УправлениеБезопасность

Создание Национальной мобильной платформы

Виктор Минин | 15.08.2016

Создание Национальной мобильной платформы

Мобильные технологии следует рассматривать не как самостоятельное технологическое решение, но как часть бизнес-процессов организации.

Кибервойна разгорается. Последняя неделя июля привлекла внимание СМИ к вопросам взлома информационных систем на государственном уровне. 22 июля WikiLeaks выложила в открытый доступ более 19 тыс. электронных писем Национального комитета Демократической партии США. Кандидат в президенты США Хилари Клинтон обвинила российские спецслужбы в этом взломе, а АНБ заявила, что для получения доказательной базы их участия проведет расследование, в том числе используя взлом атаковавших серверы ресурсов.

Пресс-секретарь Президента РФ Дмитрий Песков заявил, что утверждения о причастности России к взлому почты Демократической партии США — абсурд. А 30 июля пресс-служба ФСБ России отметила, что атакам подвергаются и российские государственные органы: «...Выявлены факты внедрения вредоносного программного обеспечения, предназначенного для кибершпионажа, в компьютерные сети порядка 20 организаций, расположенных на территории России... Заражению подверглись информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны». В том же сообщении указано, что уязвимы и мобильные устройства.

«Доверенные» и «Критичные»

При рассмотрении вопросов безопасности мобильных технологий в корпоративном секторе необходимо отметить, что отправной точкой являются бизнес-процессы организации. Таким образом, объектом защиты становятся именно бизнес-процессы организации, осуществляемые с помощью мобильных технологий (мобильные бизнес-процессы). Для предотвращения или минимизации вызовов и угроз в данной области требуется создание Национальной мобильной платформы. Цели ее создания:

1. Обеспечение информационной безопасности при хранении и передаче критичных данных и голоса по беспроводным каналам связи.

2. Реализация программы импортозамещения в области мобильных технологий.

«Национальная мобильная платформа» — совокупность доверенных технических средств, организационно-распорядительных мероприятий, персонала, обеспечивающих передачу голоса и данных, в том числе критичных, по беспроводным каналам связи от абонента до абонента или от абонента до корпоративной информационной и/или вычислительной системы, а также межмашинное взаимодействие. Данная платформа необходима для защиты информации граждан и организаций Российской Федерации.

Приведенное определение содержит два ключевых понятия — «доверенный» и «критичные». Использование Национальной мобильной платформы должно быть обязательным при наличии критичных данных (что требует применения доверенных мобильных технологий) в органах государственного управления, а в корпоративном секторе — по необходимости (при наличии критичных данных) или по желанию.

Доверенный элемент — элемент, успешно прошедший проверку на соответствие регламентам нормативных, руководящих, методических и иных обязательных к применению документов.

Критичные данные — это данные, утеря, некорректное или несанкционированное использование, искажение или разглашение которых может причинить ущерб национальной безопасности, нарушить штатное функционирование ключевых систем информационной инфраструктуры, нанести урон коммерции и правам личности.

Необходимые компоненты

В состав Национальной мобильной платформы должны входить как минимум следующие компоненты:

1.   Базовый руководящий или иной нормативный документ, определяющий требования и профили безопасности доверенных мобильных платформ.

2.   Доверенная аппаратная платформа. Может быть полностью российской или частично зарубежной сборки с использованием российских комплектующих (в основном микропроцессора).

3.   Доверенная мобильная ОС, включающая встроенные или сторонние отечественные средства защиты информации (СЗИ) от несанкционированного доступа и криптографические СЗИ.

4.   Доверенные мобильные приложения.

5.   Доверенные системы управления, контроля и обеспечения безопасности отечественной разработки.

6.   Доверенные хранилища (находящиеся на территории Российской Федерации) и способы распространения приложений и обновлений к ним и ОС.

7.   Регламент использования мобильных платформ в государственных, муниципальных и иных учреждениях.

Создание Национальной мобильной платформы потребует разработки организационно-распорядительной базы и значительных финансовых вложений в создание технической компоненты. Частично финансирование может осуществляться за счет инвестиций компаний, вовлеченных в данную программу. Кроме того, после ввода Национальной мобильной платформы в эксплуатацию следует ожидать возврат инвестиций за счет продажи и поддержки обязательных к использованию «доверенных» устройств и программного обеспечения, других компонентов и инфраструктуры.

Вызовы и угрозы

Мобильные технологии следует рассматривать не как самостоятельное технологическое решение, но как часть бизнес-процессов организации. Относительно молодые, но стремительно развивающиеся мобильные технологии имеют свои характерные признаки, влекут новые вызовы и угрозы. Эти признаки, вызовы и угрозы являются следствием потенциальной возможности практически неограниченного во времени и в пространстве несанкционированного доступа к мобильному устройству как к оконечному устройству информационной инфраструктуры организации, или к беспроводной среде передачи данных. Ниже перечислены их некоторые характерные признаки:

-     Для мобильных технологий понятие «периметр контролируемой зоны» отсутствует.

-     Действия корпоративных служб ИТ и ИБ отстают от темпов развития мобильных технологий.

-     Пользователи имеют собственные предпочтения к дизайну и правилам использования мобильных устройств и приложений.

-     Пользователи (особенно VIP) требуют свободного доступа к корпоративным ресурсам и данным.

Для мобильных технологий существуют специфические вызовы и угрозы, а «стандартные» имеют свои особенности. Далее названы некоторые из них:

-     Наличие недекларированных возможностей (НДВ) в программно-аппаратном обеспечении мобильного устройства или в сторонних приложениях.

-     Перехват голоса/ данных «по воздуху» или по сети операторов связи.

-     Внедрение вредоносного программного обеспечения.

-     Манипуляция с данными при передаче.

-     GPS/геолокация.

-     Утеря или кража устройства.

-     Использование недоверенных («серых» или непроверенных) устройств, сетевых сервисов или их неправомочное использование.

Инициатива АРСИБ

На основании изложенного, а также в результате проведенного специалистами АРСИБ анализа рынка мобильных технологий и тенденций его развития следует отметить следующие положения:

1.   Стремительное развитие мобильных технологий.

2.   Наличие специфичных технологических и организационных вызовов и угроз.

3.   Использование мобильных технологий в России практически не регламентировано и не контролируется (частичное исключение — СОРМ).

Мобильные технологии, как и Интернет, могут применяться как инструмент для совершения различных противоправных действий. Таким образом, указанные и другие проблемы, по отдельности или в сочетании, в случае возникновения специфических для них вызовов и угроз в совокупности могут стать угрозой национальной безопасности.

Создание Национальной мобильной платформы необходимо в целях противодействия вызовам и угрозам, обеспечения национальной безопасности в сфере мобильных технологий. Вопрос создания национальной мобильной платформы поднимался 20 апреля 2016 года в Государственной Думе Российской Федерации на заседании круглого стола на тему: «Комплексное решение проблемы цифрового неравенства: устранение причин и следствий».

АРСИБ готова представить свои предложения, для того чтобы начать работы по созданию организационно-распорядительной и технологической базы Национальной мобильной платформы.

С тенденциями развития и методами защиты мобильных технологий более подробно можно ознакомиться в брошюре «Безопасность мобильных технологий в корпоративном секторе. Общие рекомендации». Данный документ выпущен Ассоциацией руководителей служб информационной безопасности (АРСИБ) и доступен на сайте: aciso.ru. После открытой публикации интерес к этому документу оказался весьма высоким, что повлекло необходимость выпуска 2-й редакции, которая будет опубликована в III квартале 2016 года.

Соавторы: Николай Носов, к. т. н., член АРСИБ, Александр Першин, к. т. н., член АРСИБ

Безопасность Телекоммуникации Мобильные технологии

Журнал: Журнал IT-Manager [№ 07-08/2016], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Форум «Внутренний и внешний электронный документооборот»
Москва, отель Метрополь, Театральный проезд, 2
20.05.2021 — 21.05.2021
09:30–17:00
Хакатон Program boost: Eduthon
ОНЛАЙН
21.05.2021 — 23.05.2021
14:00