Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 5)

Опубликовано: 7 Апреля, 2023

  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 2)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 3)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 4)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 6)

Введение

В первой части этой серии статей, посвященной вопросам планирования безопасности BYOD и консьюмеризации ИТ, мы рассмотрели проблемную область «Принеси свое собственное устройство» (BYOD) и обсудили ключевые аспекты планирования и проектирования. Мы завершили статью рассмотрением структуры структуры планирования, которую вы можете использовать для принятия решений по планированию. Во второй части мы обсудили ряд требований к решениям, применимым ко всем безопасным развертываниям BYOD. Это включает в себя технические возможности, которые требуются во всех решениях BYOD. В части 3 мы продолжили рассмотрение требований BYOD, а также их истории и намерений. В части 4 высказаны некоторые мысли о необходимости поддержки современных механизмов аутентификации в вашей стратегии BYOD.

Жизнь в регулируемом мире

На заре ИТ мы работали в основном в «беззаконной» среде. В отличие от других областей, таких как медицина, юриспруденция и даже парикмахерское дело, не было много правил относительно того, как должны быть установлены и работать компьютерные сети. Компании могли свободно разрабатывать свои собственные политики и устанавливать для себя собственные стандарты, решать, насколько сильно или насколько слабо обеспечивать безопасность, как обращаться с личной информацией клиентов и так далее.

Тогда жизнь была проще, но те времена ушли навсегда. Сегодня соблюдение нормативных требований может быть проклятием существования ИТ-администратора, но это также очень большой бизнес. Большое количество рабочих мест обязано своим существованием постоянно растущему числу государственных и отраслевых правил и положений, которым должны подчиняться предприятия. Невыполнение этого требования означает риск лишения привилегий, штрафов или даже уголовных обвинений.

В самих регулирующих органах работают тысячи людей, которым поручено обеспечивать соблюдение часто неясных, постоянно меняющихся и сложных для понимания требований, налагаемых законом или административным указом. Затем, по другую сторону забора, компании, на которые распространяются эти правила, нанимают тысячи людей, чтобы гарантировать, что они не будут уничтожены «силовиками». На самом деле, согласно статье Wall Street Journal, опубликованной в начале этого года, специалист по комплаенсу — это одна из категорий вакансий, которая процветает даже на не очень хорошем рынке труда.

Почему мы должны соблюдать

Было неизбежно, что ИТ в конечном итоге попадет в компетенцию внешних властей, как это произошло со многими другими профессиями. В американских колониях 1600-х годов деятельность врачей практически не регулировалась, но к середине 1700-1800-х годов были созданы медицинские общества для установления стандартов и правил, что в конечном итоге привело к обязательным требованиям к обучению и государственному лицензированию. Вполне вероятно, что в какой-то момент в будущем вам не разрешат «практиковать» в качестве ИТ-специалиста без прохождения аналогичного минимального образования и подготовки, и ИТ-специалистам, возможно, в конечном итоге придется сдавать государственные экзамены и получать лицензию, прежде чем они смогут получить работа в поле.

Отчасти это связано с общей тенденцией все большего и большего государственного контроля над всеми аспектами бизнеса и частной жизни, но это было усугублено событиями 11 сентября 2001 г., которые положили начало большому скачку в осведомленности о безопасности и сосредоточили внимание на многих методах. которые могут атаковать террористы, с угрозой кибертерроризма. После этого среди простых граждан нарастала негативная реакция, которые чувствовали, что их личная жизнь разрушается.

Таким образом, законы были приняты в попытке решить обе эти проблемы. Двумя большими целями этих правил являются:

  • Повышение безопасности для предотвращения атак, которые могут поставить под угрозу основные услуги и инфраструктуру, от которых зависят люди, например, атаки на финансовые и банковские системы, которые могут нанести ущерб фондовому рынку и денежной системе, или атаки на системы, управляющие услугами здравоохранения, которые могут вызвать панику. и вызвать смерть, подделав медицинскую информацию и приказы.
  • Повышение безопасности для защиты конфиденциальности личной информации клиентов (клиентов, пациентов), включая контактную информацию, идентификационную информацию, раскрытие которой может привести к краже личных данных, банковскую/кредитную карту и другую финансовую информацию, историю болезни и информацию.

Если учесть, какое глубокое влияние конфигурация компьютерной сети может оказать на жизнь людей, то начинает казаться удивительным, что эта сфера регулируется не более строго, чем она. Однако это слабое утешение для тех, кто должен ориентироваться в лабиринте правил, чтобы не только обеспечить соответствие, но и должным образом задокументировать доказательство этого соответствия в случае аудита.

Навигация по лабиринту соответствия

Это не столько требования к безопасности, сколько мелочи этих требований, которые затрудняют соблюдение. Нормативные законы, как и большинство законодательных актов, как правило, являются продуктом компромисса, переговоров, поправок и дополнений, которые могут превратить конечный результат в разрозненный конгломерат юридического языка, который почти невозможно интерпретировать неюристу (а иногда он довольно непонятен даже тем, кто имеет юридическое образование). подготовка). Это одна из причин, по которой компании нанимают специалистов, которые специально обучены и могут заниматься исключительно вопросами комплаенс.

В зависимости от основной отрасли вашей компании она может соответствовать одному или нескольким из следующих требований в США:

  • PCI DSS — Индустрия платежных карт — Стандарты безопасности данных: Организации, которые хранят, передают или обрабатывают данные кредитных карт.
  • FISMA — Федеральный закон об управлении информационной безопасностью: государственные учреждения, подрядчики и компании, которые взаимодействуют с государственными учреждениями и обмениваются информацией с государственными системами.
  • SOX – Закон Сарбейнса-Оксли: публичные компании и аудиторские фирмы.
  • HIPAA — Закон о переносимости и подотчетности медицинского страхования: организации, которые хранят или обмениваются медицинской информацией о пациентах.
  • GLBA — Закон Грэмма-Лича-Блайли: финансовые учреждения и компании, предоставляющие финансовые услуги.

В Европейском союзе и других странах за пределами США действуют аналогичные законы о защите электронных данных и конфиденциальности, например Директива ЕС о защите данных 95/46/EC.

ISO 27001 – ISMS (Система управления информационной безопасностью): это международный стандарт, установленный Международной организацией по стандартизации, который является основой для добровольного соблюдения организациями по всему миру.

Добавление BYOD в микс

Обеспечение соответствия требует контроля, и проблема с добавлением BYOD заключается в том, что по самой своей природе он устраняет часть контроля, который ИТ-отдел традиционно осуществлял над пользовательскими устройствами и программным обеспечением. Если ваша компания работает в регулируемой отрасли, а таких все больше и больше, соответствие требованиям должно быть неотъемлемой частью вашей политики BYOD, а не просто второстепенной задачей.

Первые шаги к интеграции соблюдения нормативных требований в политики BYOD включают следующее:

  • Определите, какие данные, которые создаются/хранятся вашей организацией, подпадают под действие нормативных требований.
  • Определите, под какое законодательство/нормативные акты подпадают эти данные.
  • Определите, перед какими государственными учреждениями или отраслевыми органами стоит задача обеспечения соблюдения нормативных требований.
  • Определите, к каким регулируемым данным необходимо получить доступ через, передать или сохранить на устройствах, принадлежащих сотрудникам.
  • Определите, каким сотрудникам необходимо получать доступ, передавать или хранить регулируемые данные на своих устройствах.
  • Рассмотрите возможность использования матрицы требований соответствия в качестве инструмента перекрестных ссылок для проверки соблюдения соответствующих правил, который можно использовать для документального подтверждения соответствия в случае аудита.

Дополнительную информацию о построении матрицы требований соответствия можно найти здесь.

Обеспечение соответствия BYOD

Компаниям в регулируемых отраслях следует рассмотреть возможность добавления некоторых или всех следующих положений в свои политики BYOD:

  • Запретить хранение любой личной информации, относящейся к покупателям, клиентам, пациентам и т. д., на устройствах, принадлежащих отдельным сотрудникам.
  • Запретите определенные приложения, которые используются для общедоступного хранения и передачи файлов, такие как Dropbox, OneDrive, Google Диск и т. д. Убедитесь, что регулируемые данные не могут быть переданы из защищенного приложения в незащищенное.
  • Ограничьте доступ к личной информации о клиенте, клиенте или пациенте с помощью устройств BYOD.
  • Используйте контейнеры (защищенные рабочие области), чтобы изолировать регулируемые данные на устройствах BYOD от личных данных и приложений сотрудников. Виртуализацию можно использовать для изоляции рабочих и личных рабочих мест. Виртуальные частные сети (VPN) можно использовать для безопасного подключения к регулируемым ресурсам данных в корпоративной сети с устройств, принадлежащих сотрудникам.
  • Требовать, чтобы любая личная информация заказчиков, клиентов или пациентов, доступ к которой осуществляется через устройства BYOD, осуществлялась только через безопасное зашифрованное соединение.
  • Создайте черный и/или белый список веб-сайтов и приложений, чтобы снизить риск компрометации устройств BYOD.
  • Контролируйте целостность устройства, включая конфигурацию и защиту от вредоносных программ.
  • Отслеживайте и регистрируйте доступ к регулируемым данным, отслеживайте и контролируйте сведения о доступе, включая пользователя, устройство, время/дату, местоположение и конкретные файлы, к которым осуществляется доступ.
  • Создавайте отчеты о соответствии для всех устройств BYOD.

Резюме

Соответствие нормативным требованиям уже является сложной темой, и BYOD усложняет ее, но, встраивая соответствие в свои политики BYOD с самого начала, вы можете поддерживать соответствие, при этом предоставляя сотрудникам и компании все преимущества BYOD.

В следующий раз, в части 6, мы подробнее поговорим о том, как вы можете включить надежные возможности отчетности для вашей среды BYOD, которые можно использовать для демонстрации соответствия требованиям.

  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 2)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 3)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 4)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 6)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023