Журнал "Директор по безопасности" Сентябрь 2020 | Page 9

А что с требованиями регуляторов?
Требования регуляторов зачастую становятся
камнем преткновения для
комплайенс-ориентированных компаний.
Бытует мнение, что требования
регуляторов и мобильность – вещи
несовместимые. Возможно ли на мобильных
устройствах выполнять требования
ФСТЭК и ФСБ применительно
к ПДн, КИИ и т. п.?
Действительно, эта проблема некоторое
время назад была актуальна изза,
возможно, не до конца правильной
интерпретации заказчиком требований
регуляторов. Сейчас ситуация, прояснилась
и большинство конечных пользователей
адекватно понимает требования
регуляторов по этому вопросу.
Еще до начала пандемии в документах
ФСТЭК, определяющих требования
к ИС, говорилось, что должны
обеспечиваться регламентация и контроль
использования в информационной
системе мобильных технических
средств, направленные на защиту информации.
Другими словами, в системе
защиты должна присутствовать
система управления и мониторинга
мобильных технических средств.
Существует достаточно много законодательных
актов, которые требуют
обеспечить защиту удаленного
доступа, в том числе с мобильных
устройств. Всем известна сейчас широко
обсуждаемая инициатива – единая
биометрическая система, которая позволяет
(с мобильных устройств в том
числе) удаленно получать банковские
услуги. В документах, связанных с этой
инициативой, явным образом прописаны
требования по защите мобильных
устройств и информации, которая
хранится на них.
Еще одно законодательное направление,
также касающееся банков, как
наиболее зарегулированных субъектов
нашей экономики – это
ГОСТ Р 57580.1-2017 Безопасность
финансовых (банковских) операций.
Защита информации финансовых
организаций. Базовый состав организационных
и технических мер. В этом
документе явным образом прописаны
требования по защите доступа с мобильных
устройств и сделан акцент на
три ключевых направления:
защита информации при передаче
(VPN);
защита при хранении – явно указано,
что необходимо обеспечивать
защиту при хранении с использованием
систем класса MDM 6 ;
использование прокси-сервера
для контроля и фильтрации информации
при доступе с мобильных
устройств к банковским ИС.
Одним словом, на текущий момент
регуляторы активно взялись за удаленный
доступ, в том числе с мобильных
устройств, и если вы представляете
финансовую организацию, оператора
ПДн, государственную организацию,
либо субъект КИИ и при этом ваши
сотрудники используют мобильные
устройства для удаленного доступа,
важно обратиться к нормативным документам
и попытаться соблюсти их
требования. Тем более, в последнее
время регуляторы очень адекватно реагируют
на запросы организаций, готовы
к диалогу и развиваются вместе с
требованиями пользователей.
Некоторой проблемой может стать
то, что в условиях взятого курса на
цифровой суверенитет, с учетом появления
новых требований по сертификации,
в частности, появления
требований к уровням доверия и необходимости
сертификации на территории
России и предоставления исходных
кодов среды функционирования
для сертификации, могут возникнуть
трудности с использованием оборудования
иностранных производителей.
Однако, благодаря открытости регуляторов
есть надежда, что эту проблему
удастся решить.
Экономика мобилизации бизнеса
Насколько оправдано с экономической
точки зрения развитие мобилизации
бизнес-среды? Размышляя об
экономике мобилизации цифрового
рабочего пространства, наверное,
стоит не просто учитывать стоимость
устройств, а оценивать стоимость владения
этими устройствами в среднесрочной
перспективе, на отрезке в 3–5
лет – это цикл жизни такого устройства.
Поэтому рассуждать о том, что дешевле,
использовать купленный работником
телефон или купить этот телефон
за счет компании, нужно как раз в контексте
стоимости владения. Ведь кроме
разовых затрат на закупку мобильного
устройства, на закупку средств защиты
(VPN, MDM, Антивирус и т. д.) существуют
еще дополнительные ежегодные
затраты. По подсчетам НИИ СОКБ
стоимость владения корпоративным
смартфоном в 5-летней перспективе
составляет от 120 до 130 тыс. руб.,
что сопоставимо со стоимостью затрат
компании на личные устройства сотрудников,
работающих в рамках концепции
BYOD. То есть, затраты в обоих
случаях примерно одинаковы.
