Про доступ с мобильного устройства в контексте обработки персональных данных я уже писал. Коллеги в комментариях считают, что я трактую ПП-1119 неверно и речь там идет только о помещениях, в которых ведется обработка ПДн. Вот в них должен быть реализован соответствующий режим доступа. А вот если обработка ведется вне какого-либо помещения, то и режима никакого не нужно. Тут, конечно, можно поспорить, что в самом ФЗ-152 говорится о сохранности ПДн и т.п., но сейчас не это важно. Допустим коллеги правы и работать с мобильным устройством можно где угодно.
Но такая работа не отменяет необходимости защиты, предусмотренной статьей 19 ФЗ-152. Пока нормативных документов ФСТЭК и ФСБ нет, можно ориентироваться только на существующие редакции 58-го приказа и методичек ФСБ. Они нам говорят, что обезопасить надо все компоненты ИСПДн, каналы связи надо защитить, СКЗИ должны быть сертифицированными.
Ну, допустим, что iOS jailbreak для нас не помеха (хотя я ни при каких условиях на своем iPhone или iPad не буду делать джейлбрейк). Ну допустим, что iPad у нас первый, а iOS третьей версии (хотя ее и найти-то уже нельзя). А может и не третьей, а пятой или шестой. И jailbreak вдруг станет не нужен. И число сертифицированных СКЗИ для мобильных платформ у нас не будет ограничено только Инфотексом и КриптоПро (продукты под Android не рассматриваю сейчас целенаправленно, ограничиваясь только iOS).
Но сертификата ФСБ для использования СКЗИ на мобильном устройстве недостаточно. Необходимо читать эксплуатационную документацию на СКЗИ, которое может отсудить пыл тех, кто считает, что авторы ПП-1119 ошиблись с формулировками и работать с ПДн на мобильных устройствах можно. Итак посмотрим на документацию к одному из сертифицированных СКЗИ. Там написано следующее:
Но читаем дальше. Необходимо также запретить "работу СКЗИ при включенных в ПЭВМ штатных средствах выхода в радиоканал". Т.е. никаких тебе 3G/4G/2G, никакого Wi-Fi, никакого Bluetooth. А как тогда использовать тот же iPad или iPhone? iPhone без штатных средств выхода в радиоканал - это iPod Touch. Не проблема, скажут фанаты мобильных устройств. Ведь через Ethernet можно (пусть и после jailbreak'а). В теории можно. Но согласно той же документации "не допускается подключать к ПЭВМ дополнительные устройства и соединители, не предусмотренные штатной комплектацией". В iPad Ethernet-кабеля не предусмотрено.
Интересная картина получается. Даже если мы найдем сертифицированную СКЗИ и сможем взгромоздить ее на мобильное устройство. То пользоваться им по назначению не сможем, т.к. должны будем отключить все каналы радиодоступа.
Что у нас остается? Творческий подход, о котором так часто говорят регуляторы и который был продемонстрирован в письме Минпромторга. Кстати, в феврале, в Магнитогорске представитель ФСБ тоже высказывал позицию, что отталкиваться надо от модели угроз. А по поводу методичек ФСБ по персданным, другой сотрудник ФСБ на последнем Инфобезе вообще заявил, что это рекомендации и не более; следовать им необязательно.
Резюме не будет. Каждый вывод делает для себя самостоятельно. Кто-то опасаясь претензий регуляторов (которые проверять коммерческие организации все равно не могут) пытается найти сертифицированные СКЗИ для мобильных платформ и хоть так решить вопрос защищенного мобильного доступа (хотя документация на СКЗИ это и запрещает, а сертификат при таком использовании теряет свою силу). А кто-то подходит творчески и строит модель угроз так, чтобы вообще не обеспечивать конфиденциальность в канале. Каждый выбирает для себя...
Но такая работа не отменяет необходимости защиты, предусмотренной статьей 19 ФЗ-152. Пока нормативных документов ФСТЭК и ФСБ нет, можно ориентироваться только на существующие редакции 58-го приказа и методичек ФСБ. Они нам говорят, что обезопасить надо все компоненты ИСПДн, каналы связи надо защитить, СКЗИ должны быть сертифицированными.
