Вопросы обеспечения безопасности корпоративных ресурсов и систем при BYOD

Руслан Пермяков, заместитель директора по развитию, ООО СИБ

Задача обеспечения безопасности корпоративной информационной среды является неординарной. С одной стороны, необходимо обеспечить безопасность информации, составляющей коммерческую тайну компании, доступность информационных ресурсов и возможность восстановления информации в произвольный момент времени. С другой стороны, нужно выполнить требования регулирующих органов относительно информации, отнесенной к сведениям, охраняемым государством (например, персональные данные). Здесь важным элементом является соблюдение нормативов относительно жизненного цикла информации, включая соблюдение регламентных сроков уничтожения информации.

В последние десять лет отмечается преобладание требований по обеспечению непрерывности бизнеса над требованиями целостности и конфиденциальности. Риски, связанные с нарушением непрерывности бизнеса, порой существенно выше, чем риски раскрытия секрета фирмы. Во-первых, это является следствием интенсификации бизнес-процессов и участия руководства компании в принятии решений. Во-вторых, срок жизни секретов, составляющих коммерческую тайну, уменьшается, что обусловлено главным образом сокращением сроков активных продаж инновационных продуктов. Таким процессам подвержены в первую очередь высокотехнологичные секторы экономики, в секторах с традиционным технологическим укладом это не так очевидно.

Концепция BYOD (Bring Your Own Device), сложившаяся в некоторой степени спонтанно, позволяет пользователю преодолеть операционный разрыв между ИT-средой компании и его собственной, привычной и понятной. Используя знакомые устройства, пользователь в общем случае более эффективен, имеет бóльшую автономность, решая мелкие эксплуатационные вопросы самостоятельно.

При эксплуатации пользовательских устройств в сети предприятия необходимо учитывать не только экономический эффект (нет необходимости заниматься закупкой устройств, их сопровождением, списанием и т. п.), но и возрастающую нагрузку на инженерный персонал, отсутствие унифицированных решений и практически полную утрату возможности обеспечения соблюдения требований по политике безопасности организации.

Анализируя риски, связанные с эксплуатацией пользовательских устройств, мы можем выделить три группы:

  • прямые риски информационной безопасности;
  • прямые риски непрерывности бизнес-процессов;
  • правовые риски, обусловленные неконтролируемым распространением информации.

Существование этих рисков напрямую связано с архитектурными решениями мобильных устройств и некоторых бизнес-приложений, активно интегрируемых в информационное окружение.

Прямые риски информационной безопасности

Когда заходит разговор о BYOD, объяснить риски этой группы проще всего. Большинство рисков связано с обеспечением сохранности коммерческой тайны и/или обеспечением защиты авторских прав. Действительно, концепция BYOD чаще всего эффективна при автоматической синхронизации информационных массивов устройства и корпоративной сети, организации каналов оперативного доступа к информации, в том числе текущего финансового состояния компании, информации о переговорах, всевозможных текущих ценах и условиях поставки, состояния складов и т. п. Значительная часть информации составляет коммерческую тайну компании и, как следствие, порождает группу рисков информационной безопасности.

Прямые риски информационной безопасности обусловлены прежде всего проблемой обеспечения доверия информационной среде при включении недоверенных объектов. Для организации эффективного информационного взаимодействия участники этого процесса должны находиться в состоянии формально верифицированного доверия. Данное состояние характеризуется ограничениями по изменению характеристик и конфигурации программного и аппаратного обеспечения, по характеристикам окружения и местам нахождения. Очевидно, что здесь приоритетной задачей является обеспечение сохранности тайны для корпоративных информационных ресурсов.

Основными принципами построения систем защиты информации являются непрерывность и комплексность защиты. Использование программного обеспечения в произвольных конфигурациях, отсутствие централизованного управления элементами информационной безопасности, проблема совместимости прикладного и специального программного обеспечения создают угрозы информационной безопасности для корпоративной среды. Для решения проблемы необходимы развернутая политика безопасности и широкая номенклатура средств защиты информации, функционирующих в различных конфигурациях и платформах. Вопрос безопасной интеграции BYOD устройств в единую информационную систему и обеспечения адекватной защиты информации на сегодняшний день остается открытым.

