Управление рисками мобильности организации, включая использование собственного устройства

[Carder]

Этот документ был разработан, чтобы предоставить старшим представителям бизнеса список рекомендаций по мобильности организации. К ним относятся бизнес-модели, нормативные обязательства и законодательство, доступный бюджет и кадровые ресурсы, а также устойчивость к риску. Кроме того, для специалистов по кибербезопасности предусмотрены средства управления рисками.

Управляющее резюме​

Корпоративная мобильность позволяет сотрудникам выполнять работу в определенных бизнес-сценариях с использованием таких устройств, как смартфоны, планшеты и ноутбуки, используя технологии, облегчающие удаленный доступ к данным. Хорошо продуманная стратегия корпоративной мобильности может предоставить организациям возможности для безопасного улучшения обслуживания клиентов, эффективности и производительности бизнеса. Кроме того, сотрудники получают повышенную гибкость при выполнении работы независимо от их физического местонахождения.
Этот документ был разработан, чтобы предоставить старшим представителям бизнеса список рекомендаций по мобильности предприятия. К ним относятся бизнес-модели, нормативные обязательства и законодательство, доступный бюджет и кадровые ресурсы, а также устойчивость к риску. Кроме того, для специалистов по кибербезопасности предусмотрены средства управления рисками.
Этот документ призван помочь читателям понять и помочь снизить значительные риски, связанные с использованием устройств в рабочих целях, которые могут раскрыть конфиденциальные данные. Риски в первую очередь связаны с вероятностью потери или кражи устройств, на которых хранятся незащищенные конфиденциальные данные [1], использованием неутвержденных корпоративных приложений и облачных служб для обработки конфиденциальных данных, недостаточным разделением между использованием устройства в рабочих и личных целях, а также организация, снижающая уверенность в целостности и безопасности устройств, которые не находятся под корпоративным управлением. Дополнительные риски возникают из-за юридической ответственности, нормативных обязательств и законодательства, требующего соблюдения, а также последствий для бюджета и кадровых ресурсов организации.
Риски можно частично снизить с помощью политики, определяющей разрешенное использование устройств, включая требуемое поведение, ожидаемое от сотрудников, которое дополняется средствами управления техническими рисками для обеспечения соблюдения политики и выявления нарушений.
Бизнес-кейсы для корпоративной мобильности, включающие доступ к неконфиденциальным данным, могут позволить сотрудникам использовать свои личные устройства, называемые «принеси свое собственное устройство» (BYOD).
Бизнес-кейсы для корпоративной мобильности, предполагающие доступ к конфиденциальным данным и их возможное хранение, могут позволить сотрудникам использовать устройства, указанные в утвержденном корпорацией кратком списке устройств. Такие устройства частично или полностью управляются корпорацией для обеспечения соблюдения политик и контроля управления техническими рисками. Эти средства контроля могут включать предотвращение запуска неутвержденных приложений и доступа к конфиденциальным данным, своевременное применение исправлений безопасности к приложениям и операционным системам, а также ограничение возможности сотрудников использовать устройства с "взломанным", "рутированным" или иным образом запускаемые с правами администратора. привилегии [2]. При желании некоторые организации могут предоставлять устройства сотрудникам, разрешать разумную степень личного использования и сохранять право собственности на устройства по юридическим причинам, которые облегчают организацию мониторинга устройств, удаленную очистку конфиденциальных данных, проведение расследований в области безопасности и юридических расследований и сохранение права собственности на интеллектуальную собственность. свойство.
Перед внедрением корпоративной мобильности для конкретного бизнес-сценария организации должны решить, приведет ли применение выбранных средств управления рисками к приемлемому уровню остаточного риска.

Управление рисками мобильности предприятия​

Возможные преимущества корпоративной мобильности​

Потенциальные преимущества корпоративной мобильности включают:

• улучшенное обслуживание клиентов, эффективность и производительность бизнеса, особенно для сотрудников, которые работают вне офиса, являются агентами на местах или часто путешествуют
• повышенная производительность, не зависящая от физического местоположения сотрудника, и дает сотрудникам возможность работать продуктивно, когда они простаивают, например, путешествуя в общественном транспорте
• возможность набора талантливых людей из любой точки мира, которые не хотят переезжать в город, где находится офис организации
• гибкий рабочий график, позволяющий сотрудникам совмещать личное и профессиональное время для достижения интегрированного баланса между работой и личной жизнью
• возможности для более быстрого перевода сотрудников в продолжительный отпуск обратно на рабочее место, работая неполный рабочий день из дома
• снижение затрат на недвижимость, эксплуатацию зданий и техническое обслуживание здания, если сотрудники работают в горячей службе и им предлагается работать вне офиса
• непрерывность бизнеса, если сотрудники не могут работать в офисе, например, из-за отказа кондиционирования воздуха, отключения электроэнергии, забастовки общественного транспорта, наводнения, пожара или другого события
• экологические преимущества, такие как сокращение количества поездок в офис и сокращение использования печатной бумаги.

Возможные преимущества использования личных устройств​

Возможные преимущества использования личных устройств для мобильности предприятия:

• снижение затрат на оборудование для организации, если сотрудники платят за свои устройства - у все большего числа сотрудников уже есть мощные устройства, и сотрудники могут лучше заботиться об устройстве, если они вкладывают в него свои собственные деньги
• свобода для сотрудников использовать устройства, которые они предпочитают, с которыми они знакомы и адаптированы к их предпочтениям в использовании, для повышения своей производительности
• устранение необходимости для сотрудников носить устройство для работы и другое устройство для личного использования
• повышение удовлетворенности сотрудников работой, удержание персонала и набор сотрудников, которые хотят иметь возможность использовать свое собственное устройство
• использование современных технологий, которые позволяют сотрудникам быстрее вводить новшества и разрабатывать более эффективные способы выполнения своей работы, используя преимущества сотрудников, которые обновляют свое программное обеспечение и оборудование более регулярно, чем организации, которые предоставляют устаревшие ИТ-возможности, которые обновляются каждые 3-5 лет.

Разработайте стратегию корпоративной мобильности​

Разработка стратегии корпоративной мобильности принципиально важна для организации, успешно внедряющей корпоративную мобильность для достижения бизнес-результатов с приемлемым уровнем риска. В отсутствие стратегии мобильность организации может определяться сотрудниками без четких критериев успеха и без должного учета рисков.
Стратегия корпоративной мобильности может включать начало пилотного испытания, состоящего из небольшого числа сотрудников, и бизнес-кейса, который отличается низким риском, высокой стоимостью и имеет четкие критерии успеха. Последующий анализ успеха испытания, включая затраты и влияние на состояние безопасности организации, позволяет организации принять обоснованное решение о том, следует ли расширять использование мобильности предприятия.
В следующих разделах этого документа представлены инструкции по шагам, связанным с реализацией стратегии корпоративной мобильности, разработанной организацией.

Определите степень мобильности существующего предприятия​

О степени существующей санкционированной и несанкционированной мобильности предприятия можно узнать, поговорив с представителями бизнеса и сотрудниками, просмотрев инвентарный список назначенных устройств организации и используя меры безопасности для обнаружения:

• несанкционированные точки доступа Wi-Fi, расположенные на территории организации
• несанкционированный доступ устройств к корпоративной сети или Интернету через сеть организации
• сотрудники получают копию организационных данных через съемные носители, электронную почту или облачные сервисы.

Разработайте бизнес-кейсы с подходящими мобильными подходами​

Обоснованные бизнес-модели для корпоративной мобильности приносят ощутимые и измеримые выгоды для организации, ее сотрудников и клиентов. Эти преимущества перевешивают риски и затраты для организации. Четкое определение каждого бизнес-кейса, в том числе указание, к каким данным организации необходимо получить доступ, обеспечивает лучшее понимание возможностей и преимуществ по сравнению с рисками и затратами для организации.

Примеры бизнес-кейсов​

Организации, разрабатывающие бизнес-кейсы корпоративной мобильности, могут решить разрешить сотрудникам:

• сотрудничать с другими сотрудниками с помощью обмена мгновенными сообщениями или видеоконференцсвязи
• использовать программное обеспечение для работы, включая приложения, разработанные организацией
• отправлять, получать и печатать электронные письма, связанные с работой, с вложенными файлами
• доступ, разработка, печать, хранение и совместное использование файлов, связанных с работой, которые находятся в репозиториях данных, таких как SharePoint, общие сетевые ресурсы или облачное хранилище корпоративного уровня
• доступ к календарям, контактам, веб-сайтам интрасети и веб-приложениям интрасети
• выходить в Интернет с помощью сетевой инфраструктуры организации.

Примеры подходов и сценариев корпоративной мобильности​

Пример реализации корпоративной мобильности может включать комбинацию следующих подходов.

Сценарий А​

Этот сценарий предполагает использование устройств с аппаратной моделью и версией операционной системы, которые:

• произвольно выбирается сотрудником
• применены минимальные меры управления рисками - более подробная информация представлена в Приложении А.
• корпоративно неуправляемый
• используется для доступа в Интернет через сетевую инфраструктуру организации.

Сценарий B​

Этот сценарий предполагает использование устройств с аппаратной моделью и версией операционной системы, которые:

• произвольно выбирается сотрудником
• применены минимальные меры управления рисками - более подробная информация представлена в Приложении B
• корпоративно неуправляемый
• используется для доступа к не конфиденциальным данным.

Для субъектов Содружества неконфиденциальные данные определены для целей этого документа как данные, помеченные как ОФИЦИАЛЬНЫЕ.

Сценарий C​

Этот сценарий предполагает использование устройств с аппаратной моделью и версией операционной системы, которые:

• выбирается сотрудником из утвержденного компанией шорт-листа
• применен умеренный контроль управления рисками - более подробная информация представлена в Приложении C
• использует корпоративное разделение организационных данных и личных данных, например, с помощью программного обеспечения для удаленного виртуального рабочего стола, управляемого контейнера или функции разделения, встроенной в операционную систему
• использует корпоративно управляемый механизм для доступа и потенциально хранения конфиденциальных данных, например, с помощью программного обеспечения для удаленного виртуального рабочего стола или утвержденных корпорацией собственных приложений в сочетании с виртуальной частной сетью.

Для организаций Содружества конфиденциальные данные определены для целей этого документа как данные, помеченные как ОФИЦИАЛЬНЫЕ: конфиденциальные.
Устройства в этом сценарии могут быть предоставлены сотрудникам организацией с разумной степенью разрешенного личного использования. Организации могут сохранять право собственности на устройства по юридическим причинам, которые облегчают мониторинг устройств организации, удаленное стирание конфиденциальных данных, выполнение расследований по безопасности и юридические расследования, а также сохранение права собственности на интеллектуальную собственность. Предоставление сотрудникам возможности выбирать устройство из утвержденного корпорацией короткого списка некоторыми поставщиками называется «Выбор собственного устройства», особенно если устройство приобретено, принадлежит и управляется организацией.

Сценарий D​

Этот сценарий предполагает использование устройств с аппаратной моделью и версией операционной системы, которые:

• выбирается сотрудником из утвержденного компанией шорт-листа
• применяет комплексный контроль управления рисками - более подробная информация представлена в Приложении D
• полностью корпоративное управление, например, с использованием профилей конфигурации Apple в сочетании с контролируемым режимом
• потенциально включает корпоративно управляемое разделение организационных данных и личных данных, например, с использованием программного обеспечения для удаленного виртуального рабочего стола, управляемого контейнера или функции разделения, встроенной в операционную систему.
• использует корпоративно управляемый механизм для доступа и потенциально хранения конфиденциальных данных, например, с помощью программного обеспечения для удаленного виртуального рабочего стола или одобренных корпорацией собственных приложений в сочетании с виртуальной частной сетью.

Для субъектов Содружества высокочувствительные данные определены для целей этого документа как данные, помеченные как ЗАЩИЩЕННЫЕ.
Комплексные средства управления рисками могут ограничить функциональность устройства до такой степени, что это может чрезмерно расстроить сотрудника, использующего личное устройство. Следовательно, устройства в этом сценарии могут быть предоставлены сотрудникам организацией с допустимой степенью личного использования. Устройства в коротком списке могут быть ограничены смартфонами и планшетами, которые являются частью экосистемы одного поставщика из-за необходимой совместимости с элементами управления рисками. Организации могут сохранять право собственности на устройства по юридическим причинам, которые упрощают мониторинг устройств организации, удаленное стирание конфиденциальных данных, выполнение расследований в области безопасности и законодательства, а также сохранение права собственности на интеллектуальную собственность.

Соображения по выбору подходов к корпоративной мобильности​

При выборе корпоративного подхода к мобильности для конкретного бизнес-сценария следует учитывать должностную роль сотрудника, конфиденциальность данных, к которым необходимо получить доступ, средства управления рисками и их влияние на конфиденциальность сотрудников и взаимодействие с пользователем. Также подумайте, является ли уровень остаточного риска приемлемым для организации, и расходы для организации, такие как уровень технической поддержки и финансовой поддержки, предоставляемой сотрудникам.
Эти соображения представлены на Рисунке 1, который отражает примеры сценариев корпоративной мобильности, упомянутые ранее. Подробные средства управления рисками для каждого сценария корпоративной мобильности представлены в приложениях к этому документу.

Рисунок 1. Примеры сценариев корпоративной мобильности различаются по пригодности для обработки конфиденциальных данных, стоимости и влиянию на пользовательский опыт сотрудников.

Определите нормативные обязательства и законодательство​

Прежде чем разрешить подключение личных устройств к системам организации, необходимо получить юридическую консультацию. Этот документ не следует рассматривать как юридическую консультацию.
Законные представители организации должны определить, в какой степени мобильность предприятия может быть использована на основании нормативных обязательств и законодательства, влияющего на их организацию. Соответствующее законодательство включает Закон о неприкосновенности частной жизни 1988 г., законы штата и территории о неприкосновенности частной жизни, в том числе законы о слежке за сотрудниками [4], Закон об архивах 1983 года и Закон о свободе информации 1982 года. Организации должны быть осведомлены о соответствующем законодательстве и устранять любые связанные с этим воздействия на свою организацию.
Аспекты мобильности предприятия, требующие юридической консультации, могут включать:

• разрешено ли организации контролировать устройства и сетевой трафик для выявления нарушений политики и других инцидентов кибербезопасности
• разрешено ли организации контролировать использование личных устройств за пределами территории организации, включая удаленное определение и отслеживание местоположения устройства на основе GPS-координат устройства, ближайших вышек сотовой связи или расположения близлежащих известных сетей Wi-Fi
• разрешен ли организации доступ к личным данным, хранящимся на устройстве, при проведении расследования или судебного расследования - личные данные включают электронные письма, историю посещенных веб-сайтов, календарь, контакты и фотографии, а также личные данные, хранящиеся в личном кабинете сотрудника. учетная запись веб-почты или облачного хранилища
• какие действия должна предпринять организация, если нарушения гражданского или уголовного законодательства случайно обнаружены при анализе устройства сотрудника или сетевого трафика
• страхование и ответственность за компенсацию, ремонт или замену устройства сотрудника, которое потеряно, украдено, скомпрометировано вредоносным ПО или иным образом повреждено и потенциально может привести к травмам - такой ущерб может возникнуть не по вине сотрудника, в том числе при использовании устройства в офисе для связанные с работой цели
• юридическая ответственность, возникающая в результате удаленного удаления организацией личных данных [5], особенно если устройство принадлежит кому-то, кто не предоставил письменного согласия, например, имущество умершего сотрудника
• юридическая ответственность, возникшая в результате распространения вредоносных программ с устройств или иного вреда другим устройствам
• юридическая ответственность перед организацией, возникающая в результате того, что сотрудники имеют или передают в организационные системы любое программное обеспечение или данные, которые являются пиратскими, нарушают авторские права или имеют ненадлежащую лицензию [6]
• владеет ли организация или сотрудник интеллектуальной собственностью и авторскими правами на работу, выполняемую на устройстве сотрудника, особенно если она выполняется в нерабочее время.

Распределить бюджет и кадровые ресурсы​

Организации, внедряющие корпоративную мобильность, могут столкнуться с различными расходами, такими как:

• субсидирование или полная оплата стоимости устройств и связанных с ними рабочих расходов
• реагирование на нарушения безопасности, нарушения политики и нарушения нормативных требований
• кадровые ресурсы, необходимые из различных подразделений организации для совместной разработки стратегии корпоративной мобильности и связанных политик
• внедрение средств управления рисками, таких как лицензирование программного обеспечения безопасности и обучение пользователей
• модернизация ИТ-инфраструктуры организации, включая сеть Wi-Fi, пропускную способность интернета, а также сеть центра обработки данных, хранилище и возможности обработки серверов
• персонал для проектирования ИТ-инфраструктуры и выполнения постоянного управления устройствами, мониторинга и отчетности
• дополнительные клиентские лицензии на программное обеспечение для серверных и клиентских операционных систем Microsoft Windows, а также для Microsoft Office, особенно если организация платит за лицензии на программное обеспечение на устройство, а не на пользователя
• обучение службы поддержки ИТ для поддержки различных устройств - как минимум предоставление сотрудникам настроек конфигурации и базового обучения для подключения к разрешенным сетям и системам организации
• изменение веб-сайтов интрасети и веб-приложений для поддержки различных веб-браузеров
• улучшение инфраструктуры управления идентификацией и доступом для аутентификации и авторизации сотрудников и устройств
• разработка мобильных веб-приложений или собственных программных приложений для взаимодействия с данными организации, потенциально требующих использования решений промежуточного уровня, обеспечивающих доступ к репозиториям хранения данных.

