В условиях импортозамещения предприятия активно внедряют отечественные мобильные операционные системы (ОС), основанные на открытой платформе Android Open Source Project (AOSP). При этом возникают вопросы об их использовании в корпоративных информационных системах (ИС) и на объектах критической информационной инфраструктуры (КИИ), особенно когда сама ОС не имеет сертификатов ФСТЭК или ФСБ, а применяемые средства криптографической защиты информации (СКЗИ) — сертифицированы.
Реестр российского ПО и сертификация: в чем разница?
- Включение в реестр российского ПО подтверждает национальный статус продукта, правообладание и локализацию разработки. Это необходимое условие для закупок государственными учреждениями и компаниями с госучастием, но не гарантирует соответствие требованиям информационной безопасности.
- Сертификация ФСТЭК/ФСБ — это процедура подтверждения, что продукт соответствует строгим требованиям регулятора к безопасности. Она обязательна не для всех программных продуктов, а только для тех, которые классифицируются как средства защиты информации (СЗИ) или используются в определенных защищенных контурах.
Сценарий использования: ОС без сертификатов + сертифицированные СКЗИ
- Использование в корпоративных информационных системах (не относящихся к КИИ)
Для большинства коммерческих и государственных организаций, не подпадающих под действие Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры», прямого требования о сертификации мобильной ОС нет.
Основное правило: если система не обрабатывает государственную тайну или персональные данные в специальных категорированных системах, можно использовать средства защиты, которые сами по себе сертифицированы. Роль ОС сводится к платформе для их функционирования.
Что требуется? Сертифицированные средства криптографической защиты информации (СКЗИ), например, для шифрования каналов связи (VPN), электронной подписи (ЭЦП) или защиты данных на устройстве. Они должны иметь действующие сертификаты ФСБ России. Их наличие подтверждает, что криптографические операции выполняются защищенным образом, даже если базовая ОС не сертифицирована.
При таком подходе важно обеспечить изоляцию защищенного процесса (работающего внутри СКЗИ) от потенциально небезопасной среды ОС. Для этого могут использоваться аппаратные механизмы или строгая конфигурация самой ОС.
- Использование на объектах критической информационной инфраструктуры (КИИ)
Согласно Приказу ФСТЭК России № 239, требования к сертификации строго привязаны к категории значимости объекта КИИ и типу защищаемой системы.
Для автоматизированных систем управления технологическими процессами (АСУ ТП), систем управления и диспетчеризации (ИСУД) высоких категорий значимости (1-2) использование сертифицированных СЗИ, включая операционные системы, является обязательным. В этом случае мобильная ОС, как часть защищаемого контура, должна иметь сертификат ФСТЭК. Исключения крайне редки и требуют отдельного обоснования.
Для информационных систем общего пользования (ИСОП) и систем персональных данных (ИСПДн) требования также строги. Использование несертифицированной ОС может быть допустимо только в рамках защищенного сегмента,но это сложная архитектура, требующая отдельного проектирования и аттестации.
Мобильные устройства редко используются в самом ядре АСУ ТП (на уровне контроллеров). Чаще они применяются для вспомогательных задач: обходы, учет, фотофиксация. Для таких задач, если устройство не имеет прямого доступа к критическим процессам, а связь идет через сертифицированные шлюзы с применением сертифицированных СКЗИ, требования могут быть смягчены. Однако окончательное решение остается за эксплуатирующей организацией и регулятором на основании акта категорирования объекта.
Какие сертификаты и для чего требуются?
Для СКЗИ (обязательно, если нужна криптография):
- сертификат ФСБ России — подтверждает соответствие требованиям по криптографической защите (алгоритмы, стойкость, реализация). Уровень определяется классом защиты (КС1, КС2, КС3).
Для мобильной ОС (требуется для систем высокого класса защищенности):
- сертификат ФСТЭК России — подтверждает соответствие требованиям по безопасности информации. Уровень определяется степенью доверия (от 1 до 6, где 1 — самый высокий). Для большинства корпоративных задач и части систем КИИ достаточно уровней 4-6;
- сертификат ФСБ России — может потребоваться, если ОС позиционируется как средство криптографической защиты.
Практические рекомендации
Определите границы применения. Четко ответьте на вопрос: в какой системе и для решения каких задач будет использоваться устройство? Будет ли оно иметь доступ к ядру АСУ ТП или критическим базам данных?
Проведите категорирование объекта КИИ. Это основа для всех последующих решений по защите. Без акта категорирования любые рассуждения о сертификатах носят теоретический характер.
Выбирайте архитектуру «защиты периметра». Даже с несертифицированной ОС можно построить безопасную систему, если мобильное устройство работает в изолированном сегменте, а весь обмен с критическими системами проходит через сертифицированные шлюзы с применением сертифицированных СКЗИ.
Рассматривайте российские ОС как стратегический выбор. Наличие продукта в реестре Минцифры — это база для его дальнейшего развития и сертификации. Многие вендоры ведут работы по получению сертификатов для своих ОС.
Консультируйтесь с регуляторами и разработчиками. В сложных случаях (особенно на КИИ) целесообразно получить предварительные разъяснения от ФСТЭК и ФСБ, а также технические заключения от разработчиков ОС и СКЗИ об их совместимости и соответствии вашим задачам.
Использование мобильной ОС на базе AOSP из реестра российского ПО без собственных сертификатов, но с применением сертифицированных СКЗИ, в принципе, допустимо во многих корпоративных сценариях, не связанных с обработкой информации, подпадающей под строгое регулирование. Однако на объектах КИИ, особенно высокой значимости, вероятность такого сценария резко снижается. Здесь на первое место выходит не наличие отдельных сертификатов, а комплексный подход к построению системы защиты, основанный на результатах категорирования и реализующий принцип «глубокой эшелонированной защиты».
