Доклады, выступления, видео и электронные публикации
Кто управляет мобильными устройствами ваших сотрудников?
Д. В. Грунтович, ОКБ САПР
Командировки, производственная необходимость в передвижении по различным филиалам организации, удаленная работа – эти и подобные им факторы, которые не позволяют сотрудникам выполнять работу на собственном рабочем месте в пределах офиса, неизбежно приводят к увеличению числа применяемых в рабочем процессе мобильных устройств.
Любой производственный процесс сопряжен с хранением и обработкой корпоративной информации, для которой необходимо обеспечить должный уровень защиты. Применение в нем мобильных устройств, в свою очередь, чревато компрометацией информации вследствие выноса за пределы информационной системы организации или же вовсе ее утери.
Как уследить за тем, что по пути сотрудника из точки А в точку Б (или непосредственно в точке Б) информация на мобильном носителе не будет скомпрометирована или утрачена? Возможно ли, чтобы потеря информации не сопровождалась нежелательным доступом к ней со стороны третьих лиц? Как удостовериться, что вследствие неосторожности работника мобильное устройство не было инфицировано вредоносным программным обеспечением со всеми вытекающими из этого обстоятельства печальными последствиями? Или, если ставить вопрос более широко: принадлежит ли вообще организации информация, перемещение, конфиденциальность, целостность и доступность которой нет возможности контролировать? Очевидно, чтобы сберечь информацию, обрабатываемую или хранимую на мобильных устройствах, необходимо обеспечить контроль непосредственно над этими устройствами.
Одна из распространенных практик в указанном направлении – попытка контролировать потоки информации, связанные с мобильными устройствами, с помощью какой-либо специализированной внешней системы (например, с помощью DLP-системы). У такого подхода есть свои плюсы, но имеются и недостатки, поскольку контролировать перемещения информации на мобильном устройстве в случае его физического выноса за пределы информационной системы организации не получится.
Зачастую лучший выход состоит в использовании мобильных устройств, специально предназначенных для безопасного хранения и обработки информации. Прежде всего, нужно проанализировать, какие виды работ планируется выполнять в организации с использованием мобильных устройств, каковы сценарии их использования. Это могут быть: хранение и обработка корпоративной и личной информации сотрудников на USB-устройствах; установка доверенных сеансов связи для удаленной работы на общем ресурсе организации (например, сервере или облаке); полноценная работа на СВТ с возможностью подключения к ресурсам организации по защищенному каналу и др.
«ОКБ САПР» предлагает ряд готовых решений для хранения и/или обработки информации с помощью мобильных устройств в рамках различных сценариев работы пользователя.
Защищенные носители информации линейки «Секрет» (защищенные флешки «Личный Секрет», «Секрет Фирмы», «Секрет Особого Назначения»; носители ключевой информации «Идеальный токен»; средства ведения архивов журналов событий, защищенных от перезаписи, «ПАЖ») обладают встроенным механизмом исполнения решения о том, разрешено ли работать с носителем на том или ином СВТ, в соответствии с политиками, заданными администратором. При этом в число таких политик входит и возможность организации доступа к содержимому устройства только после успешного выполнения процедур идентификации и аутентификации пользователя. При подключении «Секретов» к СВТ, не входящим в список разрешенных, информация на них недоступна, поскольку в этом случае недоступны сами устройства – они попросту не определяются операционной системой как флешки (USB Mass Storage Device).
Применение защищенных носителей линейки «Секрет» позволяет совсем запретить применение флешек вне офиса или ограничить его каким-то конкретным заранее оговоренным компьютером, или временно снять ограничение на использование флешки, а потом проверить действия сотрудника по встроенному журналу устройства, недоступному пользователю для модификации.
Средство обеспечения доверенного сеанса связи (СОДС) «МАРШ!» предназначено для организации защищённой работы удалённых пользователей недоверенных компьютеров с сервисами доверенной распределенной информационной системы через сети передачи данных в рамках доверенного сеанса связи. Конструктивно СОДС «МАРШ!» выполнен в виде USB-устройства, в памяти которого размещается проверенная загрузочная ОС, в которую предустановлены ПО СЗИ и функциональное ПО, необходимое для работы пользователя. Состав ПО СЗИ и функционального ПО может быть любым. Как правило, в состав образа входит следующее ПО: браузер, модуль интеграции (встраивается как плагин браузера и предназначается для инициирования операций с электронной подписью), библиотека электронной подписи, средства VPN и криптоядро.
