Мобильные операционные системы стали неотъемлемой частью бизнес-процессов, включая работу на объектах критической информационной инфраструктуры (КИИ). Использование мобильных ОС на объектах КИИ поднимает серьезные вопросы доверия и безопасности. С одной стороны, мобильность и удобство таких устройств повышают эффективность работы персонала, обеспечивают гибкость и оперативность. С другой стороны, мобильные устройства часто являются слабым звеном в КИИ. Так, согласно исследованию «Стингрей Технолоджиз», 56% мобильных приложений содержат уязвимости высокого и критичного уровня.
Давайте рассмотрим основные моменты проблематики:
- Зависимость от иностранных технологий (распространенные мобильные ОС контролируются зарубежными компаниями и требуют подключения к их серверам, что недопустимо для КИИ).
- Несвоевременные обновления и техподдержка (производители ОС могут задерживать выпуск обновлений, а также не обеспечивать своевременную техническую поддержку, оставляя устройства уязвимыми для известных атак).
- Использование устаревших версий ОС (мобильные устройства на объектах КИИ могут использовать устаревшие версии ОС, которые больше не поддерживаются производителями и не получают обновлений безопасности, а значит уязвимы для атак).
- Сбор данных (многие мобильные ОС скрыто собирают большой объем данных о пользователях, которые практически невозможно контролировать).
- Облачные сервисы (мобильные ОС тесно связаны с облачными сервисами синхронизации данных, резервного копирования, обновления ПО, что повышает риски компрометации данных).
- Физическая доступность (утеря или кража мобильного устройства может привести к несанкционированному доступу к данных).
- Отсутствие управления мобильными устройствами MDM (часто на объектах КИИ отсутствует надлежащая система MDM).
- Недостаточная гибкость (многие мобильные ОС не позволяют настраивать политики безопасности в соответствии с требованиями регуляторов для объектов КИИ).
- Человеческий фактор (сотрудники могут использовать мобильные устройства вне рабочих зон, подключать к незащищенным сетям, скачивать приложения с непроверенных источников — все это может привести к компрометации данных).
Исходя из перечисленных рисков безопасности мобильных ОС можно сформулировать критерии доверенности (т. е. основные требования, которым должна соответствовать ОС мобильного устройства, чтобы считаться безопасной и допустимой к применению на объектах КИИ). Эти критерии в первую очередь определяются законодательством Российской Федерации в области защиты информации, а также рекомендациями регуляторов, таких как Федеральная служба по техническому и экспортному контролю (ФСТЭК) России и Федеральная служба безопасности (ФСБ) России. Основными документами, регулирующим этот вопрос, являются Федеральный закон от 26.07.2017 №
Исходя из требований нормативно-правовых актов, для обеспечения доверенности мобильных ОС необходимо выполнение следующих условий:
- Соответствие требованиям российских регуляторов.
- Защищенность архитектуры (ОС должны иметь изолированные процессы, защиту загрузчика и контроль целостности системы).
- Шифрование данных (поддержка современных алгоритмов шифрования, например, ГОСТ Р
34.12-2015, использование сертифицированных средств криптографической защиты информации). - Управление доступом (реализация гибких политик управления доступом RBAC, DAC, MAC).
- Аудит и мониторинг (введение журналов событий безопасности, централизованный сбор логов, возможность удаленного блокирования).
- Обновления и исправления уязвимостей (регулярное обновление ОС для устранения уязвимостей, внутренние репозитории, возможность проверки исходного кода, альтернатива зарубежным магазинам приложений).
- Техподдержка (должна быть организована техническая поддержка ОС).
Ниже в таблице проведено сравнение наиболее распространенных мобильных ОС по основным критериям доверенности для объектов КИИ.
Сравнение мобильных ОС
| Критерий доверенности | Windows | Android | Android (AOSP) | iOS | «Аврора» | Astra Linux Mobile |
|---|---|---|---|---|---|---|
| Сертификация ФСТЭК | нет | нет | нет | нет | да | да |
| Криптография (ГОСТ) | нет | нет | нет | нет | да | да |
| Локализация обновлений | нет | нет | да | нет | да | да |
| Контроль целостности | нет | нет | да | нет | да | да |
| Изоляция данных | Нет | нет | Частично | нет | да | да |
| Поддержка MDM | Ограничено | Ограничено | Ограничено | Ограничено | да | да |
| Контроль кода | нет | нет | Частичный | нет | Частичный | Полный |
| Экосистема приложений | Широкая (контролируется зарубежным вендором) | Широкая (контролируется зарубежным вендором) | Широкая (контролируется зарубежным вендором) | Широкая (контролируется зарубежным вендором) | Ограниченная (около 500 приложений) | Узкоспециализированная |
Сравнение показало, что:
- Отечественные решения (Astra Linux Mobile, «Аврора») можно считать доверенными мобильными ОС, но есть проблемы из-за ограниченности экосистемы.
- Кастомизированная ОС Android (AOSP) может стать доверенной мобильной ОС при жестком контроле и интеграции СКЗИ.
- Мобильные ОС iOS, Android, Windows не соответствуют критериям доверенности для КИИ.
Можно сформулировать общие рекомендации для решения проблемы доверенности мобильных ОС:
- Импортозамещение (в соответствии с приказом Минцифры от 18.01.2023 № 21):
- разработка и использование отечественных мобильных ОС;
- использование мобильных ОС, совместимых с российскими стандартами.
- Сертификация и тестирование:
- проведение сертификации мобильных ОС в ФСТЭК России (Приказ ФСТЭК России от 03.04.2028 № 55);
- тестирование на соответствие требованиям безопасности (устойчивость к атакам, контроль целостности) (п. 29.3 Приказа № 239, ГОСТ Р
56939-2024 от 20.12.2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»).
- Использование средств защиты информации (СрЗИ):
- интеграция с антивирусными решениями и средствами предотвращения вторжений IDS/IPS (ст. 18 Приказа ФСТЭК России от 14.03.2014 № 31 ″ Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды«);
- поддержка алгоритмов шифрования (ГОСТ Р
34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 19 июня 2015 г. N749-ст ); - применение систем управления мобильными устройствами для централизованного контроля (п. 22 Приказа № 239).
- Резервирование и восстановление:
- создание резервных копий данных (ст. 10 ФЗ №
187-ФЗ , приложение к Приказу № 239); - обеспечение возможности восстановления данных (п. 16 Приказа № 239).
- создание резервных копий данных (ст. 10 ФЗ №
- Журналирование:
- ведение журналов событий безопасности (п. 13 Приказа № 239, ГОСТ Р
59548-2022 от 01.02.2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации»).
- ведение журналов событий безопасности (п. 13 Приказа № 239, ГОСТ Р
- Исправление уязвимостей:
- обеспечение своевременного обновления ОС (п. 12 Приказа № 239).
- Обучение пользователей (п. 13, 22 Приказа № 239):
- проведения обучения и тренингов безопасного использования мобильных устройств;
- внедрение политик, регламентирующих использование мобильных устройств вне рабочих зон.
Хочется отметить, что критерии доверенности — это не просто рекомендации, а жесткие обязательные требования к мобильным ОС, используемым на объектах КИИ. Без их соблюдения использование смартфонов и планшетов на объектах КИИ может привести к серьезным последствиям, таким как:
- утечка данных (компрометация конфиденциальной информации через уязвимости в ОС);
- простои систем (атаки на мобильные ОС могут привести к нарушению работы критически важных систем);
- правовые последствия (нарушение законодательства Российской Федерации может повлечь административную и уголовную ответственность);
- репутационные потери (утрата доверия партнеров и клиентов, исключение их реестра поставщиков для КИИ).
Учитывая, что мобильные устройства все чаще используются в качестве точки входа для атак, необходимо уделять особое внимание обеспечению их безопасности и внедрять комплексные меры защиты, сочетающие технические средства защиты, организационные меры и обучение персонала. Решение этой задачи требует постоянного внимания, инвестиций и сотрудничества между всеми заинтересованными сторонами. Это тот случай, когда хорошо работает принцип «чем выше мобильность — тем строже изоляция».
В современных реалиях критерии доверенности становятся неотъемлемым элементом национальной безопасности. Их соблюдение — это не выбор, а обязательное условие для работы с КИИ. Организации, пренебрегающие этими требованиями, сознательно идут на риск.
