В ней приведены текущие и перспективные подходы, направления и тенденции развития мобильных технологий в корпоративном секторе в части обеспечения ИБ.
Основные цели данного документа - определить области проблемы по обеспечению ИБ мобильных технологий в корпоративном секторе, инициировать дальнейшее обсуждение этой проблемы и развитие ее решений.
Автор рассматривает несколько определений термина "мобильное устройство" и обобщает его характеристики. На мой взгляд, они довольно удачные, приведу их полностью:
1. Малые геометрические размеры и вес.
2. Наличие, как минимум, одного беспроводного интерфейса сетевого доступа (для передачи голоса и данных).
3. Специализированная мобильная ОС.
4. Наличие встроенных в мобильную ОС функций для синхронизации данных (со стационарным компьютером или ноутбуком, с серверами организации, поставщиками услуг или третьими сторонами и т.п.).
Не буду больше пересказывать книгу, расскажу лучше о том, что в ней есть полезного, и чего в ней не найдете. Это поможет вам сформировать правильные ожидания от прочтения.
Что полезного есть в документе?
- Приведена удачная классификация угроз для мобильных устройств.
- Приведены основные концепции использования мобильных устройств (COPE (Corporate-Owned, Peersonally_Enabled), BYOD (Bring Your Own Device) CYOD (Choose Your Own Device)) и их особенности.
- Системно рассмотрены концепции управления: MDM (Mobile Device Management), MAM (Mobile Application Management) и MCM (Mobile Content Management).
- Довольно подробно написано про корпоративную политику использования мобильных устройств. Только жаль, что не приводят пример-шаблон документированных требований.
- Отдельная глава посвящена национальной мобильной платформе. Ну, это если кому интересно.
Чего в книге нет, но очень хотелось бы увидеть в следующей редакции (АРСИБ уже начал подготовку версии 3.0)?
- Отсутствует сравнение мобильных ОС (по распространенности, функциям и безопасности).
- Хотелось бы больше про конкретные MDM решения, было бы полезно сравнить их функционал и в явном виде указать тот, на которые надо обратить внимание при выборе решения. Сейчас же я рекомендую ориентироваться на свежий Magic Quadrant for Enterprise Mobility Management Suites (2016):
- Хотелось бы увидеть больше конкретных рекомендации по выбору средств защиты от вредоносного кода, перечень и сравнение основных продуктов.
- Хотелось бы больше рекомендаций и подходов по защите корпоративной почты на устройствах (это самый распространенный сервис, потребляемый на мобильных устройствах).
- DLP и мобильный устройства - тоже актуальная тема, которая не раскрыта в текущей редакции документа.
- Наверное стоит чуть подробнее написать про повышения осведомленности и обучения персонала.
- Почему-то в книге нет перечня ссылок и литературы, которые могут быть полезны. Приведу свой ТОП:
- NIST SP 800-124 Rev. 1 (June 2013) Guidelines for Managing the Security of Mobile Devices in the Enterprise ( ссылка )
- NIST SP 800-101 Rev. 1 (May 2014) Guidelines on Mobile Device Forensics ( ссылка )
- ISACA Securing Mobile Devices ( ссылка )
- SANS Mobility/BYOD Security Survey (2012) ( ссылка )
- Mobile Data Management Buyer’s Guide (2014) ( ссылка )
- Magic Quadrant for Enterprise Mobility Management Suites (2016) ( ссылка )
- 2016 Trends in Enterprise Mobility ( ссылка )
- 2016 Executive Enterprise Mobility Report ( ссылка )
- В документе авторы ссылаются на отчет "BYOD and Mobile Security Report" (2014), но я нашел его более свежую версию ( за 2016 год ).
Итого, в документе АРСИБ довольно много полезной теории по обеспечению безопасности мобильных устройств, но конкретных рекомендаций (а что же делать? с чего начать? как лучше?) представлено не много. Одного этого документа, к сожалению, будет не достаточно для решения задачи обеспечения безопасности мобильных устройств, хотя глобальные вопросы по теме он закрывает хорошо. Документ будет полезен, если вы только начинаете задумываться о том, как контролировать мобильные устройства, какую концепцию выбрать (COPE или BYOD) и другие базовые.
К сожалению, документ распространяется только в печатном виде (спрашивать его следует у членов АРСИБ , например, у меня есть 3 копии). Но можно скачать раннюю версию (1.0) тут - http://aciso.ru/news/3687 .