Ну, допустим, что iOS jailbreak для нас не помеха (хотя я ни при каких условиях на своем iPhone или iPad не буду делать джейлбрейк). Ну допустим, что iPad у нас первый, а iOS третьей версии (хотя ее и найти-то уже нельзя). А может и не третьей, а пятой или шестой. И jailbreak вдруг станет не нужен. И число сертифицированных СКЗИ для мобильных платформ у нас не будет ограничено только Инфотексом и КриптоПро (продукты под Android не рассматриваю сейчас целенаправленно, ограничиваясь только iOS).
Но сертификата ФСБ для использования СКЗИ на мобильном устройстве недостаточно. Необходимо читать эксплуатационную документацию на СКЗИ, которое может отсудить пыл тех, кто считает, что авторы ПП-1119 ошиблись с формулировками и работать с ПДн на мобильных устройствах можно. Итак посмотрим на документацию к одному из сертифицированных СКЗИ. Там написано следующее:
- при использовании СКЗИ на ПЭВМ, подключенным к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем (вот откуда НДВшная угроза в ПП-1119), к программному обеспечению, в окружении которого функционирует СКЗИ, и к компонентам СКЗИ со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN сетей и т.п.).
Но читаем дальше. Необходимо также запретить "работу СКЗИ при включенных в ПЭВМ штатных средствах выхода в радиоканал". Т.е. никаких тебе 3G/4G/2G, никакого Wi-Fi, никакого Bluetooth. А как тогда использовать тот же iPad или iPhone? iPhone без штатных средств выхода в радиоканал - это iPod Touch. Не проблема, скажут фанаты мобильных устройств. Ведь через Ethernet можно (пусть и после jailbreak'а). В теории можно. Но согласно той же документации "не допускается подключать к ПЭВМ дополнительные устройства и соединители, не предусмотренные штатной комплектацией". В iPad Ethernet-кабеля не предусмотрено.
Интересная картина получается. Даже если мы найдем сертифицированную СКЗИ и сможем взгромоздить ее на мобильное устройство. То пользоваться им по назначению не сможем, т.к. должны будем отключить все каналы радиодоступа.
Что у нас остается? Творческий подход, о котором так часто говорят регуляторы и который был продемонстрирован в письме Минпромторга. Кстати, в феврале, в Магнитогорске представитель ФСБ тоже высказывал позицию, что отталкиваться надо от модели угроз. А по поводу методичек ФСБ по персданным, другой сотрудник ФСБ на последнем Инфобезе вообще заявил, что это рекомендации и не более; следовать им необязательно.
Резюме не будет. Каждый вывод делает для себя самостоятельно. Кто-то опасаясь претензий регуляторов (которые проверять коммерческие организации все равно не могут) пытается найти сертифицированные СКЗИ для мобильных платформ и хоть так решить вопрос защищенного мобильного доступа (хотя документация на СКЗИ это и запрещает, а сертификат при таком использовании теряет свою силу). А кто-то подходит творчески и строит модель угроз так, чтобы вообще не обеспечивать конфиденциальность в канале. Каждый выбирает для себя...
20 коммент.:
Доброго утра!
А что если с мобильного устройства строить VPN до корпоративной сети и уже из сети давать доступ в общедоступные сети через сертифицированный МЭ?
Если только VPN строить в сетях правительственной связи )))
Вам же в любом случае через сети связи общего пользования эти VPNы строить, как не крути
Алексей, некорректно обсуждаю одно ПО ссылаться на ТУ другого устройства ;-) Ознакомились тогда хотя бы с ТУ на Випнет, я думаю никаких проблем с его получением у Вас не возникнет. Опять вы пропагандируете "творческий подход" :-)
Уважаемый коллега, Вы все же передергиваете и ловко извращаете смысл моей реплики о том что положение ПП РФ 1119 истолковано Вами превратно (речь идет о ПОМЕЩЕНИЯХ, а не об обработке ПДн ИСКЛЮЧИТЕЛЬНО в помещениях), ведь дело было не в комплексе требований, а в вполне конкретном и по моему мнению толковали Вы его второпях и на эмоциях (в частности твит президенту и министру связи).
В том что комплекс требований ведет к невозможности эксплуатации мобильных устройств (либо сводит мобильность на нет) для обработки ПДн секретом не является и в этом смысле ничего нового в регулировании не случилось.
Alexbek, я не совсем понял ваш комментарий
Алексей Т.: в смысле "обсуждя одно, ссылаться на другое"? Это общий подход регулятора. Он касается ведь не только одного конкретного ПО
Алексей, Вы пишите "посмотрим документацию к одному из сертифицированных СКЗИ..." Почитайте лучше документацию к Випнету http://infotecs.ru/downloads/product_docs.php?id_product=4882
Там таких страшных и странных вещей нет. ;-)
Вряд ли она не анализировалась при сертификации ФСБ...
1. В Постановлении написано о необходимости организации режима обеспечения безопасности помещений. В этом легко убедиться, т.к. далее идет речь о лицах, не имеющих доступа в данные помещения, а не к устройствам (тем более мобильным).
2. О мобильных устройствах речь в принципе не идет. Тем более непонятно, зачем давать такие категоричные комментарии о невозможности обработки ПДн с мобильных устройств. Учитывая, что часть аудитории не является экспертами в области ИБ Ваши комментарии на CNews только сбивают ее с толку.
3. Заметьте, нигде не сказано «А вот если обработка ведется вне какого-либо помещения, то и режима никакого не нужно». Определите режим работы с мобильными устройствами для организации самостоятельно, исходя из модели угроз. Для этого и существуют эксперты.
4. Итог: я считаю, что Вы ввели часть своей аудитории в заблуждение неаккуратным манипулированием требованиями Постановления с излишним эмоциональным окрасом.
Alexbek: я пишу то, что считаю нужным написать. И то, как я вижу ситуацию. Аудитория блога - люди квалифицированные и могут дисскутировать. Доя этого и пишу - в дисскусии рождаются разные точки зрения и разные решения. Ну а об аудитории Cnews пусть думает Cnews. Если у них нашлось наглости копировать мой контент без согласования со мной, то и пусть сами и решают проблемы со своей аудиторией
Алексей Т.: почитаю
Почитал. Все-таки это не ТУ, а дока на продукт. Где бы ТУ почитать ;-)
Ну в "Правилах пользования.." (которые ФАПСИ завещало обязательно исполнять) и "Руководстве пользователя.." эти вещи аккуратно обошли ))
в общем все свелось к 2 идеям:
1. Надо соблюдать текущие НПА по ЗИ
2. Не давайте пользоваться устройством другим людям
естественно про вынос из КЗ ни слова, что и понятно, иначе на кой такая поделка нужна
Не совсем понятно почему на стр.12 Руководства администратора в "Комплекте поставки" ни слова нет про формуляр и Правила пользования.
Алексей, не всем и не всегда дают ТУ вместе с СКЗИ, там что можно и нужно руководствоваться ЭД. ;-) По Вашим правилам: как мне надо, так и интерпретирую. И при этом ничего не нарушая. БОлее того, и ФСТЭК и ФСБ вряд ли будут считать это нарушением (если представить, что они захотят проверить вдруг)...Так что используйте и не волнуйтесь. А боитесь джейлбрейка - андроид в помощь.
Алексей Т.: Я не только боюсь джейлбрейка с точки зрения безопасности, но и не готов нарушать право на интеллектуальную собственность компании Apple.
Если бы не эти две маленькие проблемки, то с удовольствием бы юзал СКЗИ для iOS.
Ну а что касается Android, то именно с точки зрения безопасности и стабильности, я эту ОС не использую.
Алексей, процедура jailbreak, буквально до недавнего времени, в отношении iphone, согласно положениям DCMA легальна и не нарушает авторских прав Apple, как минимум для всех устройств приобретенных до 2013 года. В отношении ipad - да, правила изменились :)
upd: не DCMA, а DMCA разумеется :), Дигитал милениум который
Использование AES в России тоже не запрещено, но отношение ФСБ всем известно ;-)
"вот откуда НДВшная угроза в ПП-1119"
и вовсе неоттуда...
1.От какого СКЗИ документация? Если СКЗИ не было сертифицировано для использования совместно с мобильными платформами или сертифицировано с ограничениями, то такое возможно. Если СКЗИ сертифицировано для мобильных платформ, то это как минимум странно, но если такое положение в документации указано, то модель угроз и нарушителя в помощь.
2.То что нужны доп. меры защиты в комментариях не нуждается. Но тут опять же модель в помошь.
3.ТУ для программных СКЗИ были только в далеких годах, сейчас их уже давно нет. Есть только для СКЗИ, выполненных аппаратно, или когда фиксируется железо.
4.А вообще см.ПКЗ-2005.
Отправить комментарий