safephone монитор что это

Леонид Каганов: дневник

Данное сообщение (материал) создано и (или) распространено иностранным средством массовой информации, выполняющим функции иностранного агента, и (или) российским юридическим лицом, выполняющим функции иностранного агента, и (или) просто каким-то чуваком, которому нравятся дурацкие надписи и (или) мечтать о карьере иностранного агента потому что это типа сейчас крутой тренд и (или) хайп.

Если я скажу, что сегодня мы будем говорить про систему SafePhone, цель которой — взять под контроль мобильный телефон, чтобы по команде извне запрещать одни приложения и устанавливать другие, удалять в любой момент ваши данные, следить за вашими перемещениями, иметь доступ к настройкам и журналам. то это вызовет священный ужас. А на самом же деле это очень нужная и полезная система. Нет, конечно же, она не претендует на ваш личный мобильный телефон, купленный вами для себя на собственные деньги. Речь идет о смартфоне служебном, специально для этой цели настроенном. Обычно это устройства, оптом закупленные организацией для своих сотрудников. Ваш любимый личный смартфон может оказаться старым и не подходящим для этих задач — подходят многие модели, но не любые. Вообще с большой долей вероятности вам выдадут отличный новенький Samsung, но об этом чуть ниже.

Итак, вы — руководитель организации, и у вас есть полевые сотрудники. Это может быть водитель, курьер, электрик или газовщик, обходящий дома, участковый врач, доставщик пиццы или просто программист вашего офиса. Им нужно быть всегда на связи, желательно по защищенному каналу. Чтобы данные о выполненных задачах поступали в базу предприятия в реальном времени, чтобы местоположение сотрудника в рабочее время было всегда известно и связь с ним была бесперебойной. Всё это нужно и для оптимального планирования маршрута по району, да и для его безопасности тоже: чтобы в случае непредвиденных ситуаций можно было разыскать сотрудника и оказать помощь, отправить сигнал тревоги в службу реагирования диспетчерской.

Возможно, у вашего сотрудника раньше вообще не было смартфона, только простая звонилка. Тогда он точно не сумеет сам настроить рабочее приложение, своевременно его обновить (или откатить на предыдущую версию, если возникнет такая необходимость). Но ему и не надо — теперь это всё делается централизованно.

За счет того, что SafePhone позволяет настроить политики безопасности смартфона и запретить изменения, сотрудник не сможет закачать сомнительные приложения, которые могут выкрасть адреса клиентов или корпоративные тайны.

Иногда телефон может быть украден или просто забыт пятничным вечером на барной стойке. Всякое бывает. И тогда нужно послать сигнал о его розыске, блокировке или уничтожении служебных данных.

Кстати, любопытно, что полное ограничение сотрудника, запрет на любое иное использование смартфона, включая общение с друзьями и семьей — это обычно не входит в поставленную задачу, поскольку это попросту неэффективно. Эффективно — это сделать так, чтобы служебный телефон стал верным спутником ваших сотрудников. В идеале — чтобы он со временем сделался роднее, чем старый личный. Иначе ваш монтажник забудет аппарат на столе в офисе и уйдет по участку со своей родной Нокия-3110, по которой будет звонить «Маша, ты поела, уроки сделала?» И даже не специально-то забудет, а просто по рассеянности — работодатель всё ограничил, поэтому игрушка монтажнику не нужна, вот он и не чувствует в ней потребности.

Иными словами, задача объединения корпоративных смартфонов в единую сеть очень актуальна — как для крупных индустриальных гигантов, так и для небольших фирм, всего на 100 сотрудников. Что это дает для бизнеса?

Бесперебойная работа сотрудников за счет централизованного управления их мобильными устройствами: почта, календарь, приложения. А также решение проблем по установке и обновлению необходимых для работы корпоративных приложений.

Снижение расходов: на создание ИТ-инфраструктуры, за счет использования сервисной модели, с размещением серверной части решения в защищенном ЦОДе у вендора;

Предотвращение утечки конфиденциальной информации компании при утере/краже мобильного устройства. Контроль использования служебных мобильных устройств.

