Кому нужны сертифицированные средства управления мобильностью
Олег Ассур, 10/11/20
При мобилизации бизнеса и сотрудников в нынешних условиях часто возникает вопрос о необходимости применения сертифицированных систем управления мобильными устройствами. Чтобы узнать, зачем и кому они нужны, мы обратились к главному инженеру НИИ СОКБ Олегу Ассуру.
Олег Ассур, главный инженер НИИ СОКБ
– Олег, расскажите, почему госкомпаниям необходимо внедрять систему управления мобильными устройствами, сертифицированную ФСТЭК?
– Согласно постановлению Правительства РФ No 676 от 6 июля 2015 г., ни одна государственная информационная система (ГИС) не может быть введена в эксплуатацию без аттестации по требованиям безопасности информации. Если в ГИС используются мобильные устройства для доступа, хранения и обработки информации, то они должны быть защищены средствами защиты и управления мобильными устройствами (MDM/EMM/UEM), имеющими сертификат ФСТЭК России. Возможна альтернатива – реализовать функции MDM/EMM/UEM в прикладном ПО ГИС и сертифицировать его во ФСТЭК России, но это долго и дорого.
В процессе аттестации проверяется корректность использования и правильность настройки средств защиты информации, включая MDM/EMM/UEM. Корректность настройки проверяется по документам, на соответствие которым были сертифицированы решения, – техническим условиям, техническому заданию или заданию по безопасности.
– Какие сертифицированные решения по управлению различными типами мобильных устройств есть в России сегодня?
– Для управления и защиты различных типов мобильных устройств и операционных систем в настоящее время сертифицировано единственное решение – это наша платформа SafePhone.
Платформа SafePhone включена в реестр отечественных программ Минцифры России. Кроме того, применение SafePhone обеспечивает выполнение требований ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций".
– Каким еще организациям обязательно требуется сертифицированная MDM-система?
– Кроме компаний, эксплуатирующих государственные информационные системы с удаленным доступом с мобильных устройств, применять сертифицированные MDM-системы обязаны компании, являющиеся владельцами объектов критической информационной инфраструктуры. Конечно, если субъекты хотят получать к ним удаленный доступ.
Организациям, обрабатывающим персональные данные (ПДн), пока только рекомендовано использование сертифицированных средств защиты. Тем не менее многие такие компании уже сейчас выбирают решения, сертифицированные ФСТЭК, чтобы в случае возникновения инцидентов иметь необходимые аргументы.
Также над применением сертифицированных MDM-систем следует задуматься финансовым организациям, которые согласно ГОСТ Р 57580 должны использовать MDM-системы, если предоставляют своим сотрудникам удаленный доступ с мобильных устройств. ЦБ РФ использует наше решение SafePhone, и это еще один аргумент для того, чтобы обратить на него внимание.
– Правда ли, что удаленный доступ к ГИС и КИИ с мобильных устройств на Android и iOS невозможен?
– Нет, это неправда. Сегодня на улицах нашего города трудятся тысячи медицинских работников с планшетами на Android, подключенными к ЕМИАС. Аналогичными планшетами оснащаются врачи Московской и Калужской областей. И на всех этих мобильных устройствах установлен SafePhone, что позволило выполнить требования регуляторов в области информационной безопасности.
Планшетами на iOS врачей, конечно, не оснащают, но они используются многими государственными ведомствами для организации удаленного доступа руководителей к данным, нужным им для работы. Чтобы делать это не из-под полы, пересылая необходимые данные на личную почту, нужны сертифицированные решения. Опыт использования SafePhone для решения подобных задач у нас также имеется.
– Как можно снизить стоимость системы удаленного мобильного доступа к корпоративным данным?
– Типовой комплекс средств защиты мобильных устройств включает в себя VPN, MDM и антивирус. Чтобы оптимизировать затраты своих заказчиков, мы недавно встроили в свою платформу антивирусные библиотеки "Лаборатории Касперского". Теперь заказчикам нужно покупать на одно решение меньше.
Еще одним способом оптимизации затрат является приобретение сервиса на базе сертифицированного продукта из защищенного ЦОД, аттестованного по требованиям безопасности информации. Такую услугу на базе SafePhone мы также предоставляем.