Аналогичная ситуация с ограничением прав пользователя на BYOD-устройствах. В традиционных системах должен реализовываться принцип минимальных привилегий пользователя, что без BYOD-устройств затруднено из-за несовершенства прикладного программного обеспечения и слабой подготовки технического персонала. Однако ограничение собственника BYOD-устройства в правах сталкивается с проблемами не только технического характера, но и этического, и юридического.

Следует также отметить, что некоторые современные системы информационной безопасности требуют наличия агента (скрытой или открытой установки) на устройствах сети. Примером такого рода систем являются DLP- или IDS-системы. Основное назначение систем этого класса – наблюдение за пользователем для выявления противоправных действий. Очевидно, что размещение такого программного обеспечения будет в лучшем случае встречать непонимание со стороны собственника системы.

Открытым остается и вопрос лицензионной чистоты использования корпоративного программного обеспечения в интересах компании, но на устройствах и территории, не принадлежащих ей.

Таким образом, для безопасного внедрения и использования BYOD в корпоративных информационных системах требуется определение ряда дополнительных мер, направленных на исполнение требований политики безопасности и блокирующих специфические для BYOD угрозы.

Прямые риски непрерывности бизнеспроцессов

Одним из важных преимуществ BYOD декларируется повышение непрерывности бизнеса за счет того, что сотрудники используют хорошо знакомое программное обеспечение и в случае возникновения мелких проблем способны в короткие сроки сами восстановить работоспособность своего устройства. К сожалению, данное заявление не распространяется на более сложные ситуации. В этом случае пользователь с проблемами своего программного обеспечения приходит в департамент информационных технологий, и здесь выясняется, что решение проблемы отнимет значительное количество человеко-часов, что не лучшим образом сказывается на непрерывности бизнес-процессов.

При BYOD-подходе проблема установки исправлений становится сопоставимой с аналогичной задачей крупного производителя программного обеспечения, например Microsoft. Риски, связанные с непрерывностью бизнес-процессов при принятии решения об изменении конфигурации информационных сервисов компании, установке исправлений, сопровождении крупной информационной системы, возрастают многократно.

Традиционные способы решения этой проблемы направлены скорее на разгрузку отдела, осуществляющего поддержку пользователей: ограничение времени на одну проблему одного устройства, схемы аутсорсинга технической поддержки, установление горизонтальных связей в целях организации взаимопомощи сотрудников, использующих схожие устройства. Однако это не решает проблему обеспечения непрерывности бизнеса.

Правовые риски, связанные с неконтролируемым распространением информации

При рассмотрении правовых отношений, возникающих при использовании в корпоративной информационной системе BYOD, важно понимать, что на фоне усиливающейся регулирующей роли государства недостаточно четко определенный правовой статус устройств несет в себе весьма ощутимые риски. При анализе движения информации относительно границ корпоративной информационной системы и пользовательских устройств важно понимать границы ответственности компании, работника как представителя компании и работника как частного лица.

При включении в корпоративную информационную систему обмен информацией осуществляется в обе стороны: корпоративная информация передается на пользовательское устройство, аналогично пользовательская информация попадает в корпоративную сеть. В данном случае помимо рисков, связанных с сохранением в первую очередь коммерческой тайны самой компании, мы сталкиваемся с правовыми рисками, обусловленными миграцией информации.