ПАК «Ноутбук руководителя» предназначен для обеспечения защищенной работы удаленных пользователей с сервисами доверенной распределенной информационной системы через сеть Интернет в рамках доверенного сеанса связи. В комплексе сохранены все преимущества мобильной рабочей станции, но при этом обеспечивается загрузка ОС в одном из режимов (защищенный и незащищенный). Защищенный режим характерен доверенной загрузкой ОС, авторизацией пользователей по смарт-карте, возможностью загрузки профиля пользователя с определенными настройками и данными, регистрацией контролируемых событий в энергонезависимом системном журнале. При работе в обычном режиме безопасность сетевых соединений не контролируется, действия пользователя не ограничены, а ОС загружается из памяти ноутбука. При выборе защищенного режима ОС загружается из защищённой от записи памяти средства доверенной загрузки «Аккорд-АМДЗ», входящего в состав «Ноутбука руководителя»; жёсткий диск ноутбука не используется. Кроме того, пользователю предоставляется изолированная среда, в которой единственным доступным соединением является соединение, разрешенное администратором.
Защищенный планшет TrusTPad, построенный на Новой гарвардской архитектуре, также позволяет выполнять работу в одном из двух режимов – защищенном или незащищенном. Работа в разных режимах выполняется в разных ОС, загружающихся из разных, физически разделенных, разделов памяти. Взаимовлияние ОС исключено технологически. Переключение режимов работы производится с помощью физического переключателя (что исключает программное воздействие на выбор режима), расположенного снаружи корпуса устройства. В незащищенной ОС пользователь может работать безо всяких ограничений, как на любом привычном ему Android-устройстве. Это очень важно, поскольку компьютер в форм-факторе планшета прочно занял место в личном пространстве пользователей как устройство, позволяющее не только работать, но и отдыхать.
Линейка защищенных микрокомпьютеров Новой гарвардской архитектуры включает в себя варианты как с одной, только защищенной, ОС (подтип MKT), так и с двумя, защищенной и незащищенной (подтип MKTrust).
Вариант MKT с одной ОС подходит для сценариев применения, предполагающих работу только в защищенной среде и ни в какой другой. Это целесообразно, например, в том случае, если для работы в незащищенной среде, в обычном режиме – с Интернет-ресурсами и всем прочим – у пользователей имеются другие СВТ, а микрокомпьютеры планируется использовать исключительно для решения определенного заранее круга задач в рамках доверенного сеанса связи.
В тех же случаях, когда предполагается также применение устройства в частных целях, или служебные задачи предполагают необходимость использования данных из незащищенных ресурсов (допустим, картографической информации), целесообразно применение варианта MKTrusT с двумя ОС.
Микрокомпьютеры семейства MKT и MKTrusT выполнены в таких форм-факторах, что их можно подключить к любому монитору, проектору или даже телевизору через порт HDMI. Для подключения к Интернет есть собственный беспроводной WiFi, управление осуществляется с помощью стандартных проводных или беспроводных клавиатур и мышей. Таким образом, пользователь может получать доступ к своей персональной среде практически из любого места, а не только из своего оборудованного кабинета.
Защищенные носители информации, средства обеспечения доверенного сеанса связи, защищенные планшеты, ноутбуки, микрокомпьютеры – столь широкий набор устройств достаточен для того, чтобы реализовать целый спектр сценариев мобильной работы без ущерба для защищенности.
Конечно, использование защищенных устройств не единственно возможный метод контроля за перемещениями информации. Однако именно он во всех случаях позволяет дать однозначный ответ на вопрос в заголовке настоящей статьи, ведь если защита обрабатываемой и хранимой на мобильных устройствах информации обеспечена должным образом, политики доступа к информационным ресурсам задаются уполномоченными владельцем информационной системы лицами (администраторами безопасности) и реализуются механизмами, встроенными непосредственно в мобильные устройства, то вне зависимости от того, находится ли устройство физически в пределах организации или за ее пределами, управляет им тот, кому следует. А кому следует – решать в конечном счете владельцу.
Автор: Грунтович Д. В.
Дата публикации: 01.01.2018
Библиографическая ссылка: Грунтович Д. В. Кто управляет мобильными устройствами ваших сотрудников? // Information Security/Информационная безопасность. М., 2018. № 2. С. 26–27.
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.