MDM и BYOD – смешать, но не взбалтывать

Являющаяся на сегодняшний момент одной из флагманских тем ИТ-рынка, мобильная безопасность, сразу атакует неискушенных клиентов массой англоязычных терминов. Это не случайно, т.к. российский рынок, увы, в этой теме занимает роль догоняющих. Догонять приходится Европу и США, в которых аббревиатуры BYOD и MDM уже ни у кого не вызывают вопросов.

И тем не менее, в данном материале, мы постараемся не просто раскрыть эти термины, но и понять их взаимосвязь: являются ли скрывающиеся за ними понятия взаимодополняющими или взаимоисключающими.

Итак, представим участников:

BYOD (Bring-Your-Own-Device) – «Принеси свое собственное устройство». Данная концепция отвечает на вопрос «что делать с личными мобильными устройствами сотрудников при их использовании в корпоративной ИТ-среде».

MDM (Mobile Device Management) – «Управление мобильными устройствами». Использование решений класса MDM позволяет осуществить управление и контроль над различными типами мобильных устройств.

Уже исходя из этих кратких определений, можно понять, что сферы применения BYOD и MDM во многом пересекаются, и областью их пересечения являются мобильные устройства и обеспечение их безопасности. В аббревиатуре BYOD нет буквы M (иначе было бы BYOMD – Bring-Your-Own-Mobile-Device, «Принеси свое собственное мобильное устройство»), хотя де-факто при упоминании BYOD речь всегда идет о смартфонах, планшетах и ноутбуках. Ноутбуки не принято относить к мобильным устройствам, так что буква M не прижилась. В то же время MDM, как технология, ориентирована на управление именно мобильными устройствами. Хотя в 2012 году некоторые производители MDM-решений стали включать в свои продукты политики безопасности и элементы контроля рабочих станций, в первую очередь ноутбуков. Пересекающуюся сферу применения BYOD и MDM представлена на рисунке.

В контексте применимости к личным и корпоративным устройствам можно резюмировать так: MDM – это управление всеми мобильными устройствами, технология BYOD – ориентирована на специфику управления устройствами сотрудников в корпоративной среде. В обоих случаях остро стоит вопрос безопасного применения мобильных устройств при работе с корпоративными данными.

Функционально, понятия BYOD и MDM также очень тесно связаны.

Лучшие практики внедрения BYOD и построения MDM вкачают в себя во многом схожие принципы, в целом укладывающие в так называемый цикл Деминга PDCA (Planing-Do-Contlol-Act, планирование-действие-проверка-корректировка).

В составе фаз планирования и реализации входят задачи, относящиеся как к обоим технологиям, так и более свойственные только BYOD. Представленный рисунок позволяет понять, что BYOD ближе к тактическому и в некоторых аспектах стратегическому уровню управления ИТ и ИБ, тогда как MDM предполагает прикладную техническую реализацию, и находится скорее на операционном уровне.

Ниже для сравнения представлены сценарии внедрения BYOD и MDM.

Сценарий внедрения BYOD:

1. Планирование (проектирование)
   
   1. Определение стратегии BYOD
   2. Разработка корпоративной политики
   3. Инвентаризация, анализ потребностей пользователей в части использования устройств и информационных ресурсов
   4. Моделирование угроз информационной безопасности
   5. Разработка регламента управления рисками
   6. Разработка регламента реагирования на инциденты безопасности
   7. Разработка нормативных документов, разграничивающих сферу ответственности сотрудников и организации при использовании персональных устройств
   8. Разработка политики работы с подрядными организациями
   9. Разработка стандарта по применению личных устройств в корпоративной среде
2. Внедрение (интеграция)
   
   1. Внедрение централизованных механизмов управления персональными устройствами сотрудников
   2. Интеграция централизованной системы управления с действующими инфраструктурными и прикладными системами и средствами защиты
   3. Реализация соглашения об уровне обслуживания (SLA) при использовании персональных устройств сотрудников
   4. Обучение персонала
3. Контроль (периодический аудит, оценка соответствия)
   
   1. Анализ соответствия действующих организационных и технических мер требованиям безопасности
   2. Проверка знаний персонала
4. Сопровождение, модернизация
   
   1. Работа службы технического сопровождения
   2. Масштабирование системы при расширении объекта защиты (внедрение новых типов устройств, изменении состава корпоративных информационных ресурсов и пр.)

Сценарий внедрения MDM:

1. Инициализация
   
   1. Инвентаризация, анализ потребностей пользователей в части использования устройств и информационных ресурсов
   2. Классификация информационных ресурсов
   3. Определение информационных рисков и моделирование угроз
2. Разработка
   
   1. Разработка политики и стандарта применения мобильных устройств
   2. Разработка соглашения с сотрудниками
   3. Составление соглашения об уровне обслуживания
   4. Разработка регламентов защиты и управления мобильными устройствами:
      1. Регламент безопасного подключения мобильных устройств
      2. Регламент обмена и хранения данных
      3. Регламент аутентификации пользователей и устройств
      4. Регламент управления приложениями
      5. Регламент использования системы управления мобильными устройствами
3. Внедрение
   
   1. Настройка базовых компонент управления
   2. Подключение тестовой группы парка мобильных устройств и пользователей
   3. Опытная эксплуатация механизмов управления
   4. Масштабирование системы
4. Сопровождение
   
   1. Реализация сервиса сопровождения мобильных устройств
   2. Контроль использования мобильных приложений
   3. Контроль применения и соблюдения корпоративных политик для мобильных устройств
   4. Анализ контента и трафика, генерируемого мобильными приложениями
   5. Мониторинг деятельности пользователей
   6. Централизованное управление идентификационными данными
5. Вывод устройств из обращения
   
   1. Разработка и выполнение правил утилизации мобильного устройства
   2. Реализация регламента действий в случае кражи или потери мобильного устройства

Для того, чтобы внедряемая система обеспечения безопасности была эффективной и не стоила дороже, чем сами защищаемые ресурсы, необходимо четко понимать от каких новых угроз информационной безопасности придется защищаться при внедрении BYOD и MDM. В перечне актуальных угроз для данных технологий также прослеживается много параллелей, которые отражены в следующей таблице. Оговоримся, что уровень угрозы в данной таблице представлен для технологии в целом на основании экспертной оценки. Моделирование угроз производится непосредственно при внедрении BYOD и MDM и строится на основе специфики объекта защиты.

Из представленного материала можно сделать вывод, что технологии BYOD и MDM являются «родственными» и взаимодополняющими. При внедрении BYOD решение класса MDM займет роль ключевого компонента, обеспечивающего корректность процессов функционирования и управления всем парком устройств. В свою очередь, при внедрении MDM целесообразно пользоваться той методологической основой, которая разработана для BYOD.

Вопрос о внедрении технологий использования личных или корпоративных мобильных устройств в рабочих целях каждая организация решает самостоятельно. При этом на чашах весов обычно находятся плюсы и минусы применения мобильных технологий. К преимуществам можно отнести повышение эффективности сотрудников, удобство их работы и новые возможности, которые дают бизнесу применение мобильных технологий. К минусам относится появление новы угрозы информационной безопасности, но этот вопрос имеет свое решение и не должен вас останавливать!