"Mobilis in mobili" (Подвижен в подвижното) беше девизът на капитан Немо с неговата подводница "Наутилус". Като че ли същия девиз, но в друг контекст, приляга отлично на сигурността, която изисква стандарта в Приложение А/А.6.2.1 при мобилните устройства.
Да оставим настрана въпроса, че няма официална дефиниция за "мобилно устройство"
Мобилните устройства, когато се ползват за
нуждите на бизнеса, може винаги да се считат като източник на заплахи за
сигурността на информацията. Тенденцията при тези устройства – те да стават все
по-разнообразни, взе по-функционални и все повече разпространени - заостря вниманието
ни към рисковете, свързани с тяхното ползване.
Най-добро решение за бизнеса е системата за
сигурност на информацията да забрани ползване на всякакви мобилни устройства.
Не само служебни, но и лични, докато сте на работа. Това става като в политиката
за ползване на мобилни устройства се запише забрана. Най-добрата защита на информацията е да се
премахват източниците на заплахи.
За съжаление, не всеки бизнес може да вземе
това решение и се налага мислене за сигурност при мобилните устройства, така че да се определят подходящи за случая мерки за защита.
Да не забравяме и това, че ползването на
мобилни устройства носи доста ползи и предимства, някои от които са недостъпни
за стационарните.
Мерките за сигурност следва да бъдат адекватни
на очакваните рискове (като вид и като стойност, получена при оценяване) и определени
от самата организация, например ...
- да има подбор за ползване на подходящ вид мобилни устройства – такива, които имат добре развити собствени функции за защита;
- горното ще наложи да се състави списък на разрешени за ползване марки и типове и, вероятно, ще следва опис на въведени за ползване устройства и техните ползователи;
- изискванията за подбор, разпределението и ползването на устройствата могат да станат предмет на инспекции, проверки и одити.
Тези мерки причисляваме към
организационните, които лесно и бързо се създават, но, както знаем, още по-лесно
се нарушават. Това ангажира с по-честото им наглеждане. Ясно е – няма как да се
мине без мерки за защита с технически, физически, логически, административен или
друг характер...
При осигуряване на защити, за да не се изпада
в перфектизъм (излишни усилия и разходи), е добре да вникнем в изискванията на
стандарта ISO/IEC 27001/Приложение А.1/А.6.2.1 и в указанията на ISO/IEC 27002/точка А.6.2.1.
ISO/IEC 27001/Приложение А.1/ А.6.2.1 не ни дава много – разбираме, че се иска само политика
и мерки за сигурност, които да я подкрепят, когато
се ползват мобилни устройства.
Тук може да се досетим, че едно ефективно
решение ще е политика и мерки да се комбинират и слеят в един документ. (Да
отбележим, че А.6.2.1 не изисква политиката да се документира.)
ISO/IEC 27002/точка
А.6.2.1 помага да насочим вниманието си по-практично, защото там става дума за „рискове
при ползване на мобилни устройства в незащитена среда“. Налага се да си зададем
въпрос „Какво е незащитена среда?“ за нормалните условия на бизнеса ни. И втори
въпрос – „Конкретен тип незащитена среда какви заплахи генерира?“. Така ще
имаме данните, които са ни необходими за оценяване, което ще ни даде рисковете
(вероятност и последици).
От отговорите на въпросите и от оценката ще
зависи колко и какви мерки ще търсим. Ще се наложи да си помогнем с указанията
на ISO/IEC 27002/точка
А.6.2.1, но помним, че те не ни задължават с нищо. В сегашното си издание ISO/IEC 27001 ни дава
предимството ние само да си „измислим“ най-подходящите за нас, включително с
отчитане на нужния ресурс, защити.
Тривиално решение е да се забрани ползването
на мобилни устройства в незащитена среда.
Но, ако търсим защити, очаквано ще е да преценим
като подходящи някои от тези решения:
- биометрична автентикация - многокомпонентна, ако е особено важно;
- криптиране на съдържание;
- отделен достъп за мобилните устройства при влизане в Интернет среда;
- ползване на софтуер, предотвратяващ/разкриващ проникване;
- антивирусен софтуер;
- блокиране или ограничено внимателно ползване на Bluetooth;
- ползване на пароли за достъп;
- отдалечено изтриване – пълно или частично;
- забрани –
o
забрана или филтър при сваляне и
инсталиране на приложения;
o
забрана, ограничение или отделен
трафик за устройства, включвани в мрежа;
o
забрана за запис на пароли, ключове
за активиране и чувствителни данни;
o
забрана за включване към чуждо зарядно
или зарядно на публични места;
На последно място може да приемем, колкото и
да е неприятна, мярката за административни наказания по повод на нарушения на
политиката и мерките за защита, които я подкрепят
Няма коментари:
Публикуване на коментар