Рассмотрим задачу, когда Компании необходимо обрабатывать (просматривать) на устройствах типа iPadперсональные данные. Пусть это будут не критичный набор персональных данных, но и не обезличенный. Следовательно, необходимо обеспечить безопасность обработки ПДн на iPad.
Особенности такой обработки, которые повлияют на оценку угроз:
·Обработка ПДн ведется чаще всего в виде просмотра через web-браузер.
·Хранение ПДн на устройстве не производится.
·Объем обрабатываемых на устройстве ПДн минимальный.
·Устройство чаще всего находится за пределами контролируемой зоны.
·В виду нетрадиционности и новизны ОС iOS, вероятность заражения вирусами небольшая, но в виду набора популярности iOSвероятность ненулевая – определим как «низкая».
Если немного упрощенно, то для данных условий получаем следующую модель угроз:
Наименование угрозы | Вероятность | Потенциальный ущерб от угрозы | Актуальность угрозы | Требования к мерам защиты, необходимым для нейтрализации актуальной угрозы | |
Организационные | Технические | ||||
Перехват ПДн передаваемых по каналу связи | Средняя | Низкий | Актуальная | Применение средств криптографической защиты ПДн | |
Нарушение характеристик безопасности ПДн в связи с несанкционированным физическим доступом к устройству | Средняя | Низкий | Актуальная | Обеспечение физической безопасности устройства | Применение средств защиты от НСД к ПДн |
Нарушение характеристик безопасности ПДн в связи с несанкционированным сетевым доступом к устройству | Низкий | Низкий | Неактуальна | Применениесредств межсетевого экранирования | |
Нарушение характеристик безопасности ПДн в связи с внедрением вредоносного ПО | Низкий | Низкий | Неактуальна | Применение средств антивирусной защиты |
Рассмотрим, какими средствами можно реализовать необходимые контрмеры.
Средства защиты от НСД, работающие под iOS, фактически отсутствуют. Но средства защиты от НСД могут быть реализованы серверными компонентами, предоставляющими удаленный доступ к приложению по протоколам HTTP/HTTPS, либо самим приложением ИСПДн. Сертифицированных уже ФСТЭК РФ вариантов немало. Например:
·CitrixPresentationServer 4.5.
·CheckPointConnectra.
·StoneGateSSL.
Наибольшая проблема возникает со средствами криптографической защиты.
В данный момент СКЗИ под iOSразрабатываются:
·ViPNetClientiOS, компанией ОАО «ИнфоТеКС».
·«Континент АП» для iOS, компанией ООО «Код Безопасности».
·«Крипто-Про CSP» для iOS, компанией ООО "КРИПТО-ПРО".
Но в данный момент они находятся на стадии бета-тестирования, после которого необходимо будет пройти этап сертификации.
Так что для обработку ПДн на устройствах типа iPad, iPhoneлучше не планировать до середины 2012 года.