Разработка и распространение корпоративной политики мобильности​

Политика корпоративной мобильности должна быть разработана для управления использованием устройств, имеющих доступ к данным организации.
Политика зависит от приверженности пользователей и, вероятно, будет более эффективной, если будет проявлять следующие характеристики:

• предлагает корпоративную мобильность в качестве подписки вместо обязательной, если организация не желает полностью оплачивать стоимость устройств и связанные с ними расходы, связанные с работой
• совместно разработан консультативным советом, состоящим из заинтересованных сторон, включая команду кибербезопасности, системных и сетевых администраторов, кадровых, финансовых, юридических, высшего руководства и сотрудников - этот консультативный процесс помогает гарантировать, что заинтересованные стороны внесли свой вклад, готовы придерживаться политику и принять любые дополнительные обязательства по защите данных организации
• четко указывает, к каким типам организационных данных разрешен доступ с каких устройств и из каких приложений - отсутствие стратегии приложения может привести к тому, что сотрудники будут использовать приложения, которые не были оценены организацией для определения их способности раскрывать конфиденциальные данные
• четко указано, как разрешено хранить и распространять данные организации, например, с использованием корпоративных репозиториев данных, таких как SharePoint, общие сетевые ресурсы или облачное хранилище корпоративного уровня, при этом избегая использования облачного хранилища потребительского уровня и личной веб-почты потребительского уровня
• четко указывает, какие меры управления рисками применяются, и удерживает сотрудников от обхода этих мер контроля, помогая сотрудникам понять, почему существуют правила политики
• требует, чтобы сотрудники подписали Политику допустимого использования, в которой четко указывается требуемое поведение, ожидаемое от сотрудников, и последствия нарушений.
• распространяется по всей организации, чтобы сотрудники могли понять свои обязательства и политику, чтобы обеспечить полную осведомленность о существовании политики и последствиях несоблюдения - организации необходимо определить, какие представители бизнеса несут ответственность за устранение несоответствий, которые дополняется документированным процессом эскалации споров и их разрешения
• дополняется техническими средствами управления рисками для обеспечения соблюдения политики и выявления нарушений, особенно в тех случаях, когда сотрудник нарушает свое письменное согласие придерживаться политики
• сводит к минимуму негативное влияние на пользовательский опыт сотрудника - негативные воздействия включают требование очень сложной парольной фразы для разблокировки, автоматическую блокировку экрана устройства после очень короткого периода простоя, чрезмерное ограничение функциональности устройства и удаление личных данных при удаленной или удаленной очистке всего устройства. очень небольшое количество последовательных попыток неправильной разблокировки парольной фразы
• заявляет о технической поддержке и финансовой поддержке, которую сотрудники могут получить
• документирует процесс адаптации для сотрудников, чтобы получить подписанное одобрение от своего руководителя, зарегистрировать свое устройство, применить политику организации и, возможно, установить на свое устройство программное обеспечение, чтобы помочь организации настроить устройство и управлять им.
• документирует процесс увольнения с целью удаления программного обеспечения и данных организации с устройств, которые были потеряны, украдены или деинициализированы, включая случаи, когда сотрудники прекращают работу
• обеспечивает контактное лицо для представителей бизнеса на случай, если сотрудники обратятся к политике
• пересматривается и уточняется при необходимости сначала ежеквартально, пока корпоративная мобильность все еще нова для организации, а затем ежегодно.

Опрос сотрудников может помочь определить, готовы ли они принять политику и участвовать в бизнес-кейсе корпоративной мобильности, учитывая, что некоторые сотрудники могут понять, что:

• расходы будут перенесены с организации на них
• их конфиденциальность будет нарушена
• функциональность их устройства будет чрезмерно ограничена
• личные данные, хранящиеся на их устройстве, будут удалены или открыты
• ожидается, что они будут на связи, чтобы отвечать на электронные письма и телефонные звонки в любое время, кроме традиционных рабочих часов.

Техподдержка​

Для ИТ-службы поддержки организации непрактично поддерживать устройства от большого количества поставщиков, использующих большое количество операционных систем с большим разнообразием настроек конфигурации. Таким образом, объем технической поддержки, предоставляемой сотрудникам, зависит от кадровых ресурсов организации, от того, включены ли устройства в утвержденный корпорацией короткий список устройств, а также от степени, в которой устройства необходимы сотрудникам для выполнения их работы. Техническая поддержка может включать:

• предоставление гостям, подрядчикам и другим сотрудникам подробной информации о том, как подключиться к гостевой сети Wi-Fi организации для доступа в Интернет
• предоставление сотрудникам подробных сведений о том, как подключиться к разрешенным сетям и системам организации, а также получение организацией видимости инцидентов кибербезопасности, которые ставят данные организации под угрозу
• обеспечение внутреннего веб-форума поддержки сообщества самообслуживания, позволяющего сотрудникам помогать друг другу, при этом служба ИТ-поддержки сообщает о существовании внутреннего веб-форума и иногда участвует в обсуждениях на веб-форуме, чтобы отвечать на часто задаваемые вопросы - внутренний веб-форум помогает смягчить риск раскрытия сотрудниками сведений о конфигурации сетевой инфраструктуры организации при обращении за помощью на общедоступных интернет-форумах
• предоставление сотрудникам максимальной технической поддержки, на которую способна служба ИТ-поддержки, включая краткосрочную ссуду устройства для обеспечения продуктивной работы сотрудника на время ремонта поврежденного устройства.
• предоставление сотрудникам полной технической поддержки, включая замену поврежденных или сломанных устройств.

Финансовая поддержка​

Финансовая поддержка может иметь последствия для налога на дополнительные льготы из-за того, что организация платит за устройство или подключение к Интернету и телекоммуникациям, которые используются в личных целях, особенно в нерабочее время. Объем финансовой поддержки, предоставляемой сотрудникам, зависит от финансовых ресурсов организации и от того, какие устройства необходимы сотрудникам для выполнения своей работы. Финансовая поддержка может включать:

• признание затрат, связанных с работой, понесенных в поддержку сотрудников, подавших иски, подлежащие вычету из налогооблагаемой базы
• предоставление сотрудникам налогооблагаемой надбавки или стипендии или иное субсидирование или возмещение стоимости устройства, обязывающее сотрудников по контракту выплатить пропорциональную часть, если они прекращают работу в течение установленного периода
• предоставление сотрудникам устройства, за которое организация полностью оплачивает, обязывая сотрудников по контракту вернуть устройство, если они прекращают работу в течение установленного периода времени или если организация сохраняет право собственности на устройство
• предоставление сотрудникам возмещения связанной с работой части ежемесячного счета от оператора связи и интернет-провайдера сотрудника с учетом того, что ставки, связанные с потребительским планом, могут быть выше, чем ставки, связанные с корпоративным планом
• предоставление сотрудникам корпоративной SIM-карты или иное обеспечение подключения к Интернету и телекоммуникациям через корпоративный план с использованием автоматизированного процесса для возмещения части ежемесячного счета сотрудника через платежную ведомость на основе критериев, указывающих на личное использование - дорогостоящая плата за роуминг данных для сотрудников, путешествующих за границу можно смягчить, предоставив сотрудникам предоплаченную SIM-карту, связанную с оператором связи в другой стране, или отключив роуминг данных через Управление мобильными устройствами, чтобы разрешить только подключение для передачи данных Wi-Fi [8]
• предоставление сотрудникам возмещения стоимости основного программного обеспечения, связанного с работой, с учетом того, что программное обеспечение, лицензированное сотруднику по потребительской лицензии вместо корпоративной лицензии, вряд ли может быть передано другому сотруднику
• предоставление сотрудникам возмещения затрат на основные периферийные устройства и аксессуары.

Контролировать выполнение и сообщать руководству​

Постоянный мониторинг реализации корпоративной мобильности включает просмотр журналов из управления мобильными устройствами и других источников журналов, таких как сетевые журналы, журналы аутентификации пользователей и программное обеспечение безопасности.
Регулярные отчеты руководству помогают им понять и устранить неприемлемые риски, а также оценить, оправдывают ли преимущества корпоративной мобильности для организации риски и затраты для организации. Информация для сообщения руководству включает:

• степень соблюдения нормативных обязательств, законодательства и политики организации
• серьезность и количество нарушений политики и других инцидентов кибербезопасности
• Имена сотрудников, которые регулярно участвуют в нарушениях политики и других инцидентах кибербезопасности
• затраты на ИТ-инфраструктуру, включая обновление сети, пропускную способность интернета, хранилище данных и возможности обработки серверов
• затраты на контроль управления рисками
• затраты на обеспечение сотрудников технической и финансовой поддержкой
• имена сотрудников, вызывающих чрезмерное бремя расходов из-за использования ими пропускной способности Интернета, хранения данных, технической поддержки или финансовой поддержки.

Содействовать организационной трансформации​

Организации могут обновить свои бизнес-процессы, чтобы использовать мобильность предприятия, потенциально даже трансформируя организацию для использования таких возможностей, как работа на основе действий [9], путем:

• анализ успеха пилотных испытаний корпоративной мобильности, включая затраты и влияние на состояние безопасности организации.
• анализ и обновление стратегии корпоративной мобильности организации
• принятие информированного решения о том, следует ли расширять сферу корпоративной мобильности для выявления и использования дополнительных инновационных рентабельных возможностей для улучшения обслуживания клиентов, эффективности и производительности с уровнем риска, приемлемым для организации.

Приложение А. Произвольные неуправляемые устройства для доступа в Интернет​

В этом приложении представлены инструкции по управлению рисками, связанными со сценарием A. Этот сценарий включает устройства с аппаратной моделью и версией операционной системы, которые:

• произвольно выбирается сотрудником
• применен минимальный контроль управления рисками
• корпоративно неуправляемый
• используется для доступа в Интернет через сетевую инфраструктуру организации.

Эта реализация может позволить организациям применять более строгие меры контроля фильтрации веб-содержимого в корпоративной сети, чтобы снизить риск взлома корпоративных рабочих станций.
Цели высокого уровня, связанные с этим примерным сценарием, включают:

• предотвращение несанкционированного доступа к корпоративной сети организации, чтобы помочь предотвратить внедрение сотрудниками вредоносного ПО в системы организации или раскрытие конфиденциальных данных
• снизить угрозу важных обсуждений, связанных с работой, которые записываются с помощью интернет-телефонии, распознавания голоса или других приложений для записи голоса
• поддерживать доступность подключения к Интернету в организации по приемлемой цене
• снизить риск возникновения юридической ответственности перед организацией в результате:
  • скомпрометированные устройства, распространяющие вредоносное ПО или наносящие вред другим устройствам в Интернете
  • сотрудники загружают фильмы, музыку или программное обеспечение, нарушающие авторские права, из Интернета
  • программное обеспечение или данные, которые являются пиратскими, нарушающими авторские права или используются в рабочих целях, даже если они лицензированы только для домашнего, некоммерческого или образовательного использования
  • сотрудники, обращающиеся порнографию или другие оскорбительные материалы в то время как в офисе, в рабочее время, от устройств субсидируемых организации или через сетевой инфраструктуры организации.

Корпоративный контроль управления рисками​

Организация может управлять рисками, применяя следующие технические средства контроля.

Фильтрация и мониторинг сетевого трафика​

Воплощать в жизнь:

• Основной Интернет веб-контент фильтрации для блочного доступа к известным пиратству, порнографическим и оскорбительным сайты
• регулирование пропускной способности и качество обслуживания для определения приоритетов сетевого трафика, связанного с работой
• квоты пропускной способности на пользователя и на устройство, чтобы сотрудники не использовали чрезмерную пропускную способность
• регистрация, архивирование и мониторинг сетевого трафика для выявления нарушений политик и инцидентов кибербезопасности.

Разделение корпоративной сети организации и гостевой сети Wi-Fi​

Отделите внутреннюю корпоративную сеть организации от гостевой сети Wi-Fi, которая позволяет корпоративным неуправляемым и ненадежным устройствам получать доступ в Интернет.

Корпоративные рабочие станции, настроенные на блокировку доступа к неавторизованным устройствам​

Настройте корпоративные рабочие станции для блокировки доступа к неавторизованным устройствам, например USB-устройствам [10], устройствам Bluetooth, точкам доступа Wi-Fi, мобильным точкам доступа и другим устройствам с возможностью подключения 3G/4G. Это помогает снизить риск того, что корпоративные рабочие станции будут обмениваться данными с неавторизованными устройствами или подключаться к устройствам и выходить в Интернет через неконтролируемый и нефильтрованный интернет-шлюз.

Контроль управления рисками с учетом требований пользователя​

Следующие ниже технические средства контроля и средства контроля политик для управления рисками полагаются на сотрудников, соблюдающих политику.

Программное обеспечение для защиты от вредоносных программ​

Получите письменное согласие сотрудников на использование программного обеспечения для защиты от вредоносных программ, которое помогает снизить риск взлома устройств.
Этот элемент управления менее применим к устройствам, которые используют строгую конструкцию «песочницы» и ограничивают выполнение приложений только теми, которые криптографически подписаны доверенным органом и происходят из рынка приложений с хорошей историей курирования для исключения вредоносных программ.

Дополнительная информация​

Организация может предлагать антивирусное программное обеспечение бесплатно, если сотрудники выходят в Интернет через специальный портал и соглашаются с политикой.
Антивирусное программное обеспечение на основе сигнатур - это реактивный подход, который вряд ли защитит от целевых вредоносных программ, о которых поставщик антивирусов не знает. Программное обеспечение для защиты от вредоносных программ расширяет антивирусное программное обеспечение на основе сигнатур, которое обычно включает эвристическое обнаружение, идентификацию подозрительных приложений, а также проверку репутации приложений и веб-сайтов, к которым осуществляется доступ.

Избегайте несанкционированного, чрезмерного, оскорбительного или незаконного поведения.​

Получите письменное согласие сотрудника на:

• доступ только к организационным системам или данным, к которым им явно разрешен доступ
• Избегайте записи важных обсуждений, связанных с работой, с помощью интернет-телефонии, распознавания голоса [11] или других приложений для записи голоса
• использовать подключение к Интернету в организации в соответствии с существующей политикой, которая может запрещать доступ к оскорбительному контенту и контенту, нарушающему авторские права, запрещать чрезмерное использование пропускной способности Интернета, например, посредством личного использования YouTube, и требовать от сотрудников принятия риска взлома их устройства
• убедиться, что их устройство не содержит и не передает в организационные системы какое-либо программное обеспечение или данные, которые являются пиратскими, нарушающими авторские права или используются для рабочих целей, даже если они лицензированы только для домашнего использования, некоммерческого использования или использования в образовательных целях.
• не намеренно порнография доступа или другие оскорбительные материалы в то время как в офисе, в рабочее время, от устройств субсидируемых организации, или через сетевую инфраструктуру организации - сотрудники австралийской государственной службы связаны австралийский государственную службу Кодекс поведения и ценности, даже при работе вне офиса, используя собственное устройство.

Приложение Б. Произвольные неуправляемые устройства для неконфиденциальных данных​

В этом приложении представлены инструкции по управлению рисками, связанными со сценарием B. В этом сценарии используются устройства с аппаратной моделью и версией операционной системы, которые:

• произвольно выбирается сотрудником
• применен минимальный контроль управления рисками
• корпоративно неуправляемый
• используется для доступа к не конфиденциальным данным.

Для субъектов Содружества неконфиденциальные данные определены для целей этого документа как данные, помеченные как ОФИЦИАЛЬНЫЕ.
Это приложение основывается на задачах высокого уровня и средствах управления рисками, описанных в Приложении A, и включает в себя произвольные корпоративные неуправляемые устройства, используемые для доступа в Интернет через сетевую инфраструктуру организации. Цели высокого уровня, связанные с примером сценария в Приложении B, также включают:

• избегать несанкционированного доступа к организационным системам и данным
• избегать ненадежных устройств, компрометирующих организационные системы, к которым разрешен доступ.

Корпоративный контроль управления рисками​

Организация может управлять рисками, применяя следующие технические средства контроля.

Сегментация и разделение между устройствами и организационными системами​

Надлежащим образом спроектируйте и сегментируйте корпоративную сеть организации, используя комбинацию механизмов обеспечения безопасности, таких как межсетевые экраны, обратные прокси-серверы, виртуальные локальные сети и виртуальные частные сети. Это помогает снизить риск доступа устройств к неавторизованным системам и данным организации.

Оценка уязвимости веб-приложений и операционных систем и усиление защиты​

Выполните оценку уязвимости и усиление безопасности веб-приложений и операционных систем, работающих в системах организации, к которым разрешен доступ. Это помогает уменьшить риск устройств, компрометирующих организационные системы и их данные.

Приложение C: Корпоративно одобренные и частично управляемые устройства для конфиденциальных данных​

В этом приложении содержится руководство по управлению рисками, связанными со сценарием C. В этом сценарии используются устройства с аппаратной моделью и версией операционной системы, которые:

• выбирается сотрудником из утвержденного компанией шорт-листа
• применяет умеренный контроль управления рисками
• использует корпоративное разделение организационных данных и личных данных, например, с помощью программного обеспечения для удаленного виртуального рабочего стола, управляемого контейнера или функции разделения, встроенной в операционную систему
• использует корпоративно управляемый механизм для доступа и потенциально хранения конфиденциальных данных, например, с помощью программного обеспечения для удаленного виртуального рабочего стола или утвержденных корпорацией собственных приложений в сочетании с виртуальной частной сетью.

Для организаций Содружества конфиденциальные данные определены для целей этого документа как данные, помеченные как ОФИЦИАЛЬНЫЕ: конфиденциальные.
Устройства в этом сценарии могут быть предоставлены сотрудникам организацией с разумной степенью разрешенного личного использования. Организации могут сохранять право собственности на устройства по юридическим причинам, которые облегчают мониторинг устройств организации, удаленное стирание конфиденциальных данных, выполнение расследований по безопасности и юридические расследования, а также сохранение права собственности на интеллектуальную собственность. Предоставление сотрудникам возможности выбирать устройство из утвержденного корпорацией короткого списка некоторыми поставщиками называется «Выбор собственного устройства», особенно если устройство приобретено, принадлежит и управляется организацией.
Это приложение основывается на задачах высокого уровня и средствах управления рисками, которые обсуждаются в Приложении B, и включает в себя произвольные корпоративные неуправляемые устройства, используемые для доступа к неконфиденциальным данным. Цели высокого уровня, связанные с примером сценария в Приложении C, также включают:

• защитить финансовые вложения организации в стоимость устройств
• поддерживать доступность и целостность данных организации для обеспечения непрерывности бизнеса
• сохранять конфиденциальность конфиденциальных данных
• сохранять корпоративную собственность на данные организации, созданные сотрудниками с помощью их устройств
• быстро реагировать на нарушения политик, утечку данных и другие инциденты кибербезопасности
• иметь возможность выполнять электронное обнаружение судебных дел и запросов о свободе информации.

Некоторые элементы управления рисками, описанные в этом приложении, могут быть ненужными или непрактичными в зависимости от бизнес-модели организации, чувствительности данных, к которым осуществляется доступ с устройств, использования других элементов управления рисками и типа устройства, учитывая, что некоторые элементы управления ориентированы в первую очередь на смартфоны. и планшеты, а не ноутбуки.
Примером короткого списка устройств, из которых могут выбирать сотрудники, является работающий смартфон или планшет:

• iOS версии 12 или новее
• Android версии 9 или более поздней, работающей на устройствах от поставщиков, которые своевременно распространяли исправления безопасности.

Короткий список устройств регулярно обновляется для отражения новых устройств, доступных на рынке, и ограничивается только устройствами, которые:

• совместимы с необходимыми бизнес-приложениями, разработанными организацией и сторонними организациями
• у организации есть технические знания для поддержки, что приводит к более предсказуемым расходам на поддержку
• соответствовать минимальным требованиям, установленным организацией, включая совместимость с выбранными организацией средствами управления рисками, такими как управление мобильными устройствами, а также с управляемыми механизмами разделения, такими как управляемые контейнеры
• предоставить организации адекватную уверенность в способности устройства надлежащим образом защищать конфиденциальные данные
• соответствуют местному законодательству

Корпоративный контроль управления рисками​

Организация может управлять рисками, применяя следующие технические средства контроля.

Обзор управляемого разделения, удаленного виртуального рабочего стола и управления мобильными устройствами​

Устройства без шифрования, одобренного Австралийским управлением сигналов (ASD), не должны хранить конфиденциальные данные. Кроме того, следует запретить сотрудникам устанавливать неутвержденные приложения, которые могут получить доступ к конфиденциальной информации.
Средства управления рисками, используемые для следования этому руководству, включают использование управляемого разделения, такого как зашифрованный управляемый контейнер, предпочтительно в сочетании с управлением мобильными устройствами, чтобы обеспечить некоторую базовую уверенность в базовой конфигурации операционной системы устройства, или с использованием надлежащим образом настроенного программного обеспечения удаленного виртуального рабочего стола. Использование фразы «программное обеспечение удаленного виртуального рабочего стола» в этом документе включает виртуализированные приложения и инфраструктуру виртуальных рабочих столов (VDI).
Организации могут выбрать использование управляемого разделения для некоторых бизнес-случаев, таких как оцененный зашифрованный управляемый контейнер на смартфонах с маленькими экранами и программное обеспечение удаленного виртуального рабочего стола для других бизнес-сценариев или устройств с большими экранами.
Подробная информация об управляемом разделении, программном обеспечении удаленного виртуального рабочего стола и управлении мобильными устройствами представлена на следующих страницах этого приложения. На рисунке 2 показана сравнительная способность этих средств управления рисками защищать данные организации и их негативное влияние на пользовательский опыт сотрудников. Все представленные реализации включают в себя базовые средства управления рисками, такие как своевременное применение исправлений безопасности поставщика, использование новейшего программного обеспечения для защиты от вредоносных программ и выполнение резервного копирования рабочих данных на серверы резервного копирования, указанные организацией. Эти средства управления рисками не помешают злоумышленнику скопировать данные организации, сделав снимок экрана или фотографию экрана своего устройства.

Рисунок 2. Средства контроля управления рисками различаются по своей способности защищать данные организации и их негативному влиянию на пользовательский опыт сотрудников.

Управляемое разделение​

Управляемое разделение помогает защитить и изолировать данные организации, хранящиеся на устройствах. Организационные данные логически отделены от личной операционной среды сотрудника, что ограничивает возможность распространения таких данных и упрощает удаленное удаление только организационных данных.

Дополнительная информация​

Существует несколько различных типов механизмов разделения, включая функции разделения, встроенные в операционную систему, а также механизмы, закрепленные поверх операционной системы, такие как управляемые контейнеры [15]. Кроме того, такие технологии, как гипервизоры типа 1 и гипервизоры типа 2, могут обеспечить локально виртуализированную операционную систему [16]. Некоторые механизмы разделения предназначены для обеспечения доступа к данным организации только приложениям, которые были оценены организацией.
Управляемые контейнеры, гипервизоры типа 2 или другие механизмы, прикрепленные к операционной системе, обеспечивают пониженную безопасность, если нет достаточной уверенности в целостности и состоянии безопасности операционной системы.
Использование управляемого контейнера дает следующие корпоративные преимущества с потенциальным воздействием на пользовательский интерфейс сотрудника:

• требовать от сотрудников вводить дополнительную парольную фразу для доступа к данным организации
• шифрование данных, которое не зависит от шифрования, обеспечиваемого операционной системой устройства - программное шифрование может замедлить работу устройства из-за накладных расходов на шифрование.
• снижение риска утечки данных за счет ограничения сотрудниками использования только утвержденных корпорацией приложений для обработки данных организации, при этом ограничивая возможность таких приложений копировать данные организации в облачные службы, не утвержденные корпорацией, или в другое место за пределами управляемого контейнера.

Организациям, рассматривающим возможность использования управляемого контейнера, необходимо определить, есть ли у поставщика доступ к данным организации или криптографическим ключам, используемым для расшифровки данных организации.

Программное обеспечение для удаленного виртуального рабочего стола​

Правильно настроенное программное обеспечение для удаленного виртуального рабочего стола помогает хранить данные организации в центре обработки данных организации, а не на устройствах, при этом позволяя сотрудникам получать доступ к данным и приложениям организации.

Дополнительная информация​

Конфиденциальные данные, которыми обмениваются в течение всего сеанса удаленного виртуального рабочего стола, должны быть зашифрованы с использованием одобренного ASD шифрования.
Опыт показывает, что программное обеспечение для удаленного виртуального рабочего стола не обязательно хранит данные организации в центре обработки данных или предотвращает передачу таких данных на устройства и с устройств. Некоторое программное обеспечение для удаленного виртуального рабочего стола содержит функции, позволяющие сознательно копировать данные организации на устройства и с устройств, включая возможность внедрения вредоносных программ на устройствах на удаленный виртуальный рабочий стол, как показано на рисунке 3 ниже.

Рисунок 3. В этом примере сотрудник получает доступ к файловой системе и съемному носителю своего Android-устройства из удаленного виртуального рабочего стола под управлением Microsoft Windows. Сотрудник может копировать данные организации на свое устройство и внедрять вредоносные программы на удаленный виртуальный рабочий стол. Такое поведение сотрудников приводит к менее строгому контролю, чем если бы электронная почта использовалась для извлечения данных организации или для внедрения вредоносных программ.
Существует множество способов утечки данных организации из удаленного виртуального рабочего стола и их незащищенного хранения на устройствах. Меры управления рисками, помогающие уменьшить такую утечку данных, включают:

• надлежащая настройка программного обеспечения удаленного виртуального рабочего стола, работающего на сервере и на устройстве, чтобы облегчить сотрудникам печать на локальные принтеры, печать в локальные файлы, доступ к файловой системе своего устройства и съемным носителям из удаленного виртуального рабочего стола, а также использование буфера обмена для копирования и вставлять данные в обоих направлениях между удаленным виртуальным рабочим столом и устройством
• использование полного шифрования устройства для защиты данных организации, которые могут непреднамеренно храниться на устройстве, особенно если устройство является портативным, из-за возможности записи данных в памяти на диск как часть файла страницы / подкачки или файла гибернации / сна
• получение письменного согласия от сотрудников, чтобы избежать преднамеренного копирования данных организации на свое устройство и избежать распространения потенциального вредоносного ПО со своего устройства на удаленный виртуальный рабочий стол
• Частичное устранение последствий программного обеспечения для регистрации нажатий клавиш и вредоносных программ, которые позволяют злоумышленнику делать снимки экрана удаленного виртуального рабочего стола с помощью новейшего антивирусного программного обеспечения на устройствах, гарантируя, что все исправления безопасности поставщика применяются к устройствам, как только они доступны поставщика и обучение сотрудников избегать установки потенциально вредоносных приложений
• настройка удаленного виртуального рабочего стола на блокировку его экрана после короткого периода простоя, чтобы помочь уменьшить влияние злоумышленника, использующего взломанное устройство для управления мышью и клавиатурой удаленного виртуального рабочего стола
• запрещение использования клавиатурных приложений с настраиваемым словарем или интеллектуальным текстом, которые фиксируют важные слова или словосочетания, введенные на удаленном виртуальном рабочем столе, и сохраняют такие конфиденциальные данные в локальной файловой системе устройства.

Перед внедрением необходимо учесть следующие воздействия программного обеспечения удаленного виртуального рабочего стола:

• требование к сотрудникам иметь надежное подключение к Интернету
• влияние на пользовательский опыт сотрудника, особенно для устройств с маленькими экранами, таких как смартфоны, например, использование программного обеспечения удаленного виртуального рабочего стола для превращения смартфона в немой терминал может помешать сотрудникам отправить электронное письмо с помощью Microsoft Outlook, работающего в более старой версии Microsoft Windows, не предназначенная для сенсорного интерфейса
• потенциальная потребность организации в обновлении емкости хранилища сети и центра обработки данных и серверной обработки.
• потенциальное требование для организации приобрести дополнительные лицензии клиентского доступа для серверных и клиентских операционных систем Microsoft Windows, а также для Microsoft Office.

Управление мобильными устройствами​

Управление мобильными устройствами настраивает и проверяет устройства, включая обеспечение соблюдения таких аспектов политики, как:

• процесс регистрации устройства, который может включать в себя установку программного обеспечения на устройстве, чтобы помочь организации управлять устройством, и цифровой сертификат для аутентификации устройства в сети.
• разблокировать парольные фразы указанной минимальной длины и требуемой сложности
• время простоя устройства до момента автоматической блокировки экрана устройства
• количество последовательных неудачных попыток создания парольной фразы до тех пор, пока устройство не будет автоматически очищено
• возможность удаленного отслеживания, блокировки и очистки устройств
• возможность сотрудников печатать на неорганизационных принтерах
• шифрование данных при хранении и передаче, включая параметры конфигурации виртуальной частной сети
• возможность для сотрудников использовать камеру своего устройства, микрофон, Bluetooth, интерфейс USB, съемный носитель или GPS, особенно в помещениях организации
• обнаружение, сообщение и блокировка устройств, которые взломаны или внедрены, отмечая, что обнаружение несовершенно и полагается на ненадежное устройство, чтобы сказать правду о своем программном обеспечении
• проверка соответствия конечных точек, включая актуальность исправлений безопасности и антивирусного ПО
• отключение резервного копирования незащищенных конфиденциальных данных в облачное хранилище потребительского уровня, такое как iCloud, при сохранении возможности резервного копирования личных данных сотрудника
• настройка соответствующих параметров электронной почты и подключения к Wi-Fi
• отключение встроенных приложений для записи голоса, которые отправляют записанный голос через Интернет
• постоянное управление устройствами, мониторинг и отслеживание активов.

Дополнительная информация​

Мобильные устройства с доступом к конфиденциальным данным:

• следует использовать Управление мобильными устройствами, чтобы гарантировать применение политики организации, что позволяет организациям централизованно управлять конфигурацией устройств и проверять соблюдение политики.
• должен запретить сотрудникам отключать функции безопасности на устройстве после инициализации
• должны регулярно проверяться, чтобы гарантировать, что устройства по-прежнему защищены, например, что их конфигурация соответствует политике организации и что исправления безопасности применяются на регулярной основе.

Использование управления мобильными устройствами для обеспечения соблюдения неоправданно строгой политики организации, особенно когда сотрудник не использует свое устройство в рабочих целях, может негативно повлиять на пользовательский опыт сотрудника.
Организации, рассматривающие возможность использования управления мобильными устройствами, должны определить, есть ли у поставщика доступ к конфиденциальным данным, таким как кодовая фраза для разблокировки устройства.

Многофакторная аутентификация​

Многофакторная аутентификация помогает предотвратить доступ злоумышленников к системам организации с помощью скомпрометированных учетных данных корпоративных учетных записей сотрудников.

Дополнительная информация​

Для удаленного доступа к организационным системам необходимо использовать многофакторную аутентификацию.
По завершении сотрудники должны выйти из системы организации, чтобы для восстановления доступа требовалась многофакторная аутентификация. Организационные системы должны быть настроены таким образом, чтобы пользователи выходили из системы после периода простоя.
Физически отдельный аппаратный токен многофакторной аутентификации с привязанным ко времени значением, хранящийся отдельно на устройстве сотрудника, может обеспечить большую безопасность, чем программный токен, такой как SMS или мобильное приложение, которое отображает значение токена аутентификации на устройстве сотрудника. Если устройство скомпрометировано [18] [19] или если его SIM-карта перевыпущена злоумышленнику [20], злоумышленник может получить доступ к значению программного токена сотрудника, тем самым нарушив механизм многофакторной аутентификации.
Использование многофакторной аутентификации не полностью снижает риск получения злоумышленником корпоративной парольной фразы сотрудника, когда сотрудник вводит ее на взломанном устройстве. Затем злоумышленник может использовать эту парольную фразу во время последующего вторжения, например, получив физический доступ к корпоративной рабочей станции и просто войдя в систему как сотрудник. В качестве альтернативы злоумышленник может использовать адресное фишинговое письмо для взлома рабочей станции любого сотрудника в корпоративной сети и использовать ранее полученную парольную фразу для доступа к конфиденциальным данным на сетевых дисках.
Чтобы снизить этот риск, либо потребуйте многофакторную аутентификацию для всех учетных записей сотрудников, включая вход на корпоративные рабочие станции в офисе, либо потребуйте, чтобы корпоративные парольные фразы, вводимые сотрудниками на ненадежные устройства, отличались от корпоративных парольных фраз, вводимых на корпоративные рабочие станции в офисе.

Шифрование данных при передаче​

Шифрование передаваемых данных помогает снизить риск доступа к данным организации злоумышленника, имеющего доступ к сетевым коммуникациям устройства. Такой доступ может быть результатом использования незашифрованной точки доступа Wi-Fi или использования любой сетевой инфраструктуры, которая не контролируется организацией и поэтому считается ненадежной.

Дополнительная информация​

Для шифрования конфиденциальных данных при передаче по ненадежной сетевой инфраструктуре необходимо использовать одобренное ASD шифрование. Например, данные, отправляемые через ненадежную сеть, такую как Интернет, могут быть защищены с помощью одобренного ASD шифрования, реализованного через виртуальную частную сеть или программное обеспечение удаленного виртуального рабочего стола. Утвержденный ASD Wi-Fi Protected Access 2 (WPA2) может использоваться для защиты данных, которые требуют защиты только при обмене между устройством и точкой доступа Wi-Fi организации.
Раздельное туннелирование необходимо отключить на устройствах, поддерживающих эту функцию, при доступе к системе организации через виртуальную частную сеть.

Удаленное отслеживание, блокировка и очистка​

Удаленное отслеживание помогает восстановить потерянное или украденное устройство.
Удаленная блокировка и очистка помогают защитить данные организации на устройстве, которое было потеряно, украдено или отключено, в том числе, когда сотрудник увольняется.

Дополнительная информация​

Последствия удаления личных данных сотрудника можно уменьшить, обучив сотрудников регулярному резервному копированию личных данных или используя управляемое разделение, чтобы избежать удаления личных данных в первую очередь.
Попытка удаленно отследить, заблокировать или стереть данные с устройства, недоступного по сети, не удастся. Например, функция удаленной очистки обходится, если вор настраивает устройство для режима полета, что можно легко сделать с заблокированного экрана некоторых устройств.
Успешная удаленная очистка устройства дает организации ложное ощущение безопасности, если к данным уже получил доступ или скопировал лицо, которое обнаружило или украло устройство.

Учетные записи корпоративных пользователей с низким уровнем привилегий​

Использование корпоративных учетных записей пользователей с ограниченными правами и ограниченным доступом к конфиденциальным данным помогает предотвратить доступ злоумышленника к конфиденциальным данным с помощью скомпрометированных учетных данных корпоративной учетной записи сотрудников или взломанного устройства.

Дополнительная информация​

Привилегированным учетным записям нельзя разрешать удаленный доступ к системам организации, содержащим конфиденциальные данные.
Предоставьте дополнительную корпоративную учетную запись пользователя с ограниченными привилегиями и ограниченным доступом к конфиденциальным данным сотрудникам, которые:

• иметь административные привилегии
• иметь доступ к значительным объемам конфиденциальных данных организации
• подвержены более высокому риску, например, из-за временного выезда за границу [21] - такие сотрудники могут временно использовать отдельное корпоративное устройство.

Сетевая архитектура контролирует доступ к данным и системам организации​

Контроль доступа к сети помогает реализовать контекстную безопасность, чтобы определить, следует ли разрешить сотруднику, пытающемуся получить доступ к данным организации, на основании:

• состояние безопасности устройства, определенное проверкой соответствия конечной точки, включая степень корпоративного управления устройством
• личность сотрудника и сила аутентификации, используемая для подтверждения его личности
• конфиденциальность данных, к которым осуществляется доступ
• место назначения данных, например, должны ли данные храниться на устройстве или передаваться через корпоративное облачное хранилище корпоративного уровня.
• подключение к сети сотрудника, например, подключается ли устройство сотрудника с использованием сети Wi-Fi организации или внешнего менее надежного сетевого подключения
• географическое положение сотрудника и устройства
• время и день недели.

Устройства, не соответствующие политике безопасности, могут быть помещены в карантин, чтобы иметь ограниченный доступ в Интернет, но не доступ к системам организации.
Устройства, одновременно подключающиеся к сети организации и дополнительной сети через 3G/4G или Wi ‐ Fi, могут соединять две сети, создавая дополнительный интернет-шлюз в сети организации. Средства контроля управления рисками, которые помогают смягчить это, включают:

• использование управления мобильными устройствами для настройки устройств в помещениях организации для принудительной передачи всего трафика устройств на конечную точку виртуальной частной сети организации или для отключения передачи данных 3G / 4G устройства, при этом разрешая телефонные звонки
• организации, устанавливающие индивидуальное имя точки доступа для управления данными, отправляемыми с устройств через 3G / 4G
• принуждение устройств к использованию шлюза организации для подключения к сети организации - это также помогает организации использовать существующие механизмы шлюза для регистрации, аудита и фильтрации вредоносного или иного нежелательного сетевого трафика.

Сетевой поток конфиденциальных данных на устройства можно ограничить с помощью таких механизмов, как решения для управления правами предприятия или предотвращения потери данных, например, для предотвращения загрузки устройством электронной почты с почтового сервера организации, если электронное письмо или вложение содержат определенные ключевые слова, указывающие на конфиденциальные данные.

Механизмы предотвращения эксплойтов операционной системы​

Ограничьте устройства в коротком списке теми устройствами с такими механизмами защиты от эксплойтов операционной системы, как:

• Рандомизация макета адресного пространства [22]
• Предотвращение выполнения данных
• приложения и исправления безопасности, которые криптографически подписаны доверенным центром
• песочница приложений для разделения приложений, ограничения их возможности доступа к данным, хранящимся на устройстве, и ограничения приложений, взаимодействующих с другими приложениями или операционной системой.

Контроль управления рисками с учетом требований пользователя​

Следующие ниже технические средства контроля и средства контроля политик для управления рисками полагаются на сотрудников, соблюдающих политику.

Регулярное резервное копирование рабочих данных​

Получите письменное согласие сотрудников на регулярное резервное копирование рабочих данных, созданных или измененных их устройством, только на резервные серверы, указанные организацией. Это помогает уменьшить потерю работы сотрудника из-за внезапного прекращения работы или повреждения, потери или кражи устройства.

