12.11.12

Доступ с мобильных устройств и регуляторы

Про доступ с мобильного устройства в контексте обработки персональных данных я уже писал. Коллеги в комментариях считают, что я трактую ПП-1119 неверно и речь там идет только о помещениях, в которых ведется обработка ПДн. Вот в них должен быть реализован соответствующий режим доступа. А вот если обработка ведется вне какого-либо помещения, то и режима никакого не нужно. Тут, конечно, можно поспорить, что в самом ФЗ-152 говорится о сохранности ПДн и т.п., но сейчас не это важно. Допустим коллеги правы и работать с мобильным устройством можно где угодно.

Но такая работа не отменяет необходимости защиты, предусмотренной статьей 19 ФЗ-152. Пока нормативных документов ФСТЭК и ФСБ нет, можно ориентироваться только на существующие редакции 58-го приказа и методичек ФСБ. Они нам говорят, что обезопасить надо все компоненты ИСПДн, каналы связи надо защитить, СКЗИ должны быть сертифицированными.

Ну, допустим, что iOS jailbreak для нас не помеха (хотя я ни при каких условиях на своем iPhone или iPad не буду делать джейлбрейк). Ну допустим, что iPad у нас первый, а iOS третьей версии (хотя ее и найти-то уже нельзя). А может и не третьей, а пятой или шестой. И jailbreak вдруг станет не нужен. И число сертифицированных СКЗИ для мобильных платформ у нас не будет ограничено только Инфотексом и КриптоПро (продукты под Android не рассматриваю сейчас целенаправленно, ограничиваясь только iOS).

Но сертификата ФСБ для использования СКЗИ на мобильном устройстве недостаточно. Необходимо читать эксплуатационную документацию на СКЗИ, которое может отсудить пыл тех, кто считает, что авторы ПП-1119 ошиблись с формулировками и работать с ПДн на мобильных устройствах можно. Итак посмотрим на документацию к одному из сертифицированных СКЗИ. Там написано следующее:
  • при использовании СКЗИ на ПЭВМ, подключенным к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем (вот откуда НДВшная угроза в ПП-1119), к программному обеспечению, в окружении которого функционирует СКЗИ, и к компонентам СКЗИ со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN сетей и т.п.).
Спрашивается и как я на мобильное устройство установлю эти дополнительные средства защиты? Или не считать их ПЭВМ? Налоговая, например, мобильное устройство (как минимум смартфон) ПЭВМ не считает.


Но читаем дальше. Необходимо также запретить "работу СКЗИ при включенных в ПЭВМ штатных средствах выхода в радиоканал". Т.е. никаких тебе 3G/4G/2G, никакого Wi-Fi, никакого Bluetooth. А как тогда использовать тот же iPad или iPhone? iPhone без штатных средств выхода в радиоканал - это iPod Touch. Не проблема, скажут фанаты мобильных устройств. Ведь через Ethernet можно (пусть и после jailbreak'а). В теории можно. Но согласно той же документации "не допускается подключать к ПЭВМ дополнительные устройства и соединители, не предусмотренные штатной комплектацией". В iPad Ethernet-кабеля не предусмотрено.

Интересная картина получается. Даже если мы найдем сертифицированную СКЗИ и сможем взгромоздить ее на мобильное устройство. То пользоваться им по назначению не сможем, т.к. должны будем отключить все каналы радиодоступа.

Что у нас остается? Творческий подход, о котором так часто говорят регуляторы и который был продемонстрирован в письме Минпромторга. Кстати, в феврале, в Магнитогорске представитель ФСБ тоже высказывал позицию, что отталкиваться надо от модели угроз. А по поводу методичек ФСБ по персданным, другой сотрудник ФСБ на последнем Инфобезе вообще заявил, что это рекомендации и не более; следовать им необязательно.

Резюме не будет. Каждый вывод делает для себя самостоятельно. Кто-то опасаясь претензий регуляторов (которые проверять коммерческие организации все равно не могут) пытается найти сертифицированные СКЗИ для мобильных платформ и хоть так решить вопрос защищенного мобильного доступа (хотя документация на СКЗИ это и запрещает, а сертификат при таком использовании теряет свою силу). А кто-то подходит творчески и строит модель угроз так, чтобы вообще не обеспечивать конфиденциальность в канале. Каждый выбирает для себя...

20 коммент.:

Юрий комментирует...

Доброго утра!
А что если с мобильного устройства строить VPN до корпоративной сети и уже из сети давать доступ в общедоступные сети через сертифицированный МЭ?

karmix комментирует...

Если только VPN строить в сетях правительственной связи )))

Вам же в любом случае через сети связи общего пользования эти VPNы строить, как не крути

Алексей Т. комментирует...

Алексей, некорректно обсуждаю одно ПО ссылаться на ТУ другого устройства ;-) Ознакомились тогда хотя бы с ТУ на Випнет, я думаю никаких проблем с его получением у Вас не возникнет. Опять вы пропагандируете "творческий подход" :-)

Alexbek комментирует...

Уважаемый коллега, Вы все же передергиваете и ловко извращаете смысл моей реплики о том что положение ПП РФ 1119 истолковано Вами превратно (речь идет о ПОМЕЩЕНИЯХ, а не об обработке ПДн ИСКЛЮЧИТЕЛЬНО в помещениях), ведь дело было не в комплексе требований, а в вполне конкретном и по моему мнению толковали Вы его второпях и на эмоциях (в частности твит президенту и министру связи).
В том что комплекс требований ведет к невозможности эксплуатации мобильных устройств (либо сводит мобильность на нет) для обработки ПДн секретом не является и в этом смысле ничего нового в регулировании не случилось.

Алексей Лукацкий комментирует...

Alexbek, я не совсем понял ваш комментарий

Алексей Лукацкий комментирует...

Алексей Т.: в смысле "обсуждя одно, ссылаться на другое"? Это общий подход регулятора. Он касается ведь не только одного конкретного ПО

Алексей Т. комментирует...

Алексей, Вы пишите "посмотрим документацию к одному из сертифицированных СКЗИ..." Почитайте лучше документацию к Випнету http://infotecs.ru/downloads/product_docs.php?id_product=4882
Там таких страшных и странных вещей нет. ;-)
Вряд ли она не анализировалась при сертификации ФСБ...

Alexbek комментирует...

1. В Постановлении написано о необходимости организации режима обеспечения безопасности помещений. В этом легко убедиться, т.к. далее идет речь о лицах, не имеющих доступа в данные помещения, а не к устройствам (тем более мобильным).
2. О мобильных устройствах речь в принципе не идет. Тем более непонятно, зачем давать такие категоричные комментарии о невозможности обработки ПДн с мобильных устройств. Учитывая, что часть аудитории не является экспертами в области ИБ Ваши комментарии на CNews только сбивают ее с толку.
3. Заметьте, нигде не сказано «А вот если обработка ведется вне какого-либо помещения, то и режима никакого не нужно». Определите режим работы с мобильными устройствами для организации самостоятельно, исходя из модели угроз. Для этого и существуют эксперты.
4. Итог: я считаю, что Вы ввели часть своей аудитории в заблуждение неаккуратным манипулированием требованиями Постановления с излишним эмоциональным окрасом.

Алексей Лукацкий комментирует...

Alexbek: я пишу то, что считаю нужным написать. И то, как я вижу ситуацию. Аудитория блога - люди квалифицированные и могут дисскутировать. Доя этого и пишу - в дисскусии рождаются разные точки зрения и разные решения. Ну а об аудитории Cnews пусть думает Cnews. Если у них нашлось наглости копировать мой контент без согласования со мной, то и пусть сами и решают проблемы со своей аудиторией

Алексей Лукацкий комментирует...

Алексей Т.: почитаю

Алексей Лукацкий комментирует...

Почитал. Все-таки это не ТУ, а дока на продукт. Где бы ТУ почитать ;-)

karmix комментирует...

Ну в "Правилах пользования.." (которые ФАПСИ завещало обязательно исполнять) и "Руководстве пользователя.." эти вещи аккуратно обошли ))

в общем все свелось к 2 идеям:
1. Надо соблюдать текущие НПА по ЗИ
2. Не давайте пользоваться устройством другим людям

естественно про вынос из КЗ ни слова, что и понятно, иначе на кой такая поделка нужна

VladimirZ комментирует...

Не совсем понятно почему на стр.12 Руководства администратора в "Комплекте поставки" ни слова нет про формуляр и Правила пользования.

Алексей Т. комментирует...

Алексей, не всем и не всегда дают ТУ вместе с СКЗИ, там что можно и нужно руководствоваться ЭД. ;-) По Вашим правилам: как мне надо, так и интерпретирую. И при этом ничего не нарушая. БОлее того, и ФСТЭК и ФСБ вряд ли будут считать это нарушением (если представить, что они захотят проверить вдруг)...Так что используйте и не волнуйтесь. А боитесь джейлбрейка - андроид в помощь.

Алексей Лукацкий комментирует...

Алексей Т.: Я не только боюсь джейлбрейка с точки зрения безопасности, но и не готов нарушать право на интеллектуальную собственность компании Apple.

Если бы не эти две маленькие проблемки, то с удовольствием бы юзал СКЗИ для iOS.

Ну а что касается Android, то именно с точки зрения безопасности и стабильности, я эту ОС не использую.

Saint Despe комментирует...

Алексей, процедура jailbreak, буквально до недавнего времени, в отношении iphone, согласно положениям DCMA легальна и не нарушает авторских прав Apple, как минимум для всех устройств приобретенных до 2013 года. В отношении ipad - да, правила изменились :)

Saint Despe комментирует...

upd: не DCMA, а DMCA разумеется :), Дигитал милениум который

Алексей Лукацкий комментирует...

Использование AES в России тоже не запрещено, но отношение ФСБ всем известно ;-)

Анонимный комментирует...

"вот откуда НДВшная угроза в ПП-1119"
и вовсе неоттуда...

Flint комментирует...

1.От какого СКЗИ документация? Если СКЗИ не было сертифицировано для использования совместно с мобильными платформами или сертифицировано с ограничениями, то такое возможно. Если СКЗИ сертифицировано для мобильных платформ, то это как минимум странно, но если такое положение в документации указано, то модель угроз и нарушителя в помощь.
2.То что нужны доп. меры защиты в комментариях не нуждается. Но тут опять же модель в помошь.
3.ТУ для программных СКЗИ были только в далеких годах, сейчас их уже давно нет. Есть только для СКЗИ, выполненных аппаратно, или когда фиксируется железо.
4.А вообще см.ПКЗ-2005.