Управление информационной безопасностью. Стандарты СУИБ. Вадим Гребенников
по реализации
При использовании мобильных устройств необходимо уделить внимание тому, чтобы не скомпрометировать бизнес-информацию. Политика мобильных устройств должна учитывать риски работы с мобильными устройствами в незащищенной среде.
Политика мобильных устройств должна рассматривать:
– регистрацию мобильных устройств;
– требования физической защиты;
– ограничения на установку ПО;
– требования к версиям ПО мобильных устройств и применению патчей;
– ограничения на подключение к информационным сервисам;
– управление доступом;
– криптографические средства;
– защита от вредоносного ПО;
– дистанционное выключение, удаление или блокировку;
– резервное копирование;
– использование веб-сервисов и веб-приложений.
Следует проявлять осторожность при использовании мобильных устройств в общедоступных местах, конференц-залах и других незащищенных местах. Необходимо обеспечить защиту от несанкционированного доступа или раскрытия информации, хранимой и обрабатываемой этими устройствами, например с помощью средств криптографии.
Мобильные устройства необходимо также физически защищать от краж, особенно когда их оставляют в автомобилях или других видах транспорта, гостиничных номерах, конференц-залах и местах встреч. Для случаев потери или кражи мобильных устройств должна быть установлена специальная процедура, учитывающая законодательные, страховые и другие требования безопасности организации.
Устройства, в котором переносится важная, чувствительная или критическая информация бизнеса, не следует оставлять без присмотра и, по возможности, для обеспечения безопасности устройства должны быть физически заблокированы или использованы специальные замки.
Необходимо провести обучение сотрудников, использующих мобильные устройства, с целью повышения осведомленности о дополнительных рисках, связанных с таким способом работы, и мерах защиты, которые должны быть выполнены.
Там, где политика мобильных устройств разрешает использование личных мобильных устройств, политика и связанные с ней меры безопасности должны предусмотреть:
– разделение личного и делового использования устройств с применением ПО, которое поддерживает разделение и защищает бизнес-данные на личном устройстве;
– предоставление доступа пользователей к бизнес-информации только после заключения трудового договора, определяющего их обязанности (физическая защита, обновление ПО и т.д.), отказ в собственности на бизнес-данные, разрешение на удаленное уничтожение организацией данных в случае кражи или потери устройства или после завершения срока использования сервиса. Эта политика разрабатывается с учетом законодательства о конфиденциальности.
Беспроводная коммуникация мобильных устройств похожа на другие типы сетевой коммуникации, но имеют важные отличия, которые надо учитывать при выборе