BYOD в органах власти. Как это делают в США?!

Тема применения мобильных устройств в органах власти стоит достаточно давно. То она стопорится регуляторами в области информационной безопасности (ведь наша нормативная база по ИБ уже устарела и не учитывает особенностей мобильных устройств; тем более собственных). То сами руководители страны показывают обратный пример, используя вместо планшетных компьютеров обычный бумажный блокнот. Хотя лед постепенно сдвигается с мертвой точки. В частности на одном из заседаний Правительства была поставлена задача сделать пилотный проект по применению мобильных устройств в системе электронного докуменооборота Правительства России. Пока только для публичной информации, но и это уже немало.

Но пока Минкомсвязь с ФСО (где, кстати ФСБ и ФСТЭК в этом поручении) готовят пилот, я коснусь того, как аналогичный вопрос решается в американских органах власти. Правда, там пошли чуть дальше и не просто рассматривают возможность применения мобильных устройств в работе госорганов, а разрешают использовать собственные устройства чиновников, реализую концепцию BYOD (Bring Your Own Device).

Такой подход был зафиксирован в документе «Bring Your Own Device. A Toolkit to Support Federal Agencies Implementing Bring Your Own Device (BYOD) Programs«, опубликованном в августе этого года федеральным CIO США. Это докумен не сам в себе — он является частью стратегии электронного правительства (Digital Government Strategy), опубликованной Белым Домом в мае 2012-го года, и в многих своих разделах опирающихся на мобильные технологии. Аналогом такой стратегии в России можно было бы назвать Федеральную Программу «Информационное общество 2012-2020», утвержденную Путиным и Медведевым, но читать наш документ сложно — слишком уж много страниц он занимает. Да и понять ответственных за реализацию каждого пункта ФП очень непросто. Но вернемся к документу по BYOD.

Этот документ отличается от многих аналогичных по сути документов, выпущенных в России. Во-первых, он носит рекомендательный характер, о чем прямо сказано в преамбуле. Во-вторых, он построен на удачном опыте реализованных BYOD-проектов в разных американских ведомствах, а не просто постулирует неопробированные идеи и тезисы. Документ изобилует реальными кейсами и примерами, облегчающими восприятие документа (это то, чего так не хватает отечественной нормативной базе — примеров). В-третьих, документ не пытается вместить в себя все темы, связанные с мобильностью. Он явно отсылает читателя к другим разработанным (например, документам NIST по управлению и безопасности мобильных устройств или по защите персональных данных) или планируемым к разработке (например, Mobile Security Reference Architecture) документам.

Как отмечается в документе внедрение BYOD в американских ведомствах преследует разные цели, но обычно выделяется 4 общие для многих задачи: снижение затрат, рост продуктивности и эффективности, улучшение пользовательского опыта и адаптация к изменяющимся условиям работы.

Затем в документе приводится список вопросов, которые требуют решения при внедрении BYOD:

• технические подходы (виртуализация, разграничение контуров с информацией различных «грифов»)
• роли и ответственность (пользователи, ведомства, служба поддержки ведомства и оператора связи)
• программы стимулирования использования мобильных устройств
• опросы пользователей о преимуществах и проблемах при использовании мобильных устройств
• добровольное или обязательное участие в программе BYOD
• безопасность
• privacy
• вопросы этики и юридического характера (как конфисковывать мобильные устройства или что такое «разрешенное использование»?)
• операторы связи
• устройства и приложения (допустимые платформы, MDM, владелец данных, хранение данных в облаке или на устройстве)
• управление активами (кража или потеря устройства, стоимость поддержки и приложений).

В заключение документа приводится 5 примеров политик, регламентирующих работы с мобильными устройствами.

В целом документ достаточно интересный. И хотя он не отвечает на выявленные им же вопросы (показанные выше), он является хорошей отправной точкой для тех, кто планирует внедрять у себя в ведомствах не только BYOD, но и вообще мобильные устройства. Он заставляет задуматься над ключевыми вопросами ДО ТОГО, как они возникнут.