среда, 9 апреля 2014 г.

Национальные Архивы США: Управление документами в мобильной среде


Данная заметка аналитика Национальных Архивов США Бет Крон (Beth Cron – на фото) была опубликована 20 марта 2014 года на блоге Национальных Архивов «Records Express».

В своем первом посте (см. http://blogs.archives.gov/records-express/2014/03/13/managing-records-in-mobile-environments-background-and-benefits/ ) наша группа по политике в области управления документами обсуждала текущие условия для мобильной работы в органах федерального правительства и тот факт, что сотрудники используют собственные мобильные устройства в интересах деловой деятельности государственных органов. В этом втором посте мы рассмотрим риски и вопросы управления документами, с которыми сталкиваются федеральные органы исполнительной власти.

Работая в мобильной среде, федеральные государственные служащие будут создавать документы. В зависимости от того, как сконфигурированы мобильные устройства, они могли получать доступ, скачивать и сохранять файлы на своих устройствах – как в защищенном, так и в незащищенном режиме. По данным ряда отраслевых опросов и исследований, федеральные служащие всё это делают вне зависимости от того, имеет их государственный орган политику использования собственных и/или мобильных устройств, или нет. Независимо от того, признали ли государственные органы мобильную работу допустимой, их сотрудники используют эти инструменты в интересах выполнения основных задач данных органов.

Безусловно, мобильность предоставляет сотрудникам новые способы создания, хранения и уничтожения федеральных документов и информации. Итак, какие при этом возникают риски?

Согласно выпущенному Национальным институтом стандартов и технологий (NIST) Руководству по управлению безопасностью мобильных устройств на предприятии (Guidelines for Managing the Security of Mobile Devices in the Enterprise, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124r1.pdf  ) , «характеристики мобильных устройств постоянно изменяются, поэтому трудно дать четкое определение термина «мобильное устройство». Поскольку по мере изменения функциональных характеристик мобильных устройств изменяются угрозы и меры обеспечения безопасности, то важно выделить базовые функции мобильного устройства.» Когда сотрудники используют такие устройства, не соблюдая соответствующую политику государственного органа, или же не применяя надлежащие инструменты управления мобильными устройствами, они подвергают себя и свои учреждения рискам безопасности, относящимся к информации, процессам её передачи и к оперативной деятельности. Эти риски включают в себя следующие:
  • Потеря или кража устройств, содержащих федеральные документы;

  • Неправильное использование устройства (джейлбрейк или рутинг мобильного устройства)
    Для справки: Джейлбрейк (англ. Jailbreak — «Побег из тюрьмы») — официально неподдерживаемая производителем операция, которая позволяет получить доступ к файловой системе устройства. Это позволяет расширить возможности аппарата, например, сделать возможным поддержку тем оформления, твиков и установку приложений из сторонних источников. (на основе определения в Википедии, см. http://ru.wikipedia.org/wiki/Jailbreak ),

    Рутинг (англ. Rooting) — процесс получения прав суперпользователя на устройствах под управлением операционной системы Android. Основными целями рутинга являются снятие ограничений производителя либо оператора связи, манипулирование системными приложениями и возможность запуска приложений, требующих прав администратора. Устройство, прошедшее процесс рутинга, называется рутованным. Аналогичный процесс для устройств на базе Apple iOS называется Jailbreak, а для устройств на базе Windows Phone - HardSPL. (Википедия, http://ru.wikipedia.org/wiki/Рутинг );
  • Непоследовательная политика защиты данных на мобильных устройствах;

  • Правовые вопросы, связанные с раскрытием информации в ходе судебных разбирательств или расследований, с правом конфискации, правом на стирание информации, а также с материальной ответственностью;

  • Отсутствие интероперабельности контента и систем;

  • Недостаточное шифрование данных;

  • Использование не получивших одобрения государственного органа приложений, которое могут оказаться вредоносными. Приложения могут получить доступ к адресным книгам, данные о географическом местоположении, текстовым сообщениям и к внутренним сетям.

  • Недостаточная интеграция с системой контроля доступа в сети государственного органа и средствами управления рабочими местами пользователей;

  • Дополнительные расходы государственного органа на поддержки различных мобильных платформ и приобретение дополнительных лицензий на программное обеспечение для тех же пользователей;

  • Вредоносные и шпионские программы для мобильных устройств, вредоносные текстовые и SMS-сообщения;
В дополнение к этим рискам и проблемам общего плана мы выделили ряд последствий для управления документами. Государственные органы могут столкнуться со следующими проблемами при управлении документами в мобильной среде:
  • Идентификация документов в тех случаях, когда контент может быть расположен в нескольких местах;

  • Захват полных документов способом, обеспечивающим их аутентичность и доступность в условиях, когда документы часто модифицируются и могут храниться во многих местах;

  • Данные хранятся или реплицируются на устройстве или в приложении, вместо предоставления доступа только через централизованное хранилище;

  • Разработка и внедрение указаний по срокам хранения документов и действиям по их истечении, предусматривающих возможность передачи документов, их необратимого удаления, наложения/снятия запретов на уничтожение и выполнения других функций управления документами в условиях, когда неясно, где документы расположены;

  • Права владения и контроль над данных, хранимыми третьей стороной;

  • Небезопасный контент (unsecured content);

  • Исполнение политики государственного органа зависит от добросовестности отдельных сотрудников;

  • Разработка политик государственных органов, регламентирующих, как поступать с персональными устройствами и персональными данными в случае расследований или получения запросов о раскрытии информации;

  • Источники и форматы документов будут все время изменяться, и из-за этого государственному органу может быть сложно поддерживать в актуальном состоянии политики, процессы и технологии управления документами;
Согласны ли Вы с тем, что такие риски имеют место? Есть ли какие-то риски, которые мы упустили? Дайте нам знать об этом в Ваших комментариях.

Бет Крон (Beth Cron)

Источник: блог «Records Express» на сайте NARA
http://blogs.archives.gov/records-express/2014/03/20/managing-records-in-mobile-environments-records-management-implications/

Комментариев нет:

Отправить комментарий