Проблематика и критерии доверенности для мобильных ОС, используемых на объектах КИИ

Мобильные операционные системы стали неотъемлемой частью бизнес-процессов, включая работу на объектах критической информационной инфраструктуры (КИИ). Использование мобильных ОС на объектах КИИ поднимает серьезные вопросы доверия и безопасности. С одной стороны, мобильность и удобство таких устройств повышают эффективность работы персонала, обеспечивают гибкость и оперативность. С другой стороны, использование мобильных ОС сопряжено с рядом проблем, обусловленных высокими требованиями к безопасности информации и спецификой работы на объектах КИИ.

Давайте рассмотрим основные моменты проблематики:

1. Зависимость от иностранных технологий: распространенные мобильные ОС контролируются зарубежными компаниями и требуют подключения к их серверам, что недопустимо для КИИ.
2. Несвоевременные обновления и техподдержка: производители ОС могут задерживать выпуск обновлений, а также не обеспечивать своевременную техническую поддержку, оставляя устройства уязвимыми для известных атак.
3. Использование устаревших версий ОС: мобильные устройства на объектах КИИ могут использовать устаревшие версии ОС, которые больше не поддерживаются производителями и не получают обновлений безопасности, а значит, уязвимы для атак.
4. Сбор данных: многие мобильные ОС скрыто собирают большой объем данных о пользователях, которые практически невозможно контролировать.
5. Облачные сервисы: мобильные ОС тесно связаны с облачными сервисами (синхронизация данных, резервное копирование, обновление программного обеспечения), это повышает риски компрометации данных.
6. Физическая доступность: утеря или кража мобильного устройства может привести к несанкционированному доступу к данным.
7. Недостаточная гибкость: многие мобильные ОС не позволяют настраивать политики безопасности в соответствии с требованиями регуляторов для объектов КИИ.
8. Человеческий фактор: сотрудники могут использовать мобильные устройства вне рабочих зон, подключать к незащищенным сетям, скачивать приложения с непроверенных источников — все это может привести к компрометации данных.

Исходя из перечисленных рисков безопасности мобильных ОС можно сформулировать критерии доверенности — основные требования, которым должна соответствовать ОС мобильного устройства, чтобы считаться безопасной и допустимой к применению на объектах КИИ. Эти критерии в первую очередь определяются законодательством Российской Федерации в области защиты информации, а также рекомендациями регулирующих органов, таких как Федеральная служба по техническому и экспортному контролю (ФСТЭК России) России и Федеральная служба безопасности (ФСБ России) России. Основными документами, регулирующим этот вопрос, являются Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ № 187-ФЗ) и приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» (Приказ № 239).

Исходя из требований нормативных правовых актов, для обеспечения доверенности мобильных ОС необходимо выполнение следующих условий:

1. Соответствие требованиям российских регулирующих органов.
2. Защищенность архитектуры: ОС должны иметь изолированные процессы, защиту загрузчика и контроль целостности системы.
3. Шифрование данных: поддержка современных алгоритмов шифрования (например, ГОСТ Р 34.12-2015), использование сертифицированных средств криптографической защиты информации (СКЗИ).
4. Управление доступом: реализация гибких политик управления доступом (ролевая модель управления доступом, дискреционная модель управления доступом, мандатная модель управления доступом).
5. Аудит и мониторинг: введение журналов событий безопасности, централизованный сбор этих событий, возможность удаленного блокирования.
6. Обновления и исправления уязвимостей: регулярное обновление ОС для устранения уязвимостей, внутренние репозитории, возможность проверки исходного кода, альтернатива зарубежным магазинам приложений.
7. Техподдержка: должна быть организована техническая поддержка ОС.

Сформулируем общие рекомендации для решения проблемы доверенности мобильных ОС:

1. Импортозамещение (в соответствии с приказом Минцифры от 18.01.2023 № 21):
   • разработка и использование отечественных мобильных ОС;
   • использование мобильных ОС, совместимых с российскими стандартами.
2. Сертификация и тестирование:
   • проведение сертификации мобильных ОС в ФСТЭК России (Приказ ФСТЭК России от 03.04.2028 № 55);
   • тестирование на соответствие требованиям безопасности: устойчивость к атакам, контроль целостности (п. 29.3 Приказа № 239, ГОСТ Р 56939-2024 от 20.12.2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»).
3. Использование средств защиты информации (СрЗИ):
   • интеграция с антивирусными решениями и средствами предотвращения вторжений IDS/IPS (ст. 18 Приказа ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»);
   • поддержка алгоритмов шифрования (ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 19 июня 2015 г. N 749-ст);
   • применение систем управления мобильными устройствами для централизованного контроля (п. 22 Приказа № 239).
4. Резервирование и восстановление:
   • создание резервных копий данных (ст. 10 ФЗ № 187-ФЗ, приложение к Приказу № 239);
   • обеспечение возможности восстановления данных (п. 16 Приказа № 239).
5. Журналирование:
   • ведение журналов событий безопасности (п. 13 Приказа № 239, ГОСТ Р 59548-2022 от 01.02.2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации»).
6. Исправление уязвимостей:
   • обеспечение своевременного обновления ОС (п. 12 Приказа № 239).
7. Обучение пользователей (п. 13, 22 Приказа № 239):
   • проведения обучения и тренингов безопасного использования мобильных устройств;
   • внедрение политик, регламентирующих использование мобильных устройств вне рабочих зон.

Хочется отметить, что критерии доверенности — это не просто рекомендации, а жесткие обязательные требования к мобильным ОС, используемым на объектах КИИ. Без их соблюдения использование смартфонов и планшетов на объектах КИИ может привести к серьезным последствиям, таким как:

1. утечка данных: компрометация конфиденциальной информации через уязвимости в ОС;
2. простои систем: атаки на мобильные ОС могут привести к нарушению работы критически важных систем;
3. правовые последствия: нарушение законодательства Российской Федерации может повлечь административную и уголовную ответственность;
4. репутационные потери: утрата доверия партнеров и клиентов, исключение их реестра поставщиков для КИИ.

Учитывая, что мобильные устройства все чаще используются в качестве точки входа для атак, необходимо уделять особое внимание обеспечению их безопасности и внедрять комплексные меры защиты, сочетающие технические средства защиты, организационные меры и обучение персонала. Решение этой задачи требует постоянного внимания, инвестиций и сотрудничества между всеми заинтересованными сторонами. Это тот случай, когда хорошо работает принцип «чем выше мобильность — тем строже изоляция».

В современных реалиях критерии доверенности становятся неотъемлемым элементом национальной безопасности. Их соблюдение — это не выбор, а обязательное условие для работы с КИИ. Организации, пренебрегающие этими требованиями, сознательно идут на риск.