Доступ с мобильных устройств и регуляторы

Криптография
Про доступ с мобильного устройства в контексте обработки персональных данных я уже писал. Коллеги в комментариях считают, что я трактую ПП-1119 неверно и речь там идет только о помещениях, в которых ведется обработка ПДн. Вот в них должен быть реализован соответствующий режим доступа. А вот если обработка ведется вне какого-либо помещения, то и режима никакого не нужно. Тут, конечно, можно поспорить, что в самом ФЗ-152 говорится о сохранности ПДн и т.п., но сейчас не это важно. Допустим коллеги правы и работать с мобильным устройством можно где угодно.

Но такая работа не отменяет необходимости защиты, предусмотренной статьей 19 ФЗ-152. Пока нормативных документов ФСТЭК и ФСБ нет, можно ориентироваться только на существующие редакции 58-го приказа и методичек ФСБ. Они нам говорят, что обезопасить надо все компоненты ИСПДн, каналы связи надо защитить, СКЗИ должны быть сертифицированными.

Ну, допустим, что iOS jailbreak для нас не помеха (хотя я ни при каких условиях на своем iPhone или iPad не буду делать джейлбрейк). Ну допустим, что iPad у нас первый, а iOS третьей версии (хотя ее и найти-то уже нельзя). А может и не третьей, а пятой или шестой. И jailbreak вдруг станет не нужен. И число сертифицированных СКЗИ для мобильных платформ у нас не будет ограничено только Инфотексом и КриптоПро (продукты под Android не рассматриваю сейчас целенаправленно, ограничиваясь только iOS).

Но сертификата ФСБ для использования СКЗИ на мобильном устройстве недостаточно. Необходимо читать эксплуатационную документацию на СКЗИ, которое может отсудить пыл тех, кто считает, что авторы ПП-1119 ошиблись с формулировками и работать с ПДн на мобильных устройствах можно. Итак посмотрим на документацию к одному из сертифицированных СКЗИ. Там написано следующее:

  • при использовании СКЗИ на ПЭВМ, подключенным к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем (вот откуда НДВшная угроза в ПП-1119), к программному обеспечению, в окружении которого функционирует СКЗИ, и к компонентам СКЗИ со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN сетей и т.п.).

Спрашивается и как я на мобильное устройство установлю эти дополнительные средства защиты? Или не считать их ПЭВМ? Налоговая, например, мобильное устройство (как минимум смартфон) ПЭВМ не считает.

Но читаем дальше. Необходимо также запретить «работу СКЗИ при включенных в ПЭВМ штатных средствах выхода в радиоканал«. Т.е. никаких тебе 3G/4G/2G, никакого Wi-Fi, никакого Bluetooth. А как тогда использовать тот же iPad или iPhone? iPhone без штатных средств выхода в радиоканал — это iPod Touch. Не проблема, скажут фанаты мобильных устройств. Ведь через Ethernet можно (пусть и после jailbreak’а). В теории можно. Но согласно той же документации «не допускается подключать к ПЭВМ дополнительные устройства и соединители, не предусмотренные штатной комплектацией«. В iPad Ethernet-кабеля не предусмотрено.

Интересная картина получается. Даже если мы найдем сертифицированную СКЗИ и сможем взгромоздить ее на мобильное устройство. То пользоваться им по назначению не сможем, т.к. должны будем отключить все каналы радиодоступа.

Что у нас остается? Творческий подход, о котором так часто говорят регуляторы и который был продемонстрирован в письме Минпромторга. Кстати, в феврале, в Магнитогорске представитель ФСБ тоже высказывал позицию, что отталкиваться надо от модели угроз. А по поводу методичек ФСБ по персданным, другой сотрудник ФСБ на последнем Инфобезе вообще заявил, что это рекомендации и не более; следовать им необязательно.

Резюме не будет. Каждый вывод делает для себя самостоятельно. Кто-то опасаясь претензий регуляторов (которые проверять коммерческие организации все равно не могут) пытается найти сертифицированные СКЗИ для мобильных платформ и хоть так решить вопрос защищенного мобильного доступа (хотя документация на СКЗИ это и запрещает, а сертификат при таком использовании теряет свою силу). А кто-то подходит творчески и строит модель угроз так, чтобы вообще не обеспечивать конфиденциальность в канале. Каждый выбирает для себя…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Юрий

    Доброго утра!
    А что если с мобильного устройства строить VPN до корпоративной сети и уже из сети давать доступ в общедоступные сети через сертифицированный МЭ?

    Ответить
  2. karmix

    Если только VPN строить в сетях правительственной связи )))

    Вам же в любом случае через сети связи общего пользования эти VPNы строить, как не крути

    Ответить
  3. Алексей Т.

    Алексей, некорректно обсуждаю одно ПО ссылаться на ТУ другого устройства 😉 Ознакомились тогда хотя бы с ТУ на Випнет, я думаю никаких проблем с его получением у Вас не возникнет. Опять вы пропагандируете "творческий подход" 🙂

    Ответить
  4. Alexbek

    Уважаемый коллега, Вы все же передергиваете и ловко извращаете смысл моей реплики о том что положение ПП РФ 1119 истолковано Вами превратно (речь идет о ПОМЕЩЕНИЯХ, а не об обработке ПДн ИСКЛЮЧИТЕЛЬНО в помещениях), ведь дело было не в комплексе требований, а в вполне конкретном и по моему мнению толковали Вы его второпях и на эмоциях (в частности твит президенту и министру связи).
    В том что комплекс требований ведет к невозможности эксплуатации мобильных устройств (либо сводит мобильность на нет) для обработки ПДн секретом не является и в этом смысле ничего нового в регулировании не случилось.

    Ответить
  5. Алексей Лукацкий

    Alexbek, я не совсем понял ваш комментарий

    Ответить
  6. Алексей Лукацкий

    Алексей Т.: в смысле "обсуждя одно, ссылаться на другое"? Это общий подход регулятора. Он касается ведь не только одного конкретного ПО

    Ответить
  7. Алексей Т.

    Алексей, Вы пишите "посмотрим документацию к одному из сертифицированных СКЗИ…" Почитайте лучше документацию к Випнету http://infotecs.ru/downloads/product_docs.php?id_product=4882
    Там таких страшных и странных вещей нет. 😉
    Вряд ли она не анализировалась при сертификации ФСБ…

    Ответить
  8. Alexbek

    1. В Постановлении написано о необходимости организации режима обеспечения безопасности помещений. В этом легко убедиться, т.к. далее идет речь о лицах, не имеющих доступа в данные помещения, а не к устройствам (тем более мобильным).
    2. О мобильных устройствах речь в принципе не идет. Тем более непонятно, зачем давать такие категоричные комментарии о невозможности обработки ПДн с мобильных устройств. Учитывая, что часть аудитории не является экспертами в области ИБ Ваши комментарии на CNews только сбивают ее с толку.
    3. Заметьте, нигде не сказано «А вот если обработка ведется вне какого-либо помещения, то и режима никакого не нужно». Определите режим работы с мобильными устройствами для организации самостоятельно, исходя из модели угроз. Для этого и существуют эксперты.
    4. Итог: я считаю, что Вы ввели часть своей аудитории в заблуждение неаккуратным манипулированием требованиями Постановления с излишним эмоциональным окрасом.

    Ответить
  9. Алексей Лукацкий

    Alexbek: я пишу то, что считаю нужным написать. И то, как я вижу ситуацию. Аудитория блога — люди квалифицированные и могут дисскутировать. Доя этого и пишу — в дисскусии рождаются разные точки зрения и разные решения. Ну а об аудитории Cnews пусть думает Cnews. Если у них нашлось наглости копировать мой контент без согласования со мной, то и пусть сами и решают проблемы со своей аудиторией

    Ответить
  10. Алексей Лукацкий

    Алексей Т.: почитаю

    Ответить
  11. Алексей Лукацкий

    Почитал. Все-таки это не ТУ, а дока на продукт. Где бы ТУ почитать 😉

    Ответить
  12. karmix

    Ну в "Правилах пользования.." (которые ФАПСИ завещало обязательно исполнять) и "Руководстве пользователя.." эти вещи аккуратно обошли ))

    в общем все свелось к 2 идеям:
    1. Надо соблюдать текущие НПА по ЗИ
    2. Не давайте пользоваться устройством другим людям

    естественно про вынос из КЗ ни слова, что и понятно, иначе на кой такая поделка нужна

    Ответить
  13. VladimirZ

    Не совсем понятно почему на стр.12 Руководства администратора в "Комплекте поставки" ни слова нет про формуляр и Правила пользования.

    Ответить
  14. Алексей Т.

    Алексей, не всем и не всегда дают ТУ вместе с СКЗИ, там что можно и нужно руководствоваться ЭД. 😉 По Вашим правилам: как мне надо, так и интерпретирую. И при этом ничего не нарушая. БОлее того, и ФСТЭК и ФСБ вряд ли будут считать это нарушением (если представить, что они захотят проверить вдруг)…Так что используйте и не волнуйтесь. А боитесь джейлбрейка — андроид в помощь.

    Ответить
  15. Алексей Лукацкий

    Алексей Т.: Я не только боюсь джейлбрейка с точки зрения безопасности, но и не готов нарушать право на интеллектуальную собственность компании Apple.

    Если бы не эти две маленькие проблемки, то с удовольствием бы юзал СКЗИ для iOS.

    Ну а что касается Android, то именно с точки зрения безопасности и стабильности, я эту ОС не использую.

    Ответить
  16. Saint Despe

    Алексей, процедура jailbreak, буквально до недавнего времени, в отношении iphone, согласно положениям DCMA легальна и не нарушает авторских прав Apple, как минимум для всех устройств приобретенных до 2013 года. В отношении ipad — да, правила изменились 🙂

    Ответить
  17. Saint Despe

    upd: не DCMA, а DMCA разумеется :), Дигитал милениум который

    Ответить
  18. Алексей Лукацкий

    Использование AES в России тоже не запрещено, но отношение ФСБ всем известно 😉

    Ответить
  19. Анонимный

    "вот откуда НДВшная угроза в ПП-1119"
    и вовсе неоттуда…

    Ответить
  20. Flint

    1.От какого СКЗИ документация? Если СКЗИ не было сертифицировано для использования совместно с мобильными платформами или сертифицировано с ограничениями, то такое возможно. Если СКЗИ сертифицировано для мобильных платформ, то это как минимум странно, но если такое положение в документации указано, то модель угроз и нарушителя в помощь.
    2.То что нужны доп. меры защиты в комментариях не нуждается. Но тут опять же модель в помошь.
    3.ТУ для программных СКЗИ были только в далеких годах, сейчас их уже давно нет. Есть только для СКЗИ, выполненных аппаратно, или когда фиксируется железо.
    4.А вообще см.ПКЗ-2005.

    Ответить