Доступ к электронной почте, файлам и другим данным, имеющим архивное значение​

Получите письменное согласие сотрудников, чтобы гарантировать, что связанные с работой данные, имеющие архивное значение, доступны для организации. Сюда входят сотрудники, использующие свою рабочую учетную запись электронной почты вместо учетной записи веб-почты потребительского уровня и использующие корпоративное хранилище файлов вместо хранения файлов локально или в облачном хранилище потребительского уровня. Это помогает уменьшить:

• несоблюдение законодательства, такого как Закон об архивах 1983 г.
• потеря корпоративных знаний при увольнении сотрудника из организации
• организация не может должным образом проводить расследования в области безопасности или электронное обнаружение судебных дел или запросов о свободе информации.

Избегайте неавторизованных облачных сервисов для резервного копирования, хранения и обмена данными​

Получите письменное согласие сотрудников, чтобы избежать раскрытия конфиденциальных данных облачным службам потребительского уровня, используемым для веб-почты, резервного копирования, хранения данных или совместного использования данных.

Дополнительная информация​

Некоторые облачные хранилища потребительского уровня и службы обмена автоматически синхронизируются между устройствами сотрудников, потенциально копируя конфиденциальные данные на устройство, которое не было одобрено для обработки таких данных.
Чтобы упростить авторизованный обмен данными между устройствами, организации может потребоваться организовать доступ сотрудников к корпоративно управляемому и удаленно доступному хранилищу файлов и возможности совместного использования, размещенному внутри компании или у доверенной третьей стороны [23].

Параметры конфигурации надежной парольной фразы​

Получите письменное согласие сотрудников на использование надежных парольных фраз и соответствующих параметров конфигурации.
Получите письменное согласие сотрудников, чтобы они не настраивали операционную систему или приложения своего устройства для запоминания учетных данных для аутентификации, таких как корпоративные парольные фразы, используемые для доступа к системам организации.

Дополнительная информация​

Рекомендуемые параметры конфигурации устройства, основанные на конфиденциальности данных, к которым осуществляется доступ или которые хранятся, предоставляются ISM, руководствами пользователей устройств и руководствами по усилению защиты устройств, такими как Руководство по настройке защиты iOS.

Отчетность и расследование инцидентов кибербезопасности​

Получите письменное согласие сотрудников немедленно сообщать об инцидентах кибербезопасности и сотрудничать с отделом безопасности и судебными расследованиями, включая предоставление организации доступа к их устройству для судебно-медицинской экспертизы.

Дополнительная информация​

Сотрудники должны быть направлены на то, чтобы как можно скорее сообщать организации о происшествиях в области кибербезопасности.
Инциденты кибербезопасности, требующие сообщения, включают устройство, которое подозревается в заражении вредоносным ПО или иным образом скомпрометировано, а также в случае потери или кражи устройства. Дополнительные действия, которые не обязательно считаются инцидентами кибербезопасности, о которых сотрудник должен сообщать организации, включают отключение устройства для продажи или передачи члену семьи, или если сотрудник прекращает работу.
Группе кибербезопасности организации требуются планы и процедуры для реагирования на инциденты кибербезопасности, например отключение и мониторинг учетных записей сотрудников организации, включая виртуальную частную сеть и учетные записи удаленного доступа, а также удаленное отслеживание устройства и стирание данных организации, если это необходимо.
Организации, разрешающие использование личных устройств, принимают на себя остаточные риски, связанные с их использованием, такие как любые потенциальные инциденты кибербезопасности или последствия судебных разбирательств, в том числе электронное обнаружение для судебных дел и запросы о свободе информации. Поэтому организациям необходимо обеспечить наличие средств управления рисками для предотвращения инцидентов кибербезопасности и юридических расследований и реагирования на них. Организации не должны предполагать, что Австралийский центр кибербезопасности (ACSC) ASD имеет законные полномочия и ресурсы для оказания помощи в реагировании на инциденты или в судебно-медицинской экспертизе с использованием личных устройств.
Служба безопасности или юридическое расследование может потребовать от сотрудника временно сдать свое устройство, в чем сотрудник может отказаться, если это не требуется по закону, например, из-за наличия у правоохранительных органов доказательств преступления, требующих изъятия устройства. Организации, выполняющие соответствующие журналы и регулярное резервное копирование электронных писем и файлов, связанных с работой, помогают в электронном обнаружении или других расследованиях с участием сотрудников, которые отказываются сотрудничать или покинули организацию.

Избегайте взлома и рутирования​

Получите письменное согласие сотрудника на избежание взлома или рутирования своего устройства для обхода защитных мер безопасности, реализованных поставщиком устройства, что может привести к тому, что устройство станет неуправляемым для организации и легко взломано.

Обучение сотрудников, позволяющее избежать физического подключения к ненадежным розеткам или устройствам​

Обучайте сотрудников избегать подключения их устройства к потенциально опасной зарядной розетке [25] или ненадежному устройству.

Обучение сотрудников по вопросам Bluetooth, связи ближнего радиуса действия и кодов быстрого реагирования​

Обучайте сотрудников избегать:

• сопряжение с непреднамеренным или небезопасным устройством Bluetooth
• обмен данными с ненадежным устройством связи ближнего поля (NFC) [26]
• сканирование меток NFC [27] или кодов быстрого ответа (QR) [28], которые не заслуживают доверия и потенциально опасны.

Дополнительная информация​

Устройства, хранящие конфиденциальные данные или получающие доступ к ним:

• должен быть настроен таким образом, чтобы его нельзя было обнаружить для всех других устройств Bluetooth, кроме процесса сопряжения
• должен подключаться только к предполагаемому устройству Bluetooth во время сопряжения
• необходимо настроить так, чтобы избежать поддержки нескольких одновременных подключений гарнитуры Bluetooth
• должен использовать Bluetooth версии 2.1 или более поздней из-за введения безопасного простого сопряжения и расширенного ответа на запрос, который облегчает безопасное сопряжение с желаемым устройством - версию Bluetooth устройства можно определить, прочитав спецификации продукта или используя программу Linux btscanner.

Обучение сотрудников предотвращению установки потенциально вредоносных приложений​

Обучайте сотрудников, использующих устройства с официальной торговой площадкой приложений:

• Устанавливайте приложения только из магазина корпоративных приложений организации или из официальных торговых площадок приложений, таких как Apple App Store, Google Play Store или Microsoft Windows Store
• перед установкой или обновлением приложения определите риск раскрытия конфиденциальных данных, прочитав рейтинги пользователей, отзывы пользователей и запрошенные разрешения приложения, чтобы убедиться, что они соответствуют заявленным функциям приложения [29] [30] - отмечая, что такой анализ не гарантированно избежать вредоносных программ [31].

Обучайте сотрудников, использующих устройства, на которых нет официальной торговой площадки, для получения программного обеспечения с официальных веб-сайтов основных поставщиков.

Обучение сотрудников, чтобы не стать жертвами серфинга через плечо​

Обучайте сотрудников тому, чтобы конфиденциальные данные на экране их устройства не могли видеть:

• люди без надлежащего допуска к секретам и должны знать [32]
• камеры наблюдения [33] [34]
• представители общественности
• кто-либо, включая членов семьи, которым не разрешено просматривать конфиденциальные данные.

Дополнительная информация​

Использование фильтра конфиденциальности на экране устройства может негативно повлиять на сенсорную функцию устройства.

Обучение сотрудников, чтобы избежать распространенных векторов вторжений​

Обучайте сотрудников избегать:

• делиться своим устройством с неавторизованными людьми, которые могут получить доступ и раскрыть конфиденциальные данные
• отправка или получение незашифрованных конфиденциальных данных с помощью ненадежной точки доступа Wi-Fi, такой как общедоступная точка доступа Wi-Fi или любая точка доступа Wi-Fi, которая не принадлежит организации
• оставлять свое устройство в небезопасных местах, таких как оставленная без присмотра машина, зарегистрированный багаж в самолете или сейф отеля, особенно в другой стране
• взаимодействие с электронными письмами и SMS-сообщениями из подозрительных или незнакомых источников, например, нажатие на гиперссылки или вложения электронной почты
• выбор слабых парольных фраз
• повторное использование одной и той же парольной фразы для нескольких систем
• без надобности раскрывать свой рабочий адрес электронной почты и личные данные на общедоступных веб-сайтах.

Дополнительная информация​

Весь персонал, имеющий доступ к организационной системе, должен иметь достаточные знания и подготовку в области кибербезопасности, включая осведомленность об угрозах социальной инженерии.

Патчи безопасности​

Получите письменное согласие сотрудников на применение всех исправлений безопасности для операционной системы и приложений, как только они появятся у поставщиков.

