Rambler's Top100
Статьи
26 ноября 2013

В.Залогин: Продукты от разных производителей? Всегда риск

Минимизировать риски при внедрении решений мобильной безопасности можно путем выбора продуктов от одного вендора, в мультивендорной схеме можно положиться на профессионализм системного интегратора. Но не стоит забывать, что непробиваемой защиты не существует.

Читайте полную версию Дискуссионного клуба темы номера "ИКС" №10'2013 "Защита на мобильных рубежах".

Часть 7.

? "ИКС": На рынке существует множество продуктов и решений для инфобезопасности корпоративной мобильной среды, однако их интеграция - большая проблема. Как минимизировать риски при внедрении решений от разных разработчиков, обеспечить защиту корпоративных данных в  устройствах на различных мобильных платформах?

Андрей Чечеткин, консультант по информационной безопасности, LETAАндрей Чечеткин, консультант по информационной безопасности, LETA: Прежде всего необходимо определиться с тем, какие мобильные устройства нужно защищать (на базе каких ОС они работают) и какие функции безопасности должны быть реализованы в устройствах. После этого осуществляется выбор подходящих под эти требования решений по защите мобильных устройств. Затем происходит пробное тестирование какого-либо продукта в ИТ-инфраструктуре компании. При этом учитывается простота внедрения, администрирования, а также отсутствие проблем при интеграции с уже внедренными в компании сервисами (почтовыми, файловыми серверами и т.п.).Александр Храмцов, исполнительный директор ООО "Телеком-Защита"

Александр Храмцов, исполнительный директор ООО "Телеком-Защита": В наше время технологии информационной безопасности мобильной среды настолько быстро развиваются, что невозможно уследить за всеми новшествами на корпоративном уровне с одной стороны, и невозможно выбрать наиболее перспективное решение – с другой. В своем роде, бурное развитие средств защиты мобильных устройств в жесткой конкурентной среде  скорее является тормозом в их проникновении на корпоративный рынок. Наиболее эффективным средством успешной интеграции является унификация решений и технологий на уровне корпорации, достигаемая в том числе и организационным регулированием допустимых к использованию в корпоративной среде мобильных устройств и методов их защиты. Собственная экспертиза, концентрация на выбранной технологии и четко поставленные цели – это единственный набор, минимизирующий риски  внедрения и использования мобильных устройств в корпоративной среде.

Юрий Черкас, руководитель направления инфраструктурных решений ИБ Центра информационной безопасности, «Инфосистемы Джет»Юрий Черкас, руководитель направления инфраструктурных решений ИБ Центра информационной безопасности, «Инфосистемы Джет»: Во-первых, рынок ИТ и ИБ уже в достаточной мере типизирован – существуют стандарты, форматы данных, протоколы передачи, варианты технологий, позволяющих интегрировать средства различных производителей. Да и сами средства защиты зачастую предусматривают возможность интеграции с продуктами других вендоров, и это является одним из их конкурентных преимуществ. Во-вторых, любой проект по внедрению предусматривает стадию проектирования, на которой оцениваются возможности интеграции устройств и компонентов, что дает возможность корректировать решение на этапе проектирования. Правильным будет также предвосхитить полномасштабное внедрение пилотным проектом, в рамках которого будет выбрана тестовая зона, в которой установятся планируемые к внедрению средства защиты. Это позволит оценить корректность их работы и влияние на существующую инфраструктуру организации. Таким образом, при грамотном подходе риски, связанные с проблемами интеграции, минимальны.Владимир Залогин, директор по специальным проектам ЗАО «С-Терра СиЭсПи»

Владимир Залогин, директор по специальным проектам ЗАО «С-Терра СиЭсПи»: Использование продуктов различных производителей  – это всегда риск, ведь разработчики редко тестируют совместную работу с другими средствами защиты. В такой ситуации демо-зоны и пилотные проекты являются обязательным этапом проектирования и внедрения системы защиты. Чем ближе условия пилотного проекта к реальным, тем легче потом внедрение. Обязательными являются полное совпадение ОС (версия, обновления) и других программных компонентов устройства.

Игорь Корчагин, специалист по ИБ компании ИВКИгорь Корчагин, специалист по ИБ компании ИВК: Для построения максимально эффективной системы защиты информации в корпоративной мобильной среде и минимизации рисков при внедрении соответствующих решений должна быть предварительно разработана политика использования мобильного рабочего места, на основе которой уже возможно определить конкретные необходимые технические решения и выбрать поставщика системы защиты. В политике должны быть отображены такие вопросы, как доступ к ресурсам из корпоративной сети и их внешних сетей; необходимые для доступа корпоративные сервисы; категории сотрудников, использующих мобильные устройства, для доступа к корпоративным ресурсам, а также гостевой доступ; категории мобильных платформ, доступ с которых будет осуществляться; правила использования ресурсов сети интернет. Наиболее безопасным подходом к построению концепции BYOD является реализация централизованного хранения и обработка корпоративной информации, к которой обеспечивается доступ.Степан Дешёвых, старший менеджер по продуктам "Лаборатории Касперского"


Степан Дешёвых, старший менеджер по продуктам "Лаборатории Касперского": Здесь все просто. Чем меньше поставщиков используется, тем проще построение системы защиты и контроля за ее состоянием, и тем меньше средств нужно вкладывать в поддержку и интеграцию систем, в обучение специалистов и т.д. Нужно выбирать разработчика, который давно присутствует на рынке, является признанным экспертом и готовит интегрированные, комплексные защитные решения.Николай Романов, технический консультант Trend Micro в России и СНГ


Николай Романов, технический консультант Trend Micro в России и СНГ: Не все представленные на рынке системы отвечают требованиям крупных организаций по управлению мобильными устройствами и интеграции в корпоративную ИТ-среду. Но если решение устраивает заказчика  по всем другим показателям, можно поработать с вендором в индивидуальном порядке по доработке существующего решения или получить доступ к API для самостоятельного дописывания механизмов интеграции. Целесообразность такого подхода, безусловно, ограничена стоимостью конечного решения.Юрий Акаткин, директор ФГУП «КБ полупроводникового машиностроения» ГК «Ростехнологии»



Юрий Акаткин, директор ФГУП «КБ полупроводникового машиностроения» ГК «Ростехнологии»: При интеграции имеющихся продуктов и решений необходимый эффект, как правило, не достигается – образуется система, напоминающая «лоскутное одеяло». Надо использовать комплексный подход: создание доверенной вычислительной среды с использованием резидентных компонентов безопасности и принятия соответствующих организационных мер. Олег Губка, директор департамента по работе с клиентами, «Аванпост»




Олег Губка, директор департамента по работе с клиентами, «Аванпост»: От таких рисков лучше уходить, а именно использовать решения по мобильной безопасности от одного вендора, который поддерживает кроссплатформенность.


Дмитрий Слободенюк, коммерческий директор ARinteg



Дмитрий Слободенюк, коммерческий директор ARinteg: Для построения корпоративной системы защиты мобильных устройств лучше обратиться к специалистам, у которых есть опыт и экспертные знания в данном вопросе. Это самый верный способ минимизировать все возможные риски.Алексей Сабанов, заместитель генерального директора Аладдин Р.Д.




Алексей Сабанов, заместитель генерального директора Аладдин Р.Д.: Это – хлеб интеграторов и возможность проявить квалификацию при решении таких технически сложных задач.


Сергей Ларин, специалист по инфраструктурным решениям Microsoft в России



Сергей Ларин, специалист по инфраструктурным решениям Microsoft в России: Минимизация рисков возможна только при совместной разработке этих программных продуктов. Наши технологии разрабатываются единым пакетом, совместимы друг с другом  и дополняют функциональные возможности друг друга.

Михаил Башлыков, руководитель направления информационной безопасности, КРОК


Михаил Башлыков, руководитель направления информационной безопасности, КРОК: Прежде всего, все действия, направленные на обеспечение корпоративной информационной безопасности необходимо рассматривать как целостную и комплексную задачу, состоящую из взаимосвязанных компонентов. Важно, чтобы в компании был «куратор», отслеживающий старт всех активностей и сводящий их в единое целое. Выбор же тех или иных механизмов защиты следует осуществлять, исходя из существующих стратегических задач и реализованной инфраструктуры корпоративной мобильной среды. В противном случае, общая программа информационной безопасности будет похожа на лоскутное одеяло.

Сергей Халяпин, руководитель системных инженеров, Citrix Systems

Сергей Халяпин, руководитель системных инженеров, Citrix Systems: Интеграция любых решений является сложной задачей. Поэтому рекомендацией здесь может быть – выбирайте решение, которое закрывает максимальное количество областей в корпоративной мобильности, таких, например, как управление мобильными устройствами (MDM), мобильными приложениями (MAM), данными, возможность интеграции с SaaS приложениями, Web-приложениями и т.д. В этом случае будут минимизированы риски, связанные с проблемами на границах этих областей. Также необходимо проверить, какой функционал доступен для различных платформ, и выбирать нужно то решение, которое закроет по функциональности используемые в компании мобильные платформы.

Виктория Носова, консультант по безопасности, Check PointВиктория Носова, консультант по безопасности, Check Point: Перед тем, как точечно внедрять предлагаемые вам решения, проделайте нижеследующие действия. Во-первых, подойдите комплексно к задаче. Не стоит рассуждать следующим образом: сначала мы выберем решения только для подключения смартфонов, все внедрим и настроим, а потом уже будем решать, как защищать удаленный доступ. Будет неудивительно, если в итоге получится зоопарк из продуктов, которые кое-как работают друг с другом. Во-вторых, проанализируйте все актуальные решения.  Вполне возможно, вы найдете вместо пяти разных продуктов от разных вендоров два-три решения, покрывающие ваши задачи (а может быть, вам повезет, и он будет один). В-третьих, изучите все актуальные на данный момент технологии, взвесьте все за и против. Возможно, вам и не нужно все из того, что есть. В-четвертых, определитесь с поддерживаемыми операционными системами мобильных устройств. Допустим, у вас 64% смартфонов с операционной системой A, и 32% с операционной системой В, и всего  4% с операционной системой С (дабы не обидеть вендоров, назовем их так). И если вы можете выбрать одно решение, покрывающее задачи подключения и защиты доступа к корпоративным ресурсам с мобильных устройств, имеющих операционные системы А и В, то, может быть, следует просто отказаться от поддержки смартфонов с операционными системами С. Сложно найти решение, которое удобно и полноценно управляло бы абсолютно любым мобильным устройством. В-пятых, проведите пилотный проект. Создайте тестовую зону максимально приближенную к "боевой", и протестируйте выбранные решения вместе. Проверяйте работу тестируемых решений с уже имеющимися у вас системами – например, с ActiveDirectory, веб-порталами, серверами электронной почты и т.п. Привлекайте к пилотным проектам специалистов вендора или компаний-интеграторов с уже имеющимся опытом внедрения выбранных продуктов. В любом случае разумный и взвешенный подход поможет вам создать интегрированную систему защиты мобильной среды с централизованным управлением и привлечением небольшого числа ресурсов для работы с построенной системой.

Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб"Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб": Читать стандарты. Смешно, но все эти проблемы описаны буквально до нас. Описать риски, выбрать средства защиты… И понять, для чего каждое средство нужно – его слабые и сильные стороны. Скажем, большинство решений обеспечивает защиту всех используемых в компании платформ. Казалось бы, осталось выбрать решение, поддающееся интеграции с корпоративной системой управления – и цель достигнута. Вот только все совсем не так просто. Одна из целей злоумышленников – получить контроль над системой. Системе нужно, в частности, защититься от антивируса. Для этого все до одного компонента антивируса – включая систему управления – должны быть под контролем самозащиты. А вот корпоративные системы защиты такой подсистемой не обладают и, подсоединив антивирусную защиту к серверу управления компании, мы даем шанс злоумышленнику обойти самозащиту антивируса, отдав команду с сервера. Поэтому нельзя забывать главное – все системы имеют ограничения, нет непробиваемой защиты, информация об ограничениях, как правило, общеизвестна, и забывать о них – недопустимо.

Подготовила Лилия Павлова

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!