Рубрикатор |
Статьи | ИКС № 10 2013 |
Дмитрий КОСТРОВ  | 14 октября 2013 |
За периметром
Распространение и интеллектуализация мобильных устройств размывают понятие периметра безопасности. Сегодня защищают не «стену», а отдельные элементы, которые за нее выносятся. На каких столпах зиждется защита мобильных устройств?
Политика работы с мобильными устройствами есть у всех крупных компаний. Одни структуры прямо запрещают использовать мобильные устройства на своей территории – вплоть до того, что при входе у человека отключают все приборы с программным обеспечением: камеру, диктофон, телефон. Такой подход имеет право на существование, но его применяет ограниченный круг организаций. Другой подход – управляемость устройств, их защита.
На корпоративном уровне защиты огромную роль играют системы управления мобильными устройствами, МDМ. Это молодой сегмент рынка, но на нем уже заметна определенная эволюция. Так, первоначально использовались системы, которые контролировали установленные в устройстве приложения, а также данные, стираемые при потере устройства. Теперь делается попытка системного управления устройством со стороны не ИТ-, а ИБ-службы, в частности организуется криптозащищенная «песочница» из тех программ, которые выдает компания. И это направление развивается.
Второй столп безопасности корпоративной мобильной среды – нормативные правовые акты. К сожалению, в России нет такого универсального документа, которым могли бы пользоваться все организации, независимо от отраслевой принадлежности и размеров бизнеса. Но можно опереться на международный опыт. Скажем, в июле нынешнего года Национальный институт стандартов и технологий США (NIST) выпустил вторую версию руководства по управлению безопасностью мобильных устройств в корпоративной среде (SP 800-124). В этом документе отмечается, что компаниям следует выработать политику безопасности мобильных устройств, организовать безопасность всего их жизненного цикла и использовать централизованное MDM-решение. По всем трем пунктам даны детальные рекомендации.
Очевидно, рынок сам отрегулирует все вопросы инфобезопасности корпоративной мобильной среды. Но государство должно обозначить правила игры. Пока у нас в этом плане есть перекосы. Например, 152-ФЗ определяет жесткие требования для информационных систем, обрабатывающих персональные данные. Они не выполняются и не могут быть выполнены в полном объеме. Вместе с тем за утечку этих данных нет практически никакого наказания. А следовало бы установить общие подходы к защите, чтобы каждая организация уровень защиты выбирала сама. Некоторые решат, что им вообще не надо защищаться. Но за утечку данных необходимо штрафовать – на миллион долларов, на 10, на 100 миллионов. Вот тогда рынок сам отрегулируется.
Третий столп – пользователи. Их обучение должна взять на себя служба ИБ. Не пугая, надо рассказывать и показывать в картинках, какие могут возникнуть ситуации и проблемы в области информационной безопасности. Даже простые вопросы типа «Можно ли закачивать программы из любых магазинов?» заставят задуматься об информационной безопасности мобильных устройств.
Наконец, операторы мобильной связи могут предоставлять облачные сервисы инфобезопасности как корпоративным, так и частным клиентам. Удивительно, но уже как минимум пять-шесть лет операторы говорят о нежелании стать лишь «битовой трубой», а ведь самый простой путь избежать этой доли состоит в предоставлении клиентам сервисов информационной безопасности. Бизнес-модель MSSP (Managed Security Service Provider) известна давно. В России рынок как раз переживает такой момент, когда и операторы и клиенты созрели для внедрения этих сервисов. В активе оператора не только «труба» для передачи данных, но и, что более важно, клиентская база, которой могут быть интересны новые сервисы. Спектр услуг – фильтрация веб-трафика, PKI, AaaS, сетевой антивирус, антиспам, анти-DDoS, managed VPN и т.д. В принципе в рамках операторского бизнеса возможна реализация любых решений.
В России «чистых» MSSP пока нет, однако большинство операторов уже осваивают эту модель. Надо признать, есть еще проблемы доверия клиентов к системе, страхования рисков утечек. Решения этих проблем нам предстоит найти в скором будущем.