренними Продуманная образовательная программа позволит уменьшить негативное отношение пользователей к ужесточению контроля за ПО Интеграция репозитория мобильных приложений с существующими системами управления конфигурациями и ПО позволит сохранить существующие подходы к закупкам и управлению лицензиями и избежать дублирования процессов Разрешенное внешнее ПО может быть включено в соответствующие категории корпоративного репозитория Возможна передача контроля за безопасностью внешнего ПО сторонней организации для оптимизации расходов 9

Спасибо ! Данный документ не является предложением по продаже или заключению сделки, и все выраженные в нем мнения могут быть изменены без уведомления. Изложенные в данном документе данные предназначены только для целей обсуждения. Несмотря на то, что содержащаяся в данном документе информация могла быть получена из различных опубликованных и неопубликованных источников, которые считаются достоверными, ни ЗАО КБ «Ситибанк», ни «Ситибанк Н.А.», ни «Ситигруп, Инк.», ни их аффилированные лица и дочерние компании не гарантируют точности и полноты этой информации и не несут ответственности за прямые или косвенные убытки, возникающие в связи с ее использованием.