Пример: один из заказчиков SafePhone — энергетический гигант, поставляющий услуги населению столичного региона. Не будем произносить известное название, назовем условно «Мос. что-то там». Организация, у которой громадный штат полевых сотрудников, и все они должны быть постоянно на связи, постоянно получать и передавать информацию, их телефоны должны постоянно иметь обновленное ПО и последнюю версию приложений, должны быть защищены, и их аккумулятор не должен садиться за три часа только потому, что сотрудник установил какое-то левое приложение, которое в фоне начало майнить биткоины и жрать батарею. Поэтому организация выдает сотрудникам корпоративные смартфоны, это порядка 2000 устройств. Вопрос: какой штат IT-специалистов необходимо содержать, чтобы весь парк этих устройств день за днем был полностью настроен и обновлен? Ответ: достаточно всего лишь одного сотрудника. Но только — при наличии такого инструмента, который позволяет централизованно работать с сотнями устройств, оперировать с данными и отчётностью.

Как работает система? Список поддерживаемых платформ велик, но чаще всего речь идет про Android и iOS. Джейлбрейк и root не требуются, более того — считаются угрозой. Современные операционные системы имеют свои средства, позволяющие выдать одному приложению системные привилегии. Для iOS это конфигурационные профили, для Андроид — Android Enterprise, для Samsung — среда Samsung Knox. Получив законным образом администраторские права при первоначальной настройке смартфона, системное приложение SafePhone первым делом проверяет безопасность: чтобы телефон был закрыт паролем, настроены элементарные меры, которыми многие пользователи пренебрегают. Далее, если надо, ограничиваются возможности — вводятся черные и белые списки приложений, контейнеризация (выделение в смартфоне мест для изолированного хранения корпоративных данных, исключающего их утечку), иногда — блокировка фотокамеры и интерфейсов. Например — можно блокировать камеру и доступ к сайтам когда телефон по своим координатам находится на определенных объектах (на заводе, полигоне, воинской части). Кроме того, настраивается удаленный доступ к почте и данным. После этого начинается работа, и здесь возможностей много. Например, у платформы SafePhone есть встроенные средства для защищённого удалённого доступа к файлам (корпоративный «Dropbox»), а также защищённые браузер и почтовый клиент для платформы iOS, где нет встроенных инструментов «контейнеризации» встроенных приложений.

Руководители, которые интересовались вопросом, знают, что вообще-то подобные EMM-системы (Enterprise Mobility Management) изобретены давно и не у нас в стране, а распространены по всему миру, представлены в ассортименте, и сфера их использования растет год от года.

Почему же при переоборудовании ваших предприятий имеет смысл обратить внимание именно на SafePhone? Причины есть, и достаточно веские:

1. Опыт. Разработчик SafePhone — НИИ СОКБ (НИИ Систем обеспечения комплексной безопасности) имеет большой опыт разработки сложных промышленных программных продуктов.

2. Оперативность реагирования на запросы пользователей. НИИ СОКБ – это российский разработчик, поэтому с любой проблемой и необходимой доработкой не придётся далеко ходить.

3. Наши реалии. Существуют нюансы российского рынка, которые учесть может только российский производитель. Простой пример: по закону РФ работодатель имеет право отслеживать перемещение своего сотрудника, но. только в рабочее время. Соответственно, импортная EMM, которая продолжит писать GPS-трек вашего монтажника по окончании его рабочего дня, становится абсолютно незаконной и легко превращается в повод для суда и проблем. SafePhone умеет работать именно в наших реалиях.

4. Сертификация. Головная боль, известная, увы, любому руководителю: каждый чих, каждый ключ, протокол, диапазон, стандарт — всё должно иметь российские сертификаты от регулирующих органов. Работая столько лет на российском рынке, в SafePhone все нужные сертификаты давно собрали.

Почему я сказал выше, что если вы сотрудник, то с большой вероятностью вам светит получить от своей фирмы в руки хороший Samsung? Дело в том, что сегодня Samsung дальше прочих продвинулся в вопросах безопасности — речь про систему безопасности Samsung Knox: это и менеджер паролей Samsung Pass, и платёжный сервис Samsung Pay, и вообще целое семейство корпоративных решений на платформе Knox, таких как Knox Mobile Enrollment, c помощью которого можно подключать мобильные устройства к EMM прямо из «коробки». Ценность подхода Samsung в том, что безопасность эта — аппаратная. Она начинается буквально с конвейера: еще на заводе в каждом устройстве создаются два основных криптографических ключа. Это DUHK (Device Unique Hardware Key), который недоступен вообще никому, кроме аппаратного модуля шифрования в девайсе, и с помощью него будут шифроваться все остальные ключи. И DRK (Device Root Key), Корневой ключ устройства, который отныне будет подтверждением, что устройство произведено и настроено именно Samsung. На этой основе затем строится всё то, что называется доверенной средой. В том числе контейнеризация Knox: отдельные приложения, установленные специальным образом в защищенный контейнер, работают в обычном окружении и не требуют изменений кода, но защищены, грубо говоря, уже на аппаратном уровне. Стоит ли удивляться, что Samsung Knox — наиболее рекомендуемая платформа мобильников для EMM SafePhone, поскольку дает самое удобное администрирование и самый высокий уровень защиты? НИИ СОКБ и Samsung сотрудничают с 2015 года. SafePhone протестирован и одобрен специалистами Samsung наравне с такими компаниями, как VMware, Citrix, Microsoft и IBM. Хотя повторю: использование мобильников Samsung отнюдь не обязательное требование для системы SafePhone, просто наиболее лакомое с точки зрения возможностей безопасности.

