• SafeMobile разделяет личные и рабочие данные через контейнеризацию. На Android используются рабочие профили — контейнеры Google и Knox (Samsung) — на личных устройствах; на iOS — ограничение передачи файлов из управляемых приложений в неуправляемые. Для строгого сценария рекомендуется полностью переводить устройство в корпоративный режим.

    Android (BYOD)

    • Рабочий профиль на личном устройстве: рабочие приложения и данные изолированы от личных.
    • Поддерживаются контейнеры Google и Knox (Samsung).
    • Администратор управляет только рабочей частью; личная область пользователя остаётся приватной.

    iOS

    • Разделение реализуется через ограничение передачи файлов из управляемых (корпоративных) приложений в неуправляемые. Отдельного контейнера на уровне ОС, как на Android, в iOS нет.

    Рекомендация

    Для максимального контроля корпоративных данных рекомендуется не BYOD-сценарий, а полный перевод устройства в корпоративный режим (целиком как корпоративный контейнер).

    Запрет скриншотов в контейнере — см. zapret-skrinshotov. Может ли пользователь удалить агент и что при этом происходит с корпоративными данными — описано в эксплуатационных материалах.

    1. Да. UEM SafeMobile сертифицирован ФСТЭК России (сертификат № 4845, 4 уровень доверия) и включён в единый реестр российского ПО. Продукт позволяет реализовать требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций». Разработчик — ООО «НИИ СОКБ ЦР», резидент Сколково.

      Что это даёт заказчику

      • Госсектор и КИИ — соответствие требованиям по защите информации (УД не ниже 4).
      • Импортозамещение — наличие в реестре российского ПО как условие закупки.
      • Финансовый сектор — поддержка требований ГОСТ Р 57580.1-2017.
      • Аттестация ИС — сертифицированная версия пригодна для аттестуемых информационных систем.

      Сравнение с конкурентами

      По данным сравнения российских MDM, сертификация ФСТЭК с УД 4 — отличительная черта SafeMobile: ряд отечественных конкурентов имеют её лишь частично или не имеют.

      Номера подтверждены официальным сайтом safe-mobile.ru: сертификат ФСТЭК № 4845 (4 УД, реестр ФСТЭК reestr.fstec.ru), реестр росПО № 11745 от 15.10.2021, ГОСТ Р 57580.1-2017.

  • Канал управления мобильными устройствами в SafeMobile защищается шифрованием AES. По чувствительным данным в канале управления конфиденциальная информация не передаётся, поэтому дополнительное ГОСТ-шифрование самого канала управления не требуется. Помимо шифрования, подлинность клиента подтверждается клиентскими сертификатами (mTLS).

    Что защищает канал

    • AES-шифрование трафика между устройством и сервером управления.
    • Взаимная аутентификация (mTLS) — клиентский сертификат монитора выдаётся встроенным удостоверяющим центром SafeMobile; настройки SCEP для этого не требуется.

    Про ГОСТ-шифрование

    Поскольку в канале управления не передаются конфиденциальные данные, отдельное ГОСТ-шифрование канала не обязательно. При этом продукт сертифицирован ФСТЭК (УД 4) — см. sertifikaciya-fstec-reestr.

    Российские сертификаты

    Для участков, где нужны доверенные TLS-сертификаты взамен отозванных западных, используется Национальный удостоверяющий центр Минцифры (НУЦ) — см. nuc-sertifikaty.

    mTLS-сертификат монитора по умолчанию действует 182 дня с автоматическим перевыпуском с половины срока. mTLS поддерживается начиная с SafeMobile 8.0; устройства, зарегистрированные раньше, считаются legacy.

  • Да. Канал управления SafeMobile можно защитить TLS-сертификатами Национального удостоверяющего центра (НУЦ) Минцифры, выпускаемыми через gosuslugi.ru/crt. Это снимает зависимость от западных удостоверяющих центров, чьи сертификаты для российских организаций отзывались, и обеспечивает доверенное подключение устройств к серверу управления.

    Зачем это нужно

    После отзыва сертификатов рядом западных УЦ российские организации столкнулись с тем, что доверенные TLS-сертификаты от привычных центров стали недоступны. НУЦ Минцифры выпускает российские сертификаты, которым доверяют отечественные браузеры и сервисы. Использование НУЦ-сертификата на сервере SafeMobile делает подключение устройств доверенным без западных CA.

    Что в продукте отвечает за сертификаты

    • Встроенный удостоверяющий центр SafeMobile и поддержка внешних УЦ (включая корпоративные CA).
    • SCEP-сервер для пользовательских сертификатов (Wi-Fi и т.п.).
    • Доставка сертификатов на устройства профилями (см. ios-sertifikaty для iOS).

    Конкретный сценарий установки НУЦ-сертификата на сервер управления — в инструкции по настройке TLS; шаги enrollment с НУЦ описаны в материалах вендора.

  • Да, SafeMobile позволяет запретить создание скриншотов. На Android запрет действует только на корпоративные приложения и не затрагивает личную область пользователя. На iOS запрет снимков экрана применяется ко всему устройству целиком — выборочно по приложениям его задать нельзя.

    Разница между платформами

    • Android — запрет скриншотов распространяется на корпоративные приложения; личная область не затрагивается. Это согласуется с разделением данных через рабочий профиль — см. kontejnerizaciya-byod.
    • iOS — ограничение работает на уровне всего устройства, а не отдельных приложений (особенность платформы).

    Когда это нужно

    Запрет скриншотов используют для защиты конфиденциальной информации в корпоративных приложениях: финансовые данные, документы, переписка в рабочих мессенджерах. На Android это не мешает пользователю делать скриншоты в личных приложениях, что важно для BYOD-сценариев.

Остались вопросы?

Пишите на электронную почту

Или задайте их прямо сейчас: