понедельник, 8 августа 2011 г.

СЗПДн. Анализ. iPad, iPhone и обработка ПДн

Рассмотрим задачу, когда Компании необходимо обрабатывать (просматривать) на устройствах типа iPad персональные данные. Пусть это будут не критичный набор персональных данных, но и не обезличенный. Следовательно, необходимо обеспечить безопасность обработки ПДн на iPad.

Особенности такой обработки, которые повлияют на оценку угроз:
· Обработка ПДн ведется чаще всего в виде просмотра через web-браузер.
· Хранение ПДн на устройстве не производится.
· Объем обрабатываемых на устройстве ПДн минимальный.
· Устройство чаще всего находится за пределами контролируемой зоны.
· В виду нетрадиционности и новизны ОС iOS, вероятность заражения вирусами небольшая, но в виду набора популярности iOS вероятность ненулевая – определим как «низкая».
Если немного упрощенно, то для данных условий получаем следующую модель угроз:
Наименование угрозы
Вероятность
Потенциальный ущерб от угрозы
Актуальность угрозы
Требования к мерам защиты, необходимым для нейтрализации актуальной угрозы
Организационные
Технические
Перехват ПДн передаваемых по каналу связи
Средняя
Низкий
Актуальная
Применение средств криптографической защиты ПДн
Нарушение характеристик безопасности ПДн в связи с несанкционированным физическим доступом к устройству
Средняя
Низкий
Актуальная
Обеспечение физической безопасности устройства
Применение средств защиты от НСД к ПДн
Нарушение характеристик безопасности ПДн в связи с несанкционированным сетевым доступом к устройству
Низкий
Низкий
Неактуальна
Применение средств межсетевого экранирования
Нарушение характеристик безопасности ПДн в связи с внедрением вредоносного ПО
Низкий
Низкий
Неактуальна
Применение средств антивирусной защиты
Рассмотрим, какими средствами можно реализовать необходимые контрмеры.
Средства защиты от НСД, работающие под iOS, фактически отсутствуют. Но средства защиты от НСД могут быть реализованы серверными компонентами, предоставляющими удаленный доступ к приложению по протоколам HTTP/HTTPS, либо самим приложением ИСПДн. Сертифицированных уже ФСТЭК РФ вариантов немало. Например:
· Citrix Presentation Server 4.5.
· Check Point Connectra.
· StoneGate SSL.
Наибольшая проблема возникает со средствами криптографической защиты.
В данный момент СКЗИ под iOS разрабатываются:
· ViPNet Client iOS, компанией ОАО «ИнфоТеКС».
· «Континент АП» для iOS, компанией ООО «Код Безопасности».
· «Крипто-Про CSP» для iOS, компанией ООО "КРИПТО-ПРО".
Но в данный момент они находятся на стадии бета-тестирования, после которого необходимо будет пройти этап сертификации.
Так что для обработку ПДн на устройствах типа iPad, iPhone лучше не планировать до середины 2012 года.

4 комментария:

Maksim комментирует...

Надо еще сказать, что для установки всех этих средств необходимо провести jailbrake, на что не все могут пойти.

Сергей Борисов комментирует...

Да уж, эта проблема с jailbrake и лишением гарантии приводит к тому, что в корпоративном варианте применение iPad и iPhone будет неприемлемым даже при наличие сертифицированных СЗИ.

ААА комментирует...

В iOS встроены мощные средства VPN (естественно, не сертифицированные) да и от кражи огрызки можно вполне неплохо защитить (как украсть то что шпионит за своим хозяином?).

Другой вопрос, каким образом можно использовать огрызок для обработки ПДн? Представил врача набивающего на айпаде диагноз.. картина скорей карикатурная, чем футуристическая.

Сергей Борисов комментирует...

Это не для врачей.
Это для руководства, которое подключается к SAP чтобы посмотреть интересные себе отчеты, в которых потенциально могут быть ПДн акционеров или партнеров.