Источник

SafePhone

Разработан в России

Поддерживает концепцию защищённого удалённого доступа
к корпоративной информационной системе с мобильных устройств

Платформа SafePhone предназначена для автоматизации процессов безопасного централизованного управления мобильными устройствами в компаниях разного масштаба — от крупного бизнеса до небольших компаний (SMB)

SafePhone – решение, максимально удовлетворяющее требованиям регуляторов

SafePhone сертифицирован ФСТЭК России (сертификат № 4157), включен в реестр отечественного программного обеспечения Минцифры России (Рег. номер ПО: 8694), а также соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций»

SafePhone сертифицирован ФСТЭК России (сертификат № 4157) Включен в реестр отечественного программного обеспечения Минкомсвязи (Рег. номер ПО: 8694), а также соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций»

Конкуренто­способный

SafePhone
Зрелое решение

Платформе уже более 10 лет. Качество решения и удобство его использования доказано более 30 успешных проектов и довольных заказчиков. С некоторыми из проектов можно ознакомиться здесь

SafePhone как услуга

Причем как из собственного ЦОД, аттестованного на соответствие 1 классу и 1 уровню защищенности информационных систем, обрабатывающих государственные информационные ресурсы и персональные данные граждан, так и из любого другого, удобного заказчику.

Причем как из собственного ЦОД, аттестованного на соответствие 1 классу и 1 уровню защищенности информационных систем, обрабатывающих государственные информационные ресурсы и персональные данные граждан, соответственно ЦОД, так и из любого другого, удобного заказчику.

Источник

Частые вопросы

Общие вопросы:

UEM SafePhone автоматизирует процессы управления смартфонами и планшетами. С одной стороны, SafePhone позволяет системному администратору организации централизованно управлять приложениями на устройстве сотрудника: устанавливать их, удалять или ограничивать использование.

С другой стороны, SafePhone обеспечивает безопасность корпоративной информации: позволяет защитить данные внутри приложений (за счет контейнеризации), обеспечивает защищенный доступ к рабочей почте, календарю и пр.

Подробнее о возможностях SafePhone тут

SafePhone MTD Edition — доверенная платформа управления EMM SafePhone со встроенной библиотекой Kaspersky Mobile Security SDK. Предназначена для организации безопасного жизненного цикла мобильных устройств в соответствии с требованиями нормативных документов Российской Федерации в области информационной безопасности.

SafePhone MTD Edition — единственное решение, сертифицированное одновременно как средство защиты информации на мобильных устройствах от несанкционированного доступа и как средство антивирусной защиты.

Платформа SafePhone относится к классу EMM.

Конечный пользователь не может самостоятельно удалить SafePhone с Android устройств.

На устройствах iOS запретить удаление SafePhone нельзя. Это ограничение установлено производителем Apple для всех EMM решений. При этом Apple обеспечивает сохранность данных организации – если сотрудник удалил SafePhone со своего iOS-устройства, с него будут автоматически удалены все корпоративные настройки и приложения. Это исключает возможность несанкционированного доступа к данным компании с неуправляемых iOS устройств.

С помощью SafePhone администратор может настроить встроенные политики безопасности Android и iOS устройствах. Именно они позволяют запретить пользователю самостоятельно устанавливать или удалять приложения с мобильных устройств.

P.S. Если администратор установил такой запрет, то попадание на устройства malware исключено, что исключает потребность в мобильном антивирусе.

В случае потери или кражи устройства ее можно переустановить на другое мобильное устройство. Чтобы потеря или кража устройства не привела к потере корпоративных данных, с помощью SafePhone можно удаленно сбросить устройство к заводским настройкам, удалить с него корпоративные данные и определить его местоположение.

Серверные компоненты SafePhone не требовательны к вычислительным ресурсам. К примеру, