Как выполнить требования ГОСТ Р 57580 по обеспечению безопасного удаленного доступа с мобильных устройств, не запрещая их использования
Об обязательности требований ГОСТР57580 для финансовых организаций, порядке их внедрения иметодах оценки соответствия написано множество статей, дано много рекомендаций, сделано немало комментариев. Согласно требованиям ЦБ, до 01.01.2021 необходимо не только обеспечить соответствие требованиям стандарта, но ипредоставить регулятору отчет обэтом соответствии. На российском рынке существует немало квалифицированных аудиторских компаний, оказывающих услуги финансовым организациям, но доказательство соответствия порой превращается вполемику встиле: Не читал, но осуждаю!.
Мы хотим поделиться практическим опытом реализации одного из восьми процессов, именованным вГОСТе как Процесс8. Защита информации при осуществлении удаленного логического доступа сиспользованием мобильных (переносных) устройств.
Базовый состав мер по защите информации от раскрытия имодификации при осуществлении удаленного доступа
ЗУД.1. Определение правил удаленного доступа и перечня ресурсов доступа, к которым предоставляется удаленный доступ
Правила несложные: удаленный доступ должен предоставляться по запросу при наличии служебной необходимости; ни одному работнику не должен предоставляться удаленный доступ ко всем ресурсам, только доступ кограниченному числу ресурсов, необходимых для работы. Реализация этой организационной меры подтверждается нормативными документами, определяющими порядок предоставления удаленного доступа политика удаленного доступа, ссылающаяся на общую политику ИБ, шаблоны заявок на предоставление доступа ит.д.
ЗУД.2. Аутентификация мобильных (переносных) устройств удаленного доступа
Мобильные устройства не проходят аутентификацию сами по себе. За них это делают мобильные приложения, спомощью которых осуществляется удаленный доступ. Пользователь мобильного приложения должен проходить аутентификацию при удаленном доступе путем ввода пароля от учетной записи, предъявления пользовательского сертификата ит.п.
ЗУД.3. Предоставление удаленного доступа только с использованием мобильных (переносных) устройств доступа, находящихся под контролем системы централизованного управления и мониторинга (системы Mobile Device Management, MDM)
На мобильных устройствах должны применяться политики безопасности по крайней мере вобъеме меры ЗУД.10, атакже должен осуществляться мониторинг этих устройств на предмет выявления признаков программного взлома (root, jailbreak), чтобы скомпрометированные устройства не могли получить доступ вкорпоративную сеть. Для этого нужно использовать системы централизованного управления мобильностью. Внастоящее время их принято называть EMM-системами (от англ. Enterprise Mobility Management управление корпоративной мобильностью), но во времена разработки ГОСТ чаще использовался термин MDM (Mobile Device Management управление мобильными устройствами). Вчасти реализации мер ГОСТР57580 это одно ито же, поэтому далее используется термин MDM.
Реализация меры заключается втом, что на все мобильные устройства, скоторых осуществляется удаленный доступ, должен быть установлен MDM-клиент. Также необходимо регулярно проверять, какие устройства удаленно подключаются ккорпоративным ресурсам, чтобы не допустить ситуации, когда личный смартфон сотрудника без контроля иуправления со стороны MDM получает доступ вкорпоративную сеть. Например, такое может произойти, если пользователь сам поставил себе VPN-клиент сдоменной авторизацией или настроил доступ сличного устройства без MDM квнутренней электронной почте по MS ActiveSync, который остался доступен из интернета вопреки реализации меры ЗУД.6.
Мера обязательна для первых двух уровней защиты, для третьего ее реализация необязательна, хотя мы рекомендуем использовать MDM всегда. Системы управления мобильными устройствами не только компенсируют риски ИБ, но исокращают затраты IT на техническую поддержку мобильных устройств ворганизации.
ЗУД.4. Реализация защиты информации от раскрытия и модификации, применение двухсторонней взаимной аутентификации участников информационного обмена при ее передаче при осуществлении удаленного логического доступа
Меру можно рассматривать как усиление или конкретизацию меры ЗУД.2. Аутентификация мобильных приложений иинформационных ресурсов, ккоторым они получают удаленный доступ, должны быть взаимной. Например, сервер проводит аутентификацию клиента по логину ипаролю или по сертификату, амобильное приложение (клиент) проверяет сертификат сервера. Поскольку вбольшинстве случаев для информационного обмена используется протокол HTTPS, реализация этой меры не составляет большого труда.
Базовый состав мер по защите внутренних вычислительных сетей при осуществлении удаленного доступа
ЗУД.5 Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4
В дополнение креализации мер ЗУД.2 иЗУД.4 нужно осуществлять авторизацию учетных записей работников (проверять наличие уних полномочий для удаленного доступа). Обычно эта мера реализуется спомощью назначения учетным записям ролей и/или включения их вгруппы безопасности, взависимости от которых учетным записям разрешается обращение ктем или иным информационным ресурсам.
Кроме того, финансовой организации следует использовать двухфакторную аутентификацию. Здесь умобильных устройств есть своя особенность. Если на мобильном устройстве настроена биометрия для доступа кмобильному устройству, аутентификацию нельзя считать двухфакторной, потому что пользователь всегда предъявляет только один фактор или биометрию, или пароль, но не то идругое вместе.
Еще одно расхожее заблуждение при смешении факторов иэтапов: если пользователь сначала вводит пароль доступа кустройству, апотом вводит пароль доступа кприложению это двухэтапная, но не двухфакторная аутентификация, потому что фактор используется тот же (пароль).
На практике можно считать двухфакторной аутентификацией процесс, когда пароль для доступа кмобильному устройству дополняется биометрией при доступе кприложению. Подойдут также одноразовые пароли, токены ит.д. Влюбом случае второй фактор придется реализовывать вприложениях, спомощью которых осуществляется удаленный доступ. Ограничиться настройками мобильных ОС не получится, потому что встроенная аутентификация однофакторная.
ЗУД.6 Запрет прямого сетевого взаимодействия мобильных (переносных) устройств доступа и внутренних сетей финансовой организации на уровне выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем.
Для удаленного доступа кресурсам финансовой организации необходимо всегда использовать VPN, втом числе при использовании Wi-Fi-сетей финансовой организации. Мера обязательна для первых двух уровней защиты. Для третьего уровня защиты реализация меры необязательна.
Практическая рекомендация по реализации организовывать доступ кMDM напрямую через интернет без использования VPN. Всистеме MDM не содержатся конфиденциальные данные финансовой организации иканал управления, как правило, шифруется встроенными средствами. Дополнительная защита канала управления спомощью VPN не только излишняя, но иприводит ктому, что мобильные устройства остаются без управления изащиты, если VPN-шлюз недоступен или пользователь выключил VPN на устройстве.
ЗУД.7 Реализация доступа к ресурсам интернета только через информационную инфраструктуру финансовой организации после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4
Для минимизации угрозы фишинга иограничения доступа кскомпрометированным веб-ресурсам мобильные устройства должны обращаться кинтернету так же, как ирабочие станции внутри периметра финансовой организации через системы URL-фильтрации, потоковые антивирусы идругие средства защиты трафика. Мобильные VPN-клиенты могут быть настроены так, чтобы весь исходящий трафик мобильного устройства направлялся вкорпоративную сеть. Но пользователь может выключить VPN внастройках мобильного устройства, даже если такой возможности не предоставляет интерфейс VPN-приложения. Запретить это можно только на устройствах Android при помощи MDM-политик. Для устройств iOS остается только контролировать подключения на VPN-шлюзе. Если устройство не подключено кVPN-шлюзу, но подключено кMDM, то это значит, что пользователь выключил VPN.
Мера обязательна креализации для первого ивторого уровней защиты информации. Для третьего уровня защиты мера необязательна.
ЗУД.8 Контентный анализ информации, передаваемой мобильными (переносными) устройствами в интернет с использованием информационной инфраструктуры финансовой организации
В дополнение кмере ЗУД.7 уточняется, что для защиты трафика мобильных устройств должны применяться средства контентного анализа. Как иЗУД.7, мера обязательна только для первых двух уровней защиты информации.
ЗУД.9 Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и мобильных (переносных) устройств в соответствии с установленными правилами и протоколами сетевого взаимодействия
В значительной степени это техническая реализация меры ЗУД.1. Пользователи должны получать доступ только кразрешенным ресурсам. Ограничение информационного взаимодействия должно быть реализовано спомощью настройки правил межсетевого экранирования. Правила должны быть настроены по принципу белого списка запрещать все, кроме явно разрешенного. Причем серверные компоненты информационных ресурсов должны быть доступны не целиком, атолько по тем протоколам ипортам, которые нужны для информационного обмена сприложениями на мобильных устройствах.
Базовый состав мер по защите информации от раскрытия имодификации при ее обработке ихранении на мобильных (переносных) устройствах
ЗУД.10 Применение системы централизованного управления и мониторинга (MDM-системы)
Меру необходимо реализовывать для первого ивторого уровней защиты информации. На третьем уровне защиты ее реализация является рекомендуемой, но необязательной. Мера предъявляет всовокупности 12 требований ксистемам MDM.
Шифрование ивозможность дистанционного удаления информации, полученной врезультате взаимодействия синформационными ресурсами финансовой организации
Современные мобильные устройства содержат встроенные средства шифрования. Все устройства сОС Android7 ивыше по умолчанию шифруют свои данные. Для устройств сОС Android6 иниже можно включить шифрование спомощью MDM, но доля таких устройств невелика. На устройствах сiOS шифрование включается автоматически, когда пользователь устанавливает пароль для доступа кустройству, поэтому достаточно спомощью MDM запретить доступ кустройству без пароля.
Дистанционное удаление данных смобильных устройств является базовой функцией любой MDM-системы. Ее используют, если пользователи сообщают опотере или краже мобильных устройств. Функцию дистанционной очистки устройств также используют при подготовке устройства, когда оно передается от одного пользователя другому, например при увольнении. Издесь есть важный нюанс.
Для защиты устройств от кражи Apple иGoogle предлагают пользователям настроить функцию Find My Device, которая после сброса устройства кзаводским настройкам не даст использовать его повторно, если пользователь не введет пароль от своей учетной записи. Первым эту функцию реализовал Apple, что сократило число краж iPhone иiPad внесколько раз.
Представьте, что сотрудник не выключил функцию Find My Device ирешил уволиться. Перед увольнением сотрудника администраторы удаленно сбросили устройство кзаводским настройкам иотдали его на склад, пока оно не понадобится новому сотруднику. Через месяц поступает заявка на подготовку этого устройства, его включают, но не могут настроить, потому что пароль от учетной записи уволенного сотрудника неизвестен, аего самого уже ислед простыл. Остается только списывать устройство как сломанное.
Есть три способа не столкнуться сэтой проблемой:
-
запрещать сотрудникам использовать функцию Find My Device;
-
требовать обязательного отключения функции Find My Device на устройстве до увольнения сотрудника;
-
использовать корпоративные аналоги функции Find My Device всоставе MDM-систем.
Аутентификация пользователей на устройстве доступа
С помощью MDM нужно настроить требование кналичию пароля на мобильных устройствах, чтобы устройство, например, оставленное сотрудником на столе, не смог использовать никто другой. Разнообразие политик безопасности всовременных мобильных операционных системах позволяет потребовать теоретически сколь угодно сложный пароль: например, 27-символьный пароль, вкотором должны содержаться буквы верхнего инижнего регистров, цифры испецсимволы.
Практическая рекомендация: достаточно настроить запрет использования простых паролей, содержащих повторяющиеся символы (1111, 2222) или восходящие/убывающие последовательности символов (1234, 9876), атакже ограничить число ошибок ввода пароля, чтобы сотрудники могли использовать удобные цифровые пароли длиной в46символов ипри этом вероятность подбора пароля оставалась низкой.
На мобильных устройствах превышение числа ошибок ввода пароля приводит ксбросу устройств кзаводским настройкам, ане кблокировке учетной записи, как это реализовано на рабочих станциях сWindows или macOS. Обычно после пятой ошибки мобильная операционная система начинает увеличивать интервалы между вводами пароля, чтобы пользователь наконец убедился втом, что забыл пароль, исмог обратиться кадминистратору MDM, чтобы тот сбросил ему пароль удаленно. Мы рекомендуем устанавливать возможность совершить 810ошибок при вводе пароля.
Блокировка устройства по истечении определенного промежутка времени неактивности пользователя, требующая выполнения повторной аутентификации пользователя на устройстве доступа
Пользователь может настроить мобильное устройство так, что пароль доступа кнему нужно будет вводить только после перезагрузки. Сточки зрения безопасности это не очень сильно отличается от отсутствия пароля. Чтобы исключить это, нужно спомощью MDM настроить максимальное время неактивности пользователя до блокировки сеанса. Рекомендуется устанавливать от одной до трех минут.
Управление обновлениями системного ПО
Обновления мобильных ОС содержат обновления безопасности, поэтому важно устанавливать их своевременно. Техническая возможность устанавливать обновления мобильных ОС есть только на устройствах сAndroid10 ивыше ина Android-устройствах производства Samsung спомощью сервиса Samsung E-FOTA One. На других устройствах технической возможности своевременно установить обновление ОС нет.
В то же время часто возникает необходимость решить обратную задачу запретить или хотя бы отложить обновление мобильной ОС. Запрет или отсрочка обновления необходимы, например, чтобы разработчики смогли адаптировать мобильные приложения для новой версии ОС. Минорные обновления внутри одной мажорной версии ОС, например сAndroid8.1 на Android8.2, обычно не требуют доработки приложений, но при мажорном обновлении ciOS13 на iOS14, например, они могут понадобиться. Запретить обновление ОС можно только на Android-устройствах Samsung, на других устройствах его можно только отложить.
Управление параметрами настроек безопасности системного ПО устройств доступа
Современные мобильные ОС содержат сотни политик безопасности, которые можно разделить на несколько основных групп.
Управление доступом кинтерфейсам записи ипередачи данных, включая камеру, микрофон, Wi-Fi, мобильный интернет, Bluetooth, режим мобильной точки доступа, когда мобильное устройство предоставляет доступ кмобильному интернету по Wi-Fi, Bluetooth или USB ит.д. Политики этой группы могут применяться во время проведения совещаний или для исключения утечки файлов смобильного устройства сиспользованием Bluetooth.
Ограничение встроенных функций ОС. Самая большая группа по числу возможных политик. Из них наиболее востребованными являются: запрещение загрузки Android-устройства вбезопасном режиме, вкотором непрерывная работа средств защиты информации может быть нарушена пользователем, атакже запрещение использования внешних накопителей (SD-карт), которые могут быть применены для несанкционированного копирования данных финансовой организации. На iOS рекомендуется запрещать пользователям устанавливать конфигурационные профили, спомощью которых они могут изменить действующий набор политик безопасности.
Иногда требуется запретить пользователям сбрасывать устройства кзаводским настройкам, чтобы их умышленные или случайные действия не могли нарушить непрерывность бизнес-процессов финансовой организации. При этом уадминистратора MDM сохраняется возможность выполнить сброс дистанционно вцелях обеспечения информационной безопасности.
Ограничение сервисов телефонии, включая полный или частичный запрет голосовых вызовов или прием/передачу коротких сообщений. Может применяться во время совещаний, переговоров, чтобы пользователи мобильных устройств, например, не отвлекались на входящие сообщения ивызовы.
Управление составом иобновлениями прикладного ПО
Использование MDM-системы позволяет упростить распространение приложений на мобильные устройства финансовой организации, обеспечивая их централизованную установку, обновление иконфигурацию. Кроме того, финансовой организации может потребоваться запретить отдельные приложения, мешающие пользователям или отвлекающие их от работы, игры, социальные сети ит.д. Вотдельных случаях мобильные устройства спомощью систем MDM превращают втак называемые цифровые киоски, на которых доступно только одно или несколько разрешенных мобильных приложений.
С точки зрения информационной безопасности необходимо запретить установку мобильных приложений из непроверенных источников, атакже при необходимости впринципе запретить пользователям устанавливать мобильные приложения, распространяя их только из доверенного MDM-хранилища. Более подробно эти запреты рассмотрены ниже, вописании реализации меры ЗУД.11.
Невозможность использования мобильного (переносного) устройства врежиме USB-накопителя, атакже врежиме отладки
Запрет доступа кфайлам мобильного устройства по USB защищает от утечки данные финансовой организации. Вто же время, если эти данные зашифрованы, то их выгрузка смобильного устройства взашифрованном виде не приведет ккомпрометации.
Режим отладки позволяет устанавливать на мобильные устройства приложения вобход системы MDM ипубличных каталогов Google Play иApp Store. Этой возможностью вполне реально воспользоваться, например, когда мобильное устройство сдается перед переговорами. Режим отладки нужен только разработчикам приложений, рядовым пользователям он не требуется, поэтому его следует запретить.
Для iOS режима отладки нет, но при наличии ноутбука под macOS сустановленным XCode изнании пароля доступа кустройству возможна несанкционированная установка на него приложения по USB. Для защиты от этого нужно перевести iOS-устройство врежим supervised иустановить спомощью MDM запрет подключения мобильного устройства ко всем рабочим станциям, кроме той, которую использовал администратор для перевода устройства вsupervised-режим. Этот же запрет ограничит доступ кфайлам iOS-устройства по USB.
Управление ключевой информацией, используемой для организации защищенного сетевого взаимодействия
MDM-системы позволяют автоматизировать выпуск иобеспечить централизованную доставку на мобильные устройства цифровых сертификатов. Сертификаты выписываются на удостоверяющем центре финансовой организации имогут применяться для аутентификации доступа мобильных устройств кWi-Fi-сетям или внутренней электронной почте. Кроме того, эти сертификаты могут применяться для аутентификации доступа кVPN-сети, если используемое VPN-решение использует такой способ аутентификации. Ключевое ограничение этой технологии заключается втом, что она оказывается несовместимой сотечественной криптографией. Удостоверяющие центры, реализующие алгоритмы ГОСТ-шифрования, не содержат прикладных интерфейсов (API), для того чтобы внешняя MDM-система могла выпустить на них сертификат. Если VPN-решение использует симметричную криптографию без цифровых сертификатов, то управление ключевой информацией обычно полностью сосредоточено внутри решения VPN. Вэтом случае MDM-система тоже не может помочь дополнительно автоматизировать или упростить этот процесс.
Возможность определения местонахождения мобильного устройства
MDM-системы позволяют не только управлять смартфонами ипланшетами, устанавливая на них политики безопасности имобильные приложения, но иосуществлять мониторинг корпоративных мобильных активов. Одной из самых востребованных функций мониторинга является определение местонахождения мобильных устройств. Его используют для решения нескольких задач:
-
поиск утерянных устройств. Вэтом случае, как правило, их дистанционно блокируют, после чего производят поиск по последним полученным от устройства координатам;
-
применение политик безопасности взависимости от местоположения устройства, например запрет использования камеры вофисах финансовой организации;
-
контроль выполнения трудовых обязанностей полевого персонала, например фиксация фактов отклонения движения инкассаторов от регламентного маршрута или непосещения подконтрольных отделений супервайзерами;
-
выявление фактов утечки инсайда. Данные оместоположении мобильных устройств всовокупности синформацией окоммуникациях абонентов позволяют выявлять нежелательные социальные связи ипредотвращать утечку инсайда.
Регистрация смены SIM-карты
Необходимо фиксировать факты извлечения исмены SIM-карты мобильного устройства. Делается это для защиты данных при потере или краже устройства. Если устройство украдут, то первое, что сним сделают, это извлекут SIM-карту, чтобы устройство нельзя было отследить. Поэтому дополнительно рекомендуется настроить автоматическую блокировку устройства при извлечении SIM-карты спомощью MDM.
Запрет переноса информации воблачные хранилища данных, расположенные вобщедоступных сетях (например, iCIoud)
С помощью доступа коблачным резервным хранилищам пользователи могут случайно или преднамеренно допустить утечку конфиденциальных данных финансовой организации. Защититься от этого можно несколькими способами.
-
Запретить доступ кiCloud, DropBox, Яндекс Диск, Google Drive идругим аналогичным сервисам. Спомощью встроенных политик безопасности мобильных ОС можно запретить только доступ кiCloud для iOS ирезервное копирование на серверы Google для Android. Доступ костальным сервисам можно ограничить только спомощью запрета наличия на мобильных устройствах соответствующих мобильных приложений.
-
Хранить данные на мобильном устройстве взашифрованном виде. Вэтом случае неважно, как икуда смобильного устройства будут выгружены данные. Если они зашифрованы, то утечки не будет. Достаточно обеспечить неизвлекаемость ключа шифрования смобильного устройства.
Обеспечение возможности централизованного управления имониторинга при смене SIM-карты
Требование скорее относится кинформационной инфраструктуре финансовой организации. Смена SIM-карты может повлиять на возможность централизованного управления лишь водном случае если доступ ксерверу системы MDM возможен только сопределенных SIM-карт. Такое возможно, если финансовая организация приобрела усотового оператора специальный тариф, врамках которого трафик скорпоративных SIM-карт маршрутизируется вкорпоративную сеть. Чтобы не терять возможность управления при замене такой SIM-карты на другую, нужно обеспечить доступность сервера системы MDM из интернета. Это позволит осуществлять непрерывное управление мобильными устройствами вне зависимости от работоспособности идоступности VPN-шлюза иустановленной вмобильном устройстве SIM-карты.
ЗУД.11 Обеспечение защиты мобильных (переносных) устройств от воздействий вредоносного кода
На рабочих станциях вирусы обычно содержатся вфайлах, которые при открытии эксплуатируют одну из уязвимостей операционной системы или установленных вней приложений. На мобильных устройствах запустить отдельный файл нельзя, можно запустить только приложение. Поэтому большинство вирусов представляют собой модифицированные версии привычных приложений, которые при установке вобход официальных каталогов Google Play иApp Store, например, могут несанкционированно собирать данные финансовой организации.
Рекомендуем несколько проверенных способов защиты от этого.
-
Запретить пользователям устанавливать приложения на мобильные устройства иустанавливать все приложения централизованно спомощью MDM, предварительно проверяя дистрибутивы приложений спомощью антивируса.
-
Запретить пользователям устанавливать приложения из непроверенных источников. Тогда на мобильных устройствах будут только проверенные приложения, установленные спомощью MDM или из официальных каталогов Google Play иApp Store.
-
Установить на мобильные устройства антивирус ввиде отдельного приложения или всоставе приложения MDM. Вэтом случае все файлы иприложения на мобильном устройстве будут проверяться на наличие вредоносного кода. Это позволить проверять на наличие вирусов приложения, устанавливаемые пользователями из Google Play.
Для iOS антивирусов не бывает. Ни одно приложение на iOS не может получить доступ кфайлам других приложений, поэтому разработать антивирус для iOS невозможно. Врезультате на iOS можно использовать только первые два способа реализации меры ЗУД.11.
ЗУД.12 Стирание информации конфиденциального характера с мобильных (переносных) устройств средствами, обеспечивающими полную перезапись данных, при осуществлении вывода мобильных (переносных) устройств из эксплуатации, а также при необходимости их передачи в сторонние организации, между работниками и (или) структурными подразделениями финансовой организации
Если сотрудник увольняется или корпоративное мобильное устройство сдается времонт, настоятельно рекомендуем стереть на мобильном устройстве информацию, чтобы защитить свои корпоративные данные. Когда мобильное устройство сбрасывают кзаводским настройкам, на нем стирается ключ шифрования данных, и,даже если злоумышленнику удастся снять полный образ памяти устройства, он ничего не сможет сним сделать. Стирание только ключа шифрования данных позволяет сделать сброс кзаводским настройкам максимально быстрым. Оперативно перезаписать несколько сотен гигабайт данных нельзя, поэтому перезапись данных на современных мобильных устройствах не используется.
Надеемся, что статья окажется полезной не только для компаний, которые проходят аудит на соответствие ГОСТР57580, но идля всех компаний, которые активно используют мобильные устройства всвоих бизнес-процессах.
