- Как SafeMobile разделяет личные и рабочие данные на устройстве (контейнеризация, BYOD)?
SafeMobile разделяет личные и рабочие данные через контейнеризацию. На Android используются рабочие профили — контейнеры Google и Knox (Samsung) — на личных устройствах; на iOS — ограничение передачи файлов из управляемых приложений в неуправляемые. Для строгого сценария рекомендуется полностью переводить устройство в корпоративный режим.
Android (BYOD)
- Рабочий профиль на личном устройстве: рабочие приложения и данные изолированы от личных.
- Поддерживаются контейнеры Google и Knox (Samsung).
- Администратор управляет только рабочей частью; личная область пользователя остаётся приватной.
iOS
- Разделение реализуется через ограничение передачи файлов из управляемых (корпоративных) приложений в неуправляемые. Отдельного контейнера на уровне ОС, как на Android, в iOS нет.
Рекомендация
Для максимального контроля корпоративных данных рекомендуется не BYOD-сценарий, а полный перевод устройства в корпоративный режим (целиком как корпоративный контейнер).
Запрет скриншотов в контейнере — см. zapret-skrinshotov. Может ли пользователь удалить агент и что при этом происходит с корпоративными данными — описано в эксплуатационных материалах.
- Сертифицирован ли UEM SafeMobile ФСТЭК и входит ли в реестр российского ПО?
- Да. UEM SafeMobile сертифицирован ФСТЭК России (сертификат № 4845, 4 уровень доверия) и включён в единый реестр российского ПО. Продукт позволяет реализовать требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций». Разработчик — ООО «НИИ СОКБ ЦР», резидент Сколково.
Что это даёт заказчику
- Госсектор и КИИ — соответствие требованиям по защите информации (УД не ниже 4).
- Импортозамещение — наличие в реестре российского ПО как условие закупки.
- Финансовый сектор — поддержка требований ГОСТ Р 57580.1-2017.
- Аттестация ИС — сертифицированная версия пригодна для аттестуемых информационных систем.
Сравнение с конкурентами
По данным сравнения российских MDM, сертификация ФСТЭК с УД 4 — отличительная черта SafeMobile: ряд отечественных конкурентов имеют её лишь частично или не имеют.
Номера подтверждены официальным сайтом safe-mobile.ru: сертификат ФСТЭК № 4845 (4 УД, реестр ФСТЭК reestr.fstec.ru), реестр росПО № 11745 от 15.10.2021, ГОСТ Р 57580.1-2017.
- Да. UEM SafeMobile сертифицирован ФСТЭК России (сертификат № 4845, 4 уровень доверия) и включён в единый реестр российского ПО. Продукт позволяет реализовать требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций». Разработчик — ООО «НИИ СОКБ ЦР», резидент Сколково.
- Как защищается канал управления устройствами в SafeMobile?
Канал управления мобильными устройствами в SafeMobile защищается шифрованием AES. По чувствительным данным в канале управления конфиденциальная информация не передаётся, поэтому дополнительное ГОСТ-шифрование самого канала управления не требуется. Помимо шифрования, подлинность клиента подтверждается клиентскими сертификатами (mTLS).
Что защищает канал
- AES-шифрование трафика между устройством и сервером управления.
- Взаимная аутентификация (mTLS) — клиентский сертификат монитора выдаётся встроенным удостоверяющим центром SafeMobile; настройки SCEP для этого не требуется.
Про ГОСТ-шифрование
Поскольку в канале управления не передаются конфиденциальные данные, отдельное ГОСТ-шифрование канала не обязательно. При этом продукт сертифицирован ФСТЭК (УД 4) — см. sertifikaciya-fstec-reestr.
Российские сертификаты
Для участков, где нужны доверенные TLS-сертификаты взамен отозванных западных, используется Национальный удостоверяющий центр Минцифры (НУЦ) — см. nuc-sertifikaty.
mTLS-сертификат монитора по умолчанию действует 182 дня с автоматическим перевыпуском с половины срока. mTLS поддерживается начиная с SafeMobile 8.0; устройства, зарегистрированные раньше, считаются legacy.
- Можно ли защитить канал управления SafeMobile российскими сертификатами НУЦ?
Да. Канал управления SafeMobile можно защитить TLS-сертификатами Национального удостоверяющего центра (НУЦ) Минцифры, выпускаемыми через gosuslugi.ru/crt. Это снимает зависимость от западных удостоверяющих центров, чьи сертификаты для российских организаций отзывались, и обеспечивает доверенное подключение устройств к серверу управления.
Зачем это нужно
После отзыва сертификатов рядом западных УЦ российские организации столкнулись с тем, что доверенные TLS-сертификаты от привычных центров стали недоступны. НУЦ Минцифры выпускает российские сертификаты, которым доверяют отечественные браузеры и сервисы. Использование НУЦ-сертификата на сервере SafeMobile делает подключение устройств доверенным без западных CA.
Что в продукте отвечает за сертификаты
- Встроенный удостоверяющий центр SafeMobile и поддержка внешних УЦ (включая корпоративные CA).
- SCEP-сервер для пользовательских сертификатов (Wi-Fi и т.п.).
- Доставка сертификатов на устройства профилями (см. ios-sertifikaty для iOS).
Конкретный сценарий установки НУЦ-сертификата на сервер управления — в инструкции по настройке TLS; шаги enrollment с НУЦ описаны в материалах вендора.
- Можно ли запретить скриншоты в корпоративных приложениях через SafeMobile?
Да, SafeMobile позволяет запретить создание скриншотов. На Android запрет действует только на корпоративные приложения и не затрагивает личную область пользователя. На iOS запрет снимков экрана применяется ко всему устройству целиком — выборочно по приложениям его задать нельзя.
Разница между платформами
- Android — запрет скриншотов распространяется на корпоративные приложения; личная область не затрагивается. Это согласуется с разделением данных через рабочий профиль — см. kontejnerizaciya-byod.
- iOS — ограничение работает на уровне всего устройства, а не отдельных приложений (особенность платформы).
Когда это нужно
Запрет скриншотов используют для защиты конфиденциальной информации в корпоративных приложениях: финансовые данные, документы, переписка в рабочих мессенджерах. На Android это не мешает пользователю делать скриншоты в личных приложениях, что важно для BYOD-сценариев.
FAQ / Безопасность и сертификации