Мобильные устройства и информационная безопасность —...
Post on 09-Aug-2015
71 views
TRANSCRIPT
МОБИЛЬНЫЕ УСТРОЙСТВА И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ — КЛЮЧЕВЫЕ РИСКИ И СПОСОБЫ ИХ МИНИМИЗАЦИИ
Александр Пакилев, ТЕХНИЧЕСКИЙ МЕНЕДЖЕР НАПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ КРОК
МОБИЛЬНЫЕ УСТРОЙСТВА ДЛЯ БИЗНЕСА
телефон
факс
телеконференция
Голосовая почта
Планировщик задач
Адресная книга
Доступ к Интернет, публичным и корпоративным сервисам
РИСКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Что имеем – не храним,
Потерявши – плачем.
• Связанные с данными мобильного устройства • Контакты, переписка, документы
• Связанные с финансовыми потерями • Навязывание платных сервисов,
мошенничество
• Связанные с предоставлением информационных сервисов
• E-mail, CRM, BI
ИСТОЧНИКИ УГРОЗ Источник угрозы Причины
Владелец МУ Неосведомленность, халатность
Злоумышленник Хулиганство, коммерческая мотивация
Техногенный фактор Ошибки ПО, сбои в работе аппаратной части
Законодательство, отраслевые стандарты
Изменения в законодательстве, отсутствие технических возможностей МУ
РИСКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ • Проникновение вредоносного кода • Утеря хранимой информации на МУ • Утечка конфиденциальной информации • Риски, связанные с предоставлением
информационных сервисов через сеть Интернет • Риски нарушения законодательства, применяемых
политик безопасности • Мошенничество
РИСКИ ИБ - ПОТЕРЯ ДАННЫХ
• Поломка телефона • Утеря телефона • Ошибки ПО и вредоносный код
Способ защиты: – резервное копирование – централизованное хранение данных
РИСКИ ИБ – ПОТЕРЯ ДАННЫХ
Для корпоративного сектора Для персонального использования
Централизованное хранение данных
РИСКИ ИБ - ВРЕДОНОСНЫЙ КОД
• Потеря данных • Утечка конфиденциальной информации • Навязывание платных услуг Способы защиты: – антивирусные решения
Troj/SymbSms-A
Net-Worm.IphoneOS.Ike
Trojan-SMS.AndroidOS.FakePlayer
Trojan-PSW.J2ME.Vkonpass.a
РИСКИ ИБ - УТЕЧКА КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
• Кража телефона/карты памяти • Вредоносный код Способы борьбы: – шифрование данных – использование PIN-кода, дополнительной
аутентификации – удаленное стирание/блокирование данных – управление приложениями, контроль каналов передачи
данных – системы класса MDM – антивирусные решения
• Перехват сетевого трафика • Попытки НСД к сетевым сервисам Способы борьбы: – аутентификация и разграничение доступа – шифрование канала передачи данных (SSL, IPSec) – применение FW, IDS/IPS, решений SSL VPN и пр. – терминальные решения, VDI – контроль политики безопасности на конечных
устройствах
РИСКИ ИБ – УГРОЗЫ ПРИ ДОСТУПЕ К ИНФОРМАЦИОННЫМ СЕРВИСАМ
Аутентификация на Мобильных устройствах • По имени учетной записи и паролю • По сертификату • По OTP • По SMS-OTP
РИСКИ ИБ – УГРОЗЫ ПРИ ДОСТУПЕ К ИНФОРМАЦИОННЫМ СЕРВИСАМ
Решения класса SSL VPN • Аутентификация и разграничение доступа • Защита канала передачи данных • Журналирование действий пользователей • Защита прикладных систем • Инспекция мобильного устройства при подключении
РИСКИ ИБ – УГРОЗЫ ПРИ ДОСТУПЕ К ИНФОРМАЦИОННЫМ СЕРВИСАМ
- Финансовые и репутационные потери - Административная и уголовная ответственность Способы защиты: – организационные мероприятия – программы повышения осведомленности
РИСКИ ИБ – НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА, ПОЛИТИК ИБ
– Прямые и косвенные финансовые и репутационные потери – Утечка конфиденциальной информации Способы защиты: – организационные мероприятия – программы повышения осведомленности
РИСКИ ИБ – МОШЕННИЧЕСТВО
ОСОБЕННОСТИ ЗАЩИТЫ МОБИЛЬНЫХ УСТРОЙСТВ • Мобильные устройства – устройства для личного
использования • «Зоопарк» устройств и возможностей • Находятся за периметром безопасности организации
ПРИНЦИПЫ ОРГАНИЗАЦИИ ЗАЩИТЫ
• Унификация корпоративных устройств • Комплексный подход • Выбор решений на основе анализа рисков • Применение решений класса MDM, SSL VPN,
централизованнного хранения данных • Применение организационных мер и программ
повышения осведомленности
СПАСИБО ЗА ВНИМАНИЕ! ВАШИ ВОПРОСЫ?
Александр Пакилев, ТЕХНИЧЕСКИЙ МЕНЕДЖЕР НАПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ КРОК