Можно выделить следующие виды информации, участвующие в информационном обмене:

  • собственно коммерческая тайна компании;
  • коммерческая тайна партнеров компании, охрана которой возложена на компании законодательством РФ;
  • персональные данные клиентов компании, распространение которых ограничено законодательно;
  • персональные данные работника, хранящиеся на его персональном устройстве, обработка которых должна отвечать требованиям законодательства (должны быть определены цели и сроки обработки, основания для обработки);
  • персональные данные других людей, хранящиеся на персональном устройстве работника, которые также должны обрабатываться на законных основаниях, указанных выше;
  • другая информация, охраняемая законодательством РФ или международными законами;
  • информация, распространение которой ограничено на территории РФ или иностранного государства, если сотрудник в этот момент находится на его территории;
  • объекты авторского права.

Передача работнику коммерческой тайны фирмы при использовании BYOD-устройств на сегодняшний день достаточно подробно регламентирована. Существуют наработанная практика и исчерпывающий набор рекомендаций на основе опыта правоприменения законодательства в этой области. Следует отметить изменения, вступившие в силу 1 октября 2014 г., повышающие защищенность российского бизнеса. Исполнение этих требований позволяет существенно снизить риски, связанные с оборотом коммерческой тайны на персональных устройствах.

Однако ситуация меняется при передаче на персональные устройства информации, составляющей коммерческую тайну третьих лиц. В новой редакции Закона РФ «О коммерческой тайне» обязанность защиты такого рода информации возложена на всех юридических лиц, получивших доступ к этой информации, в том числе и по ошибке. Правовой опыт в данной области еще не наработан, однако можно предположить, что одним из методов охраны информации, составляющей коммерческую тайну третьих лиц, является ограничение доступа к этой информации и ее распространения. Здесь уместно поставить вопрос о правомочности передачи такой информации работнику компании на устройство, не принадлежащее компании, и распространения этой информации работником со своего персонального устройства. Ведь при традиционной организации защиты информации, составляющей коммерческую тайну, работник расписывается в обязательстве не разглашать информацию компании, работником которой он является.

С аналогичной проблемой мы сталкиваемся и при обработке персональных данных клиентов компании на личных устройствах. Фактически с точки зрения закона в данном случае имеет место факт распространения персональных данных третьим лицам. Данный вопрос должен быть урегулирован на основе договорных отношений компании и работника.

До этого момента мы рассматривали движение информации от компании к BYOD-устройству работника. При анализе встречного движения, от устройства к информационным ресурсам компании, важно отметить, что не вся информация, являющаяся персональными данными, может быть обработана (в терминологии ФЗ «О персональных данных»: собираться, храниться, передаваться, предоставляться и т. д.) информационной системой компании. Если в компании применяется традиционная политика безопасности в отношении данных работника, то основанием для обработки данных является трудовое законодательство РФ, где приведен закрытый перечень данных, подлежащих обработке, куда не входят личный фотоархив, личная переписка, личные контакты знакомых и друзей работника, информация о его передвижении и другие сведения, собираемые современными цифровыми устройствами.

Кроме того, необходим анализ рисков при обработке других видов информации, охраняемой законами страны пребывания или международным законодательством.

Отдельно следует выделить риски, связанные с хранением и распространением информации, запрещенной на данной территории, или объектов авторского права. В этом случае ответственность должна быть прописана в установочных документах политики использования сторонних устройств в корпоративной информационной системе.

В заключение отметим, что BYOD, как и любая технология, может стать точкой роста компании, но при недостаточно проработанном анализе рисков несовершенная система защиты корпоративной информационной системы может нести критичные для компании риски.

Для эффективного внедрения подхода BYOD необходимо провести большую подготовительную работу, включающую:

  • подготовку политик безопасности;
  • определение SLA для BYOD;
  • предельно четкое изложение обязанностей и ответственности сотрудников;
  • определение SLA для службы поддержки относительно BYOD;
  • приведение в соответствие правовых оснований для обработки информации и сложившейся практики с учетом BYOD;
  • рассмотрение полномасштабного развертывания систем защиты информации DLP, VPN, MDM.
Поделиться:
Спецпроект

ИТАПК – впервые в режиме онлайн

Подробнее
Спецпроект

Форум «ИТОПК-2020» оценил потенциал господдержки

Подробнее

Подпишитесь
на нашу рассылку