Что касается экономического эффекта
от мобилизации, то оценить
его сложно. В первом приближении
для этого можно использовать методику,
применяемую для оценки стоимости
разглашения конфиденциальной
информации. По этой методике
стоимость утечки равна стоимости
создания прототипа, информация о
котором утекла.
Для оценки целесообразно рассматривать
не столько стоимость владения,
сколько возврат инвестиций, то
есть ROI 7 , потому что далеко не для
каждой компании мобилизация бизнеса
станет эффективной. Можно посчитать
эффект от мобилизации рабочих
групп, сервисных инженеров,
курьеров или нотариальной конторы,
например. Эффект будет абсолютно
разный. И здесь очень важно понять,
какой эффект это принесет в деньгах
и стоимость владения на горизонте
4–5 лет, сравнить эти цифры и после
этого принимать решение о том, нужна
такая мобилизация или нет. Далеко
не везде будут положительные цифры,
не всем нужна мобилизация, как
ни крамольно это звучит в контексте
настоящей статьи.
Важный момент: в России пока
мало доверяют решениям, в том числе
EMM 8 в виде SaaS. Этот вариант
предполагает некоторую экономическую
гибкость, когда компания платит
по факту потребления услуги и
в любой момент может отказаться
от сервиса, перестав нести расходы.
Еще один важный фактор – это функционал.
Далеко не каждой компании
нужен полый функционал MDM или
EMM и, если на рынке есть возможность
приобретения усеченных по
функционалу лицензий, в определенных
случаях это может повысить экономическую
эффективность.
Еще один путь к повышению эффективности
открывается, когда мы
начинаем рассматривать не EMM, а
нечто большее – UEM 9 , когда мы начинаем
заниматься управлением всеми
устройствами, которые находятся вне
классического периметра корпоративной
сети и с них производится удаленная
работа, в этом случае экономика
будет совершенно другая и UEM решения
помогают сильно сократить затраты,
унифицировав процессы управления
различными устройствами. Но это
применимо не ко всем заказчикам.
Если во главе угла стоит безопасность,
то только средствами UEM ее не сделаешь,
например, DLP она не заменит.
Специалисты НИИ СОКБ, занимаясь
проблемами мобильной безопасности
в режиме 24/7, готовы решать проблемы
заказчиков, выбирающих курс на
мобилизацию и формирование цифрового
рабочего пространства.
1
Здесь и далее приведены результаты онлайн-опроса
участников мероприятия.
2
Принеси Свое Собственное Устройство (англ.
Bring Your Own Device, BYOD) – концепция использования
мобильных устройств в компании,
предполагающая возможность использования
сотрудниками компании собственных
устройств в рабочем процессе.
3
Выбери Свое Устройство (англ. Choose Your
Own Device, СYOD) – концепция, когда предприятие
предоставляет своим сотрудникам те
устройства, которые оно само приобрело, с уже
оформленным договором на оказание услуг
связи. Сотрудник при этом может выбрать из
предложенного ассортимента мобильных тот
аппарат, который лучше всего соответствует его
рабочим задачам и личным предпочтениям.
4
Корпоративное устройство, доступное для использования
в личных целях (англ. Corporate
Owned, Personally Enabled, COPE) - В соответствии
с такой политикой компания покупает и
предоставляет устройства своим сотрудникам,
но использование устройства разрешено и в
личных целях.
5
Корпоративная собственность, только для
работы (англ. Corporate Owned, Business Only,
COBO) – концепция, при которой сотрудникам
не разрешается использовать корпоративные
устройства в личных целях.
6
Управление мобильными устройствами
(англ. Mobile Device Management, MDM) –
набор сервисов и технологий, обеспечивающих
контроль и защиту мобильных устройств, используемых
организацией и ее сотрудниками.
7
Возврат инвестиций (англ. return on
investment, ROI) – финансовый коэффициент,
иллюстрирующий уровень доходности или убыточности
бизнеса, учитывая сумму сделанных
в этот бизнес инвестиций.
8
Управление корпоративной мобильностью
(англ. Enterprise Mobility Management, EMM) –
совокупность людей, процессов и технологий,
ориентированных на управление мобильными
устройствами, беспроводными сетями и другими
мобильными вычислительными услугами
в бизнес-контексте.
9
Унифицированное управление инфраструктурой
(англ. Unified Endpoint Management, UEM) –
класс программных инструментов, которые
обеспечивают единый интерфейс управления
для мобильных устройств, ПК и других
устройств.