Дополнительная информация​

На мобильные устройства, которым разрешен доступ к конфиденциальным данным, следует устанавливать исправления безопасности, как только они становятся доступными.
Исторически сложилось так, что Apple предоставляла устройствам iOS исправления безопасности в течение как минимум двух лет с момента доступности устройства, что позволяет сотрудникам использовать устройства, поддерживаемые исправлениями безопасности, в течение срока действия их контракта с оператором связи.
Сравнительно просто применить исправления безопасности к некоторым устройствам Android, которые не имеют сторонних дополнений или изменений в базовом коде Android. Однако применение исправлений безопасности к другим устройствам Android может быть сложной задачей из-за сотрудничества, необходимого со стороны поставщика устройства и оператора связи для настройки, тестирования и распространения исправлений безопасности. Некоторые поставщики и операторы связи могут сосредоточить свои усилия на разработке и продаже новых устройств, а не на поддержании безопасности текущего устройства сотрудника, даже если сотрудник вынужден продолжать использовать свое текущее устройство из-за контракта с оператором связи [35]. Некоторые устройства сразу становятся сиротами и никогда не получают исправлений безопасности [36]. В дополнение к уязвимостям безопасности в базовом коде Android, некоторые уязвимости безопасности вносятся производителями устройств [37] [38] [39].
Некоторые более дешевые устройства Android имеют минимальные аппаратные характеристики, необходимые для запуска версии операционной системы, поставляемой с устройством, и могут не подходить для работы с более новыми основными версиями операционной системы, требующими дополнительной памяти или вычислительной мощности. Устранение уязвимостей безопасности в операционной системе, работающей на таких устройствах, может быть сложной задачей, если исправления безопасности доступны только в более новых основных версиях операционной системы и не переносятся на текущую и предыдущие версии операционной системы.

Пример использования В 2012 году сотрудник ASD приобрел новый Android-смартфон. Впоследствии сотрудник обнаружил, что в день продажи смартфона он содержал уязвимость системы безопасности, о которой на тот момент было известно уже более семи месяцев. Производитель смартфона и оператор связи сотрудника не предоставили исправление безопасности. Чтобы продемонстрировать целевое вторжение, смартфон был намеренно взломан с использованием этой уязвимости в системе безопасности. Компромисс позволил незаметно включить микрофон для записи ближайших аудиопереговоров и передачи этих записей злоумышленнику через Интернет. Эта демонстрация высветила некоторые последствия разрешения организаций использовать устройства с общеизвестными уязвимостями безопасности, которые сотрудник не может исправить. В этом случае, спустя более 18 месяцев после публичного раскрытия уязвимости в системе безопасности, исправление безопасности все еще не было доступно через поставщика и оператора связи.

Право собственности на интеллектуальную собственность и авторские права​

Получите письменное согласие сотрудника с тем, что организация сохраняет за собой право собственности на интеллектуальную собственность и авторские права на работу, выполненную по официально назначенной задаче, за выполнение которой сотруднику платят, независимо от того, выполняет ли сотрудник работу на своем устройстве или в нерабочее время.

Шифрование данных в состоянии покоя​

Получите письменное согласие сотрудника на использование полного шифрования устройства, чтобы предотвратить доступ к данным организации злоумышленником, имеющим физический доступ к утерянному или украденному устройству.

Дополнительная информация​

Устройства без одобренного ASD шифрования не должны хранить конфиденциальные данные. Кроме того, для шифрования внутренней памяти устройства и любых съемных носителей следует использовать одобренное ASD шифрование.
Полное шифрование устройства не ограничивает, какие приложения могут получать доступ или распространять организационные данные, хранящиеся на устройстве. Следовательно, его эффективность зависит от использования дополнительных дополнительных средств управления рисками.
Шифрование должно быть активным, когда устройство не используется. В зависимости от типа устройства эффективность шифрования внутренней памяти устройства может снизиться, если устройство потеряно или украдено, когда оно находится в спящем режиме, включено и экран заблокирован.
Использование программного шифрования может негативно повлиять на пользовательский опыт сотрудника.
В iPad и iPhone от Apple используется аппаратное криптографическое ускорение для защиты данных.
Android версии 3 Honeycomb представил полное шифрование устройства [40], хотя в зависимости от производителя устройства может потребоваться стороннее программное обеспечение для шифрования съемных носителей [41].

Избегайте печати через ненадежные системы​

Получите письменное согласие сотрудников, чтобы избежать печати конфиденциальных данных через ненадежные принтеры за пределами офиса, например из дома, в салоне самолета, в отеле или интернет-кафе. В противном случае конфиденциальные данные могут быть открыты третьим лицам из-за того, что принтеры или серверы печати хранят кэшированные копии распечаток, или распечатки могут быть случайно оставлены на принтере.

Персональный брандмауэр​

Получите письменное согласие сотрудников на использование персонального брандмауэра, чтобы ограничить доступ к сетевым службам и контролировать, какие приложения могут получить доступ к сети.

Дополнительная информация​

Этот контроль управления рисками не применим к некоторым устройствам, например устройствам под управлением iOS, которые не предоставляют функциональные возможности персонального брандмауэра и избегают использования сетевых служб. Некоторые устройства, например устройства под управлением Android, используют встроенный механизм разрешений для приложений, чтобы контролировать, какие приложения могут получить доступ к сети.

Приложение D. Утвержденные и управляемые корпоративными устройствами устройства для особо конфиденциальных данных​

В этом приложении содержится руководство по управлению рисками, связанными со сценарием D. Этот сценарий включает устройства с аппаратной моделью и версией операционной системы, которые:

• выбирается сотрудником из утвержденного компанией шорт-листа
• применяет комплексный контроль управления рисками
• полностью корпоративное управление, например, с использованием профилей конфигурации Apple в сочетании с контролируемым режимом
• потенциально включает корпоративно управляемое разделение организационных данных и личных данных, например, с использованием программного обеспечения для удаленного виртуального рабочего стола, управляемого контейнера или функции разделения, встроенной в операционную систему.
• использует корпоративно управляемый механизм для доступа и потенциально хранения конфиденциальных данных, например, с помощью программного обеспечения для удаленного виртуального рабочего стола или одобренных корпорацией собственных приложений в сочетании с виртуальной частной сетью.

Для субъектов Содружества высокочувствительные данные определены для целей этого документа как данные, помеченные как ЗАЩИЩЕННЫЕ.
Комплексные средства управления рисками могут ограничить функциональность устройства до такой степени, что это может чрезмерно расстроить сотрудника, использующего личное устройство. Следовательно, устройства в этом сценарии могут быть предоставлены сотрудникам организацией с допустимой степенью личного использования. Устройства в коротком списке могут быть ограничены смартфонами и планшетами, которые являются частью экосистемы одного поставщика из-за необходимой совместимости с элементами управления рисками. Организации могут сохранять право собственности на устройства по юридическим причинам, которые упрощают мониторинг устройств организации, удаленное стирание конфиденциальных данных, выполнение расследований в области безопасности и законодательства, а также сохранение права собственности на интеллектуальную собственность.
Это приложение основано на задачах высокого уровня и средствах управления рисками, обсуждаемых в Приложении C, которое охватывает устройства из утвержденного корпорацией короткого списка, использующих корпоративно управляемый механизм для доступа и потенциально хранения конфиденциальных данных. Элементы управления рисками в Приложении C, которые организация считает ненужными для защиты конфиденциальных данных, вероятно, будут необходимы для защиты высокочувствительных данных. Цели высокого уровня, связанные с примером сценария в Приложении D, также включают сохранение конфиденциальности высокочувствительных данных.

Корпоративный контроль управления рисками​

Организация может управлять рисками, применяя следующие технические средства контроля.

Выбор устройства​

Ограничьте устройства в корпоративно утвержденном коротком списке теми устройствами, которые оцениваются ASD и настроены в соответствии с руководствами потребителей ACSC и руководствами по усилению защиты устройств. Отдайте предпочтение устройствам, имеющим рынок приложений с хорошей историей курирования, чтобы исключить вредоносное ПО, например, путем анализа приложений на подозрительное поведение, требуя, чтобы приложения были криптографически подписаны доверенным центром вместо самозаверяющего сертификата, и выполняя адекватную проверку личность разработчиков приложений.

Управление мобильными приложениями и магазины корпоративных приложений​

Управление мобильными приложениями позволяет организации проводить инвентаризацию, установку, обновление и удаление приложений и связанных данных на устройствах.
Использование корпоративного магазина приложений позволяет организации распространять и управлять приложениями, разработанными организацией, а также оценивать сторонние приложения, чтобы определить их потенциал для раскрытия высокочувствительных данных.

Дополнительная информация​

Следует запретить сотрудникам устанавливать неутвержденные приложения, которые могут получить доступ к очень конфиденциальным данным.
Использование управления мобильными приложениями и хранилищ корпоративных приложений - более надежный подход к предотвращению использования приложений, которые могут раскрывать высокочувствительные данные, чем простое использование антивирусного программного обеспечения и сотрудников для чтения отзывов и оценок пользователей перед установкой или обновлением приложений. Разрешение только утвержденных приложений и обновленных версий этих приложений или, что менее предпочтительно, попытка идентифицировать и заблокировать каждое вредоносное или нежелательное приложение, помогает снизить риск устройств, на которых выполняются приложения, которые:

• потенциально вредоносны, нежелательны или не одобрены организацией
• потенциально могут раскрыть высокочувствительные данные, в том числе рекламное ПО и потенциально нежелательные приложения, которые собирают данные с устройств в рамках модели дохода приложения.
• иметь нежелательное взаимодействие с другими приложениями, например, с помощью функции «Открыть в ...», чтобы открыть высокочувствительное вложение электронной почты в приложении облачного хранилища потребительского уровня.

Некоторые поставщики реализации управления мобильными приложениями также включают функциональные возможности для эффективного размещения приложения в собственном управляемом контейнере путем обертывания его политикой безопасности. Такие политики безопасности включают:

• требование ввода парольной фразы перед запуском приложения
• принудительное шифрование хранимых данных приложения
• требуется подключение к виртуальной частной сети для шифрования данных приложения при передаче
• ограничение возможности приложения копировать и вставлять данные.

Управление мобильными приложениями может быть не в состоянии блокировать мощные веб-приложения, написанные на HTML5 и запускаемые в веб-браузере.