Информационная безопасность для мобильных устройств

Задача

Крупным корпоративным заказчикам, использующим систему DIRECTUM также требуется мобильный доступ, но серьёзным препятствием на пути применения мобильных технологий встает вопрос обеспечения информационной безопасности.

Так получилось и у нас с одним из Заказчиков, который хотел использовать приложение HopUp для DIRECTUM, но служба ИБ поставила ряд условий по обеспечению защиты передаваемых данных.

Для достижения цели нам пришлось серьёзно погрузиться в вопрос обеспечения информационной безопасности на мобильных устройствах и с помощью наших давних партнеров из «Ассоциации руководителей служб информационной безопасности» и «НИИ СОКБ» мы поставленные нам условия выполнили и готовы поделиться наработками с сообществом DIRECTUM Club и с партнерами, которые продвигают на рынке мобильные приложения.

Методы обеспечения информационной безопасности при использовании мобильного приложения HopUp для DIRECTUM

Для обеспечения информационной безопасности при использовании мобильных устройств необходимо применение как организационных, так и технических методов. Организационными методами как правило являются:

  • Определение и формализация мобильных бизнес-процессов;
  • Определение парка используемых мобильных устройств и приложений;
  • Разработка политики мобильной безопасности;
  • Разработка модели угроз.

Но мы на них подробно останавливаться не будем, потому что это тема для целой отдельной статьи, скажу лишь что в рамках соблюдения условий этого проекта нам нужно было нейтрализовать следующие угрозы:

  • Несанкционированный доступ к данным;
  • Программные угрозы (включая вредоносное программное обеспечение);
  • Использование уязвимостей мобильных ОС и приложений;
  • Сетевые угрозы;
  • Физические угрозы, основной из которых является кража или утеря устройства;
  • Пользовательские угрозы;
  • Угрозы со стороны поставщика услуг.

Конечно реализовать нейтрализацию всех этих угроз в рамках нашего приложения нам не под силу и мы разрабатывали решение совместно со специалистами по ИБ из компаний наших партнеров.

Мы выработали 3 варианта обеспечения ИБ отличающихся степенью защиты.

Вариант 1. Шифрование

Минимально необходимыми требованиями к обеспечению ИБ являются :

  • аутентификация с шифрованием логина и пароля;
  • шифрование всего передаваемого контента по алгоритму AES-256.

mobile1.jpg

Данные требования реализованы в нашем приложении HopUp для DIRECTUM по умолчанию – взаимодействие между клиентскими приложениями и серверной частью происходит с шифрованием всех передаваемых данных симметричным алгоритмом шифрования с 256 битным ключом (AES-256).

Минимальный набор требований устраивает очень многих Заказчиков, но к сожалению, не всех. Поэтому нами были разработаны ещё два решения.

Вариант 2. Работа по специальным каналам связи

Данный вариант помимо шифрования трафика по ГОСТ-овым алгоритмам предусматривает передачу данных по VPN каналам связи поверх беспроводных интерфейсов Wi-Fi или GPRS/ Edge/ 3G/ LTE.

Данное решение требует развертывания Программно-аппаратного комплекcа ViPNet Coordinator и использования на мобильных устройствах ViPNet Client и схема работы решения в таком случае будет следующей:

mobile2.jpg

Но даже данный вариант решения не удовлетворил нашего Заказчика, поэтому мы проработали решение с еще более глубокой степенью обеспечения информационной безопасности мобильного приложения HopUp.

Вариант 3. Применение MDM-систем

В данном варианте обеспечения безопасности MDM-система SafePhone обеспечивает защиту устройства по принципу контейнера («песочницы»). Функции защиты осуществляются с помощью установленного на мобильном устройстве приложения SafePhoneClient, которое пользователь не может ни остановить, ни удалить.

При этом реализуются следующие основные функции:

  • Дистанционное блокирование мобильного устройства.
  • Дистанционное удаление данных с перезаписью областей памяти, содержащих удаляемую информацию.
  • Взаимодействие между мобильным устройством и сервером SafePhone осуществляется с применением шифрования канала связи (VPN) поверх беспроводных интерфейсов Wi-Fi или GPRS/ Edge/ 3G/ LTE.
  • Защита от сетевых атак, вредоносного кода и контентная фильтрация (персональный межсетевой экран). Настройка, управление и контроль осуществляется администратором системы SafePhone.
  • Дистанционная настройка политик на мобильных устройствах.
  • «Тревожная кнопка» для скрытного информирования с мобильного устройства об угрозе физического нападения или о работе под принуждением.
  • Дистанционный контроль попыток установки/ удаления программного обеспечения на мобильном устройстве.
  • Ведение банка доверенных приложений и невозможность установки приложений из других источников, дистанционное обновление приложений.

Система управления SafePhone имеет сертификат соответствия ФСТЭК России № 3005 от 24.10.2013г.

mobile3.jpg

Архитектура решения становится более сложной, более дорогой, но обеспечивает нейтрализацию всех приведенных выше угроз благодаря:

  • Защите серверных компонент: серверной части приложения HopUp для DIRECTUM и базы данных DIRECTUM;
  • Защите канала передачи данных между сервером приложения HopUp для DIRECTUM и мобильным устройством;
  • Защите мобильного устройства;
  • Защите мобильного приложения HopUp, включая передаваемые данные.

Успешное применение данного решение было подкреплено нами получением соответствующего сертификата.

Информационная безопасность больше не является преградой для использования в корпоративном секторе мобильного приложения HopUp для DIRECTUM.

mobile_certific.jpg

Стать клиентом
Стать партнером
Стать сотрудником
Хотите получить предложение от нас?
* * * *

Соглашаюсь на обработку персональной информации в соответствии с пользовательским соглашением

Хотите работать с нами?
* * * *

Соглашаюсь на обработку персональной информации в соответствии с пользовательским соглашением

Хотите к нам в строй?
* * * *

Соглашаюсь на обработку персональной информации в соответствии с пользовательским соглашением