31.10.2012

Терминальный доступ и ПДн

Был вчера на мероприятие московского клуба ИТ-директоров 4CIO с рассказом про безопасность мобильного доступа. После выступления возникла вдруг тема терминального доступа к ПДн, который якобы решает все проблемы с доступом к персональным данным с мобильного устройства. Мол, ПДн не передаются на мобильное устройство, а значит и защищать его не надо. Давайте разбираться. Вот схематическое изображение доступа с мобильного устройства к серверу, где хранятся ПДн.



Я физически нахожусь в кафе, а ПДн хранятся физически на сервере в головном офисе в Москве. Я решил получить доступ к этим ПДн и запустил терминальную сессию. RDP или какое-либо терминальное приложение от VMware, Citrix. На экране у меня отобразились ПДн. Вот откуда бытует мнение, что данные не передаются при терминальном доступе? А как они у меня отображаются на экране? Святым Духом? Да, они у меня не хранятся на мобильном устройстве. Что есть, то есть. Вопросы снятия копий экрана я не рассматриваю, как и перехват трафика в канале. Допустим неактуальные для меня эти угрозы. Но на экране-то все равно я данные вижу. А значит, что в рамках терминальной сессии ПДн передаются от сервера к мобильному устройству. А значит их надо защищать на протяжении всего канала?!

Кто может опровергнуть рассуждения и доказать, что данные не передаются и на мобильное устройство не попадают, а значит защищать ни его, ни доступ к нему не надо?

21 коммент.:

Ригель комментирует...

Я могу не опровергнуть, а доказать ;)
Допустим, терминальное устройство - фрагмент ИСПДн. Необходимо построить частную модель угроз, содержащую одну и более актуальных угроз. Актуальной угрозой является просмотр с экрана недопущенным лицом --> модель существует --> обработка доказана.

Сергей комментирует...

Да как же не хранятся? И передаются, и хранятся в оперативной памяти (памяти видеокарты)

Константин Буланов комментирует...

Чего тут опровергать то :) Половина офисного планктона считает что если они видео ролик не качали, а просто посмотрели на сайте, то трафик за это считать не правильно. Они же якобы не получили эту информацию. Ну это я так аналогию привел :)

Korwin комментирует...

Тема животрепещуща.;)
То что ПДн обрабатываются доказать можно. Но какие инструменты защиты применять не ясно. Лучше кончено обрабатывать ПДн в КЗ и не испытывать проблем, однако владельцы ИСПДн требуют иного.

Евгений Родыгин комментирует...

Я уже устал пену со рта смахивать объясняя что в терминал защищаемая информация попадает. Есть вариант когда почти не попадает, например, когда с терминала отдаются команды по обработке на сервере. Но авторизация тоже нужна! А тот же пароль - ЗИ!

Korwin комментирует...

Это понятно, авторизация и парольная защита нужна в рамках общей теории (относительности ))) защиты информации, а именно ПДн. Но когда обработка ПДн ведется на пределами КЗ в терминале иногда еще через ВПН, тут вероятно какие-то доп.меры требуются.

Илья Мизгирев комментирует...

Мне кажется все понимают, что терминальный доступ это тоже обработка ПДн, а терминальные устройства являются частью ИСПДн(на то есть четкое определение закона), просто за неимением сертифицированных способов защиты самих терминальных устройств, пытаются доказать обратное.

Евгений Родыгин комментирует...

http://hostingkartinok.com/show-image.php?id=887c732be66b1b4866e3fc488fd0445b

Евгений Родыгин комментирует...

Илья - есть сертифицированные терминальные поделки... Правда выбор не велик...

Евгений комментирует...

Вы не поверите, но мне один заказчик сказал, что ему эту концепцию о необработке ПДн терминальными клиентами рассказал представитель Информзащиты. Вот так вот :).

Korwin комментирует...

Евгений, хорошая схема. Не против, если я воспользуюсь ею в ряде диалогов с пользователями?

Евгений Родыгин комментирует...

Не против, если еще и уточните - будет вообще замечательно. Это базовая для разбора более конкретных ТС/ТК...

Евгений Родыгин комментирует...

Обычно противники сыпятся на форме представления информации в данных. "передача картинки" - это форма передачи ЗИ...

Шауро Евгений комментирует...

А как вам идея установить специальное ПО, которое будет на ходу скриншотить, распознавать, парсить ПДн и складывать их в сторону. Пользователю остается только листать БД "кнопками Page Up/Down".

Так что аккорд вам всем в айпэд :-)

Alexey Komarov комментирует...

Обычно озвучиваются следующие преимущества терминального доступа:
1. Одновременно обрабатывается/хранится не вся база, а только ограниченное число записей (например, только одна), поэтому требования к защите могут быть существенно ниже.
2. Работа может осуществляться с обезличенными персональными данными. Условно: пациент получает в регистратуре некий сгенерированный идентификатор и идёт с ним к врачу. Врач же на своём рабочем месте видит историю болезни в привязке не к конкретному человеку, а обезличенную.

Евгений Родыгин комментирует...

1 - клиент-серверная поделка вполне себе.
2 - чистый функционал сервера и прикладного ПО.

Основное преймущество с точки зрения ИБ:
1 - после выключения не остается ЗИ в ТК (как правило)
2 - удобство администрирования
все остальные производные...

Фин комментирует...

1) Alexey Komarov, если на то пошло, то практически любое устройство единовременно обрабатывает максимум 64 бита информации :) А если взять только вывод и ЭЛТ-монитор, то там вообще единовременно только три точки разного цвета :)
2) с тех пор как увидел первый раз понятие "обезличенные ПД", периодически зависаю, так как непонятно, как персональные данные могут быть обезличенными, если на их основании нельзя определить субъекта, что противоречит определению? А если всё таки можно, путем сопоставления идентификатора в другой базе, то как можно рассматривать такую систему как самостоятельную? Почему тогда не рассматривать каждый блин жесткого диска как обезличенную ИСПД? Почему не описаны четко правила когда можно систему считать отдельной а когда нет? И история с пациентом и его идентификатором с моей скромной т.з. выглядит как просто распределение данных в единой системе с целью повышения безопасности, но никак не обезличивание.

Алексей Лукацкий комментирует...

Как это ни странно, но в среде ИТшников мнение о том, что при терминальном доступе не передаются ПДн бытует. И нередко. Я не на пустом месте этот пост написал.

2Alexey Komarov: Это миф. Сколько бы записей у вас не было - продуктовый защитный набор вы не снизите ;-) Выбор средств небогат.

doom комментирует...

>Илья - есть сертифицированные терминальные поделки... Правда выбор не велик...

Евгений, людям надо не сертифицированную терминальную поделку. Людям надо доступ с айпадика. И вот поди госу объясни - почему с одной стороны низя, с другой - премьер (а еще недавно президент) разгуливает себе и в ус не дует. Отдельная тема - госуслуги (но тут уже вопрос границы ИСПДн в web приложении, что правда близко по теме).

ZZubra комментирует...

Эта тема крайне актуальна, так как сейчас почти везде медицина строится на закупленных терминалах (вот у нас их более 2000 для больниц закупили).

Еще об одной штуковине забывают - принтер, подключенный к терминальной станции. В терминале сформировал списочек-отчет с кучей ПДн, врачебной тайной (анамнез, диагноз) и на печать. Вот Вам и куча ПДн на терминале, даже листать не надо.

Дальше интересный вопрос - вирусы для линукс-поделок в терминалах. Их точно нет???

В общем сейчас рождаются модели угроз при терминальном доступе систем, в которых будут (уже) обрабатываться вся мед информация обо ВСЕХ гражданах РФ.

Наверное даже и поздно звонить в колокола. Те кто это строят часто отказываются от подхода защиты вообще, даже на лицензию по ТЗКИ не заморачиваются.

Nick Nick комментирует...

мне мерещится что:
ПДн, конечно, обрабатываются, но:
- обрабатывается только незначительная часть базы ПДн
- механизмы защиты от НСД, реализованные на терминале не нужны