Что такое BYOD и как внедрить в компании — Контур.Эгида

В этой статье

Что такое BYOD и как внедрить в компании

3 февраля 2026

BYOD (Bring Your Own Device) означает, что сотрудники работают с корпоративными данными и сервисами на своих личных ноутбуках и смартфонах. Это сокращает расходы компании, но открывает новые риски для ее безопасности. Задача руководства и отдела ИБ — не запрещать личные устройства, а внедрить четкие правила их использования. Специалисты Контур.Эгиды рассказывают, как построить такую систему и превратить BYOD из источника угроз в инструмент для роста.

Леонид Богданов

Что такое BYOD

BYOD (Bring Your Own Device) — это концепция, при которой сотрудники используют личные устройства для рабочих задач. Вместо того чтобы покупать, хранить и выдавать корпоративную технику, компания разрешает сотрудникам использовать их собственные гаджеты: смартфоны, планшеты, ноутбуки и так далее.

Этот подход меняет традиционную модель администрирования техники и ПО. Если раньше ИБ-специалисты контролировали только стандартизированный парк техники, то теперь в корпоративную сеть могут входить десятки разных моделей гаджетов с непредсказуемым набором приложений и уровнем защищенности. 

С BYOD бизнес получает прямую выгоду: сокращаются расходы на закупку, логистику и обслуживание техники. Сотрудники работают на привычных устройствах, что, по некоторым исследованиям, повышает их продуктивность и удовлетворенность. Например, по данным Frost & Sullivan, модель BYOD добавляет к рабочему времени сотрудников до 58 минут в день и увеличивает продуктивность на 34%.

Но за кажущейся простотой скрываются вызовы для информационной безопасности. Личное устройство — это черный ящик. Неизвестно, какие приложения на нем установлены, кто еще имеет к нему физический доступ, обновляется ли операционная система. Без четких правил использование BYOD-устройств превращает корпоративный периметр безопасности в решето.

Основные риски BYOD

Разрешая личные гаджеты, компания сталкивается с четырьмя ключевыми группами угроз, каждая из которых требует своего механизма контроля.

Риск № 1. Утечка конфиденциальных данных

На личном устройстве рабочая почта, документы и доступ к CRM соседствуют с социальными сетями, играми и непроверенными приложениями. Злоумышленник может получить доступ к корпоративной информации через скомпрометированное личное приложение. Риск возрастает, если устройство потеряно или украдено, а данные на нем не зашифрованы. 

Согласно ст. 13.11 КоАП РФ, нарушение требований по защите персональных данных влечет штрафы до 500 тыс. рублей для компаний

Риск № 2. Отсутствие единой инфраструктуры

Корпоративный парк техники можно настроить единообразно: установить антивирус, настроить брандмауэры, развернуть средства обнаружения вторжений. С BYOD это невозможно. 

Администраторы имеют дело с десятками версий Android, iOS, Windows с разными настройками безопасности. Уязвимость в одной устаревшей операционной системе на личном смартфоне может стать точкой входа для атаки на всю сеть.

Риск № 3. Уязвимости при удаленном доступе

Сотрудники подключаются к корпоративным ресурсам из дома, кафе, отелей через публичные Wi-Fi-сети. Такие сети часто не защищены, и это позволяет злоумышленникам перехватывать трафик, включая логины и пароли. Без обязательного использования VPN каждый сеанс удаленной работы подвергает данные риску.

Риск № 4. Несанкционированные приложения и ПО

Сотрудник может установить на свое устройство нелицензионное или вредоносное программное обеспечение. Такое ПО часто содержит шпионские модули или уязвимости. Другая проблема — теневое IT: использование не одобренных компанией облачных сервисов, например личных Dropbox или Google Диск для хранения рабочих файлов. 

Политика безопасности BYOD: основные меры

Невозможно полностью исключить риски, которые создает BYOD. Но их можно минимизировать, сочетая правильные организационные и технические меры.

Определите правила доступа к ресурсам компании

Эффективное управление рисками BYOD начинается с документов. Четкая политика безопасности — это фундамент, который определяет правила игры для всех сторон и превращает хаотичное использование личных гаджетов в управляемый процесс.

Политика должна детально прописывать базовые требования, например:

Типы разрешенных устройств: смартфоны с iOS не ниже версии 15 или Android не ниже версии 11.

Обязательное программное обеспечение: антивирус, VPN-клиент, а для обработки данных повышенной категории критически важен Mobile Device Management (MDM). MDM предназначен для централизованного управления и контроля устройств (смартфонов, планшетов и ноутбуков), которые используют в рабочих целях. О нем расскажем отдельно. 

Запрещенные действия и приложения: установка нелицензионного ПО, использование публичных облачных хранилищ для рабочих файлов и т.д.

В документе также можно зафиксировать права компании на удаленный мониторинг устройства в рабочее время и удаление корпоративных данных при увольнении сотрудника или потере гаджета. Согласие сотрудника на все условия, включая компенсацию и мониторинг, должно быть оформлено отдельным документом. 

Ольга Попова
Юрист в области информационной безопасности

Использование личного оборудования для работы — это дополнительная нагрузка на сотрудника. Согласно статье 188 ТК РФ, если такая обязанность закреплена, компания должна компенсировать связанные с этим расходы. Это может быть фиксированная ежемесячная выплата или возмещение фактических затрат на интернет, связь и амортизацию техники. Все эти условия, включая размер компенсации, права мониторинга и обязанности сотрудника по соблюдению политик ИБ, должны быть четко прописаны в дополнительном соглашении к трудовому договору.

Шифруйте корпоративные данные 

Шифрование данных — обязательное требование для любой политики BYOD. Оно решает две ключевые задачи: защищает информацию при хранении на устройстве и при передаче по сетям.

Защита данных на устройстве. Встроенное полноценное шифрование диска — стандартная функция современных iOS, Android и операционных систем для ноутбуков. Его активация обычно зависит от установки надежного метода блокировки: пароля, PIN-кода или биометрии. Задача компании — не просто рекомендовать, а требовать активации этого шифрования и контролировать его статус. Это делается через систему управления мобильными устройствами (MDM). Если устройство не соответствует политике (шифрование отключено), MDM должна автоматически блокировать доступ к корпоративной почте, файлам и другим ресурсам.

Защита данных при передаче. Шифрование на устройстве бесполезно, если данные перехватят при передаче. Поэтому при работе с корпоративной информацией необходимо использовать защищенные каналы связи. Необходим корпоративный VPN для доступа извне и защищенные протоколы, например TLS, для всего рабочего трафика.

Контейнеризация. Самый эффективный способ — изолировать корпоративные данные в отдельном зашифрованном контейнере или рабочем профиле. MDM-платформы позволяют развернуть такой контейнер, внутри которого работают все корпоративные приложения. Этот подход дает три ключевых преимущества:

  1. Позволяет применять строгие политики безопасности (принудительное шифрование, сложные пароли) только к рабочей зоне, не затрагивая личное пространство сотрудника.
  2. Дает возможность удалить все корпоративные данные с устройства одной командой, не затрагивая личные файлы и приложения пользователя.
  3. Предотвращает случайное смешение рабочих и личных данных, блокируя операции копирования между корпоративным контейнером и личными приложениями.

Регулярно обновляйте ПО 

В модели BYOD устаревшая операционная система на личном устройстве — это открытая дверь в корпоративную сеть для злоумышленников. Политика безопасности должна требовать установки всех критических обновлений для ОС и ключевых рабочих приложений в кратчайшие сроки.

Полагаться только на сознательность сотрудников не стоит. Автоматизировать и гарантировать этот процесс позволяет MDM-система. Она выполняет сквозной контроль:

  1. Проверка и допуск. MDM проверяет версию ОС и установленные патчи перед каждым подключением к корпоративным ресурсам. Устройство с неустраненной критической уязвимостью доступ не получит.
  2. Централизованное управление. Для корпоративных приложений, развернутых через MDM, администратор может массово инициировать обновления. Для личных приложений система может требовать наличия минимально допустимой версии.
  3. Принудительная установка. В политиках можно задать окно (например, 24-72 часа) для установки обязательного обновления ОС. Если пользователь его игнорирует, MDM может заблокировать устройство до выполнения требования.

Используйте VPN-сервисы

К внутренним ресурсам компании с личных устройств нужно подключаться только через защищенный VPN-канал. Это правило обязательно для любых внешних сетей — публичного Wi-Fi в кафе, отеля или даже домашней сети.

Как работает VPN. VPN создает зашифрованный туннель между устройством и корпоративной сетью, он защищает трафик от перехвата. Но у него есть ключевой недостаток для BYOD: VPN шифрует канал связи, но не проверяет безопасность самого устройства. Если на смартфоне уже есть вредоносное ПО, злоумышленник сможет войти в сеть по уже установленному VPN-соединению.

Почему без двухфакторной аутентификации не обойтись. Подключать VPN только по логину и паролю — большая ошибка. Современный стандарт требует интеграции VPN с системой единого входа (SSO) и обязательного использования двухфакторной аутентификации. После входа политики контроля доступа должны предоставлять сотруднику доступ только к тем системам, которые ему действительно нужны для работы (принцип минимальных привилегий).

На что смотреть при выборе решения. Выбирайте VPN-решения, которые поддерживают современные протоколы. Решение должно позволять централизованно управлять доступом через MDM-платформу: это дает возможность автоматически настраивать VPN на личных устройствах и моментально отключать доступ при нарушении политик безопасности.

Используйте технологию Mobile Device Management

MDM — это технологическая основа безопасного BYOD. Это специализированное ПО, которое устанавливается на личное и корпоративное  устройство в качестве клиента и позволяет ИБ-отделу:

  • Удаленно настраивать политики безопасности (требовать шифрование, настраивать VPN).
  • Контролировать установленное ПО (блокировать опасные приложения).
  • Разделять личные и корпоративные данные (технология контейнеризации).
  • Удалять корпоративную информацию с устройства дистанционно, не затрагивая личные данные.
  • И выполнять много других задач.

Выбор MDM-решения — ключевой шаг. Оно должно поддерживать все типы ОС в компании, интегрироваться с существующей инфраструктурой и соответствовать требованиям регуляторов, таким как Приказ ФСТЭК России № 239.

Обучайте сотрудников

Самые совершенные технические средства бесполезны, если сотрудник не понимает их важности или намеренно обходит. Необходимы регулярные обучающие сессии, которые объясняют не только «как», но и «почему»: чем опасен публичный Wi-Fi, зачем нужны сложные пароли, к чему может привести установка пиратского ПО. Культура осведомленности о безопасности — критический элемент успеха любой BYOD-политики.

Сравнительный анализ рисков BYOD и подходов к их минимизации

Ключевая угроза Базовая мера защиты Продвинутая мера защиты

Потеря устройства, доступ злоумышленников

Обязательное использование PIN-кода/биометрии 

Полное шифрование диска, удаленная блокировка/очистка 

Неоднородность ОС и софта, отсутствие патчей

Требование к минимальной версии ОС

Централизованный MDM (Mobile Device Management) для контроля и обновлений 

Перехват данных в публичных сетях

Обязательное использование корпоративного VPN

Применение решений с Zero Trust Network доступом

Вредоносные программы, утечка через личные облака

Четкий список разрешенных и запрещенных приложений 

Сегментация данных, контейнеризация рабочих приложений

Пример реализации BYOD-политики

Рассмотрим поэтапный план для компании на 200 человек, решившей внедрить BYOD.

Этап 1. Аудит и проектирование 

В первую очередь необходимо сформировать рабочую группу из ИБ-специалистов, системных администраторов и HR. Провести инвентаризацию: какие личные устройства уже используются, к каким системам нужен доступ. На основе этого и требований регуляторов разработать проект политики безопасности BYOD. 

Этап 2. Пилотное внедрение и согласование

Затем можно запустить программу для добровольцев из 15-20 сотрудников разных отделов. Это позволит выявить практические проблемы: конфликты ПО, неудобные настройки, вопросы пользователей. На основе обратной связи доработать политику и инструкции. Юридический отдел готовит соглашение о использовании личных устройств.

Этап 3. Обучение и широкий запуск

До массового внедрения стоит провести обучающие вебинары или рассылки для всех сотрудников. Разослать итоговую версию политики и соглашения для подписания. Открыть канал техподдержки для вопросов по BYOD. Включить напоминания о политике безопасности в регулярные внутренние рассылки.

Этап 4. Мониторинг и адаптация 

ИБ-отдел с помощью систем мониторинга следит за соблюдением политик, фиксирует инциденты и новые угрозы. Политика безопасности BYOD должна пересматриваться не реже раза в год или при существенных изменениях в IT-инфраструктуре компании.

BYOD приносит пользу, только когда им управляют. Такой осознанный подход позволяет компании получить все преимущества: повысить продуктивность сотрудников и снизить затраты на парк техники. При этом безопасность корпоративных данных не ослабевает, а переориентируется с защиты периметра на защиту конечных устройств, доступа к корпоративным ресурсам и политики нулевого доверия.

Леонид Богданов
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться