УДК 004.056.57 Л. Х. Мифтахова
ОСНОВНЫЕ ПРИНЦИПЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СЕТИ ПРИ ИСПОЛЬЗОВАНИИ МОБИЛЬНЫХ УСТРОЙСТВ ПО ПОЛИТИКЕ BYOD
Ключевые слова: корпоративная сеть, информационная безопасность, политика безопасности, BYOD.
Описаны основные принципы разработки политики безопасности для корпоративной сети при использовании в ней мобильных устройств по принципу BYOD. Раскрыто понятие термина BYOD, под которым скрывается новое веяние в современных стандартах политики безопасности крупных корпораций. Проанализированы достоинства и недостатки внедрения различных гаджетов в сеть с использованием принципа BYOD.
Keywords: corporate network, information security, security policy, BYOD.
The basic principles for the development of security policy for the enterprise network using mobile devices in it on the basis of BYOD. Opened definition of the term BYOD, under which lies a new trend in modern standards of security policies of large corporations. The advantages and disadvantages of the introduction of various gadgets to the network using the principle of BYOD.
Введение
На сегодняшний день смартфоны и мобильные устройства как бизнес-инструменты для решения различных экономических задач используются все чаще при доступе к сети Интернет, и в некоторых сферах по объективным причинам они даже более популярны, чем персональные компьютеры (ПК). Смартфоны и мобильные устройства сейчас выполняют функции не только помощника, но и хранителя конфиденциальной информации, что, учитывая широкое использование в них всех возможных каналов связи, заставляет задуматься о безопасности всех хранящихся там данных. В ходе противостояния идей «корпоративных стандартов безопасности» и «личной эффективности» появилась корпоративная политика BYOD (Bring Your Own Device), разрешающая сотрудникам в своей работе использовать личные мобильные устройства и смартфоны за счет частичного охвата их корпоративными средствами защиты [1]. При этом увеличивая эффективность каждого сотрудника компании повышают уязвимость корпоративной системы безопасности в несколько раз за счет того, что в мобильных устройствах возможность потери данных, кражи, фишинга, несанкционированного доступа и несанкционированной передачи несколько выше, чем в ПК. Это, прежде всего, объясняется низким уровнем ответственности у их рядовых пользователей. В рамках данной статьи будут описаны основные методы обеспечения безопасности в корпоративных сетях с использованием мобильных устройств.
Основная часть
Применение политики BYOD в корпоративной сети следует начинать с анализа мобильных операционных систем (ОС) и приложений, используемых пользователями на своих устройствах. В связи с тем, что основная опасность исходит от файлообменников и почтовых приложений, как правило, в крупных компаниях своим сотрудникам вместо таких потенциально опасных программ предлагают собственные аналоги. Например,
компания IBM создала мобильное приложение Lotus Notes Traveler, позволяющее ее сотрудникам пользоваться корпоративной почтой и календарем; а при потере гаджета или увольнении работника программа автоматически стирает корпоративную информацию с телефона, сохраняя при этом его личные данные.
Следующим шагом к обеспечению информационной безопасности является регистрация всех мобильных устройств внутри корпоративной сети. При этом каждому гаджету сотрудников корпорации выдается комбинация логина и пароля, известная только его владельцу. Также может быть заблокирован доступ к корпоративной информации, включая почту и мобильные приложения, при возникновении малейшей угрозы утечки информации. Часто крупные компании используют многофункциональные программы (например, Afaria фирмы Sybase CIS), которые могут быть использованы не только для контроля потоков корпоративной информации, но и для резервного копирования, обновления, шифрования,
дистанционного удаления, оптимизации при передаче данных для всех мобильных устройств, подсоединенных к корпоративной сети [2].
После установки проверенных корпоративных приложений должно производится периодическое обширное сканирование трафика, потребляемого мобильным устройством каждого сотрудника. При необходимости защиты сетевых ресурсов от кибер-атак извне на базе каждого устройства следует устанавливать брандмауэр, а также контролировать процессы шифрования и дешифрования передаваемых и хранимых данных. Чтобы свести к минимуму воздействие межсетевого экрана на чувствительные к задержкам приложения (видеоконференции, голосовые сообщения и проч.) его платформа должна самостоятельно расставлять приоритет при передаче трафика через устройство (DroidWall, NoRoot Data Firewall и др.).
При использовании в корпоративной сети беспроводных технологий передачи данных (Wi-Fi) также требуется анализ пакетов данных, передаваемых по проводным сетям в роутер. В случае
использования сотрудниками публичных точек доступа следует применять защищенные соединения SSL VPN и осуществлять анализ передаваемых и отправляемых пакетов на уровне сетевого шлюза [3].
Применение BYOD будет ключевым образом влиять на создание корпоративных правил безопасности. Согласно рекомендациям ведущей мировой консалтинговой компании в области информационных технологий Gartner эти правила должны включать в себя следующее:
- специализированную терминологию для рядовых сотрудников с разъяснением их личной ответственности при получении доступа к корпоративной сети через личное мобильное устройство;
- минимальные требования к аппаратному обеспечению и ОС мобильного устройства;
- информацию о функциях IT-подразделения, касающейся политики BYOD;
- политики удаленного доступа и политики безопасности;
- уровни допустимого доступа к данным;
- способы безопасного хранения данных компании;
- необходимые действия в случае кражи устройства или увольнения сотрудника;
- финансовые обязательства компании и сотрудника;
- порядок и условия удаления корпоративных и личных данных из постоянной памяти устройства.
Каждая компания также может установить дополнительные требования к персональным устройствам сотрудников, в частности, могут быть заданы ограничения на длительность гарантийного периода, предлагаемого поставщиком или производителем устройства [4].
Вопрос об использовании личных мобильных устройств в корпоративных интересах носит чисто экономический характер. Например, было подсчитано, что до внедрения политики BYOD 80% затрат компании Intel на содержание мобильного доступа уходили на оплату ежемесячных счетов на услуги связи [5]. В рамках BYOD компания перенесла в зону ответственности сотрудников выбор как мобильного устройства, так и тарифного плана, что позволило оптимизировать экономические затрат. Со временем Intel пришла к следующей схеме финансирования:
1. В 55% случаев все затраты оплачивает сотрудник;
2. В 35% случаев - компания;
3. В 10% применяется гибридная схема -сотрудник покупает смартфон, ежемесячные платежи совершает компания [6].
Но в каждом конкретном случае компания сама принимает решение о финансировании затрат. Кроме того, известно, что использование возможности беспрерывного общения с коллегами и клиентами из дома или в дороге экономит до 60 минут в день, что для такой крупной компании как Intel составляет 1,7 млн. часов в квартал [7].
Выводы
Следует ожидать, что внедрение политики BYOD в скором времени от единичных IT-компаний перейдет в другие сферы бизнеса, экономики, консалтинга и политики [8]. Для плавного и безболезненного входа в более расширенное информационное пространство следует подготовиться заранее и предпринять определенные меры по подготовке кадров и подбору необходимого программного обеспечения.
Литература
1. Обеспечение защиты смартфонов и планшетных компьютеров. Защита корпоративной сети при разрешении доступа к ней с личных устройств сотрудников. Документация Security Connect фирмы McAfee. Режим доступа: http://www.mcafee.com/ru/resources/technology-blueprints.
2. Sean Allama, Stephen V. Flowerdaya, Ethan Flowerdayb Smartphone information security awareness: A victim of operational pressures. Computers & Security, Volume 42, May 2014, P. 56-65.
3. Allam S, Flowerday S. An adaptation of the awareness boundary model for smartphone computing. In: ISSA 2011. Johannesburg: IEEE; 2011. P. 1-8.
4. Botha R, Furnell S, Clarke N. From desktop to mobile: examining the security experience. Comput Secur 2009; 28(3-4) - P.130-7.
5. Bulgurcu B, Cavusoglu H, Benbasat I. Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS Q 2010; 34(3) - P.523-48.
6. Caldwell T. Smart security. Netw Secur 2011; 9(1):5-9.
7. La Polla M, Martinelli F, Sgandurra D. A survey on security for mobile devices. Commun Surv Tutorials IEEE 2013; 15(1) - P.446-71.
8. Mahesh S, Hooter A. Managing and securing business networks in the smartphone era. Paper 5. In: Annual general business conference. Huntsville: Sam Houston State University; 2013. P. 1-17
© Л. Х. Мифтахова - старший преподаватель кафедры информационной безопасности КНИТУ, lina_miftahova@mail.ru.
© L. H. Miftakhova - senior lecturer in information security of Kazan National Research Technological University; lina_miftahova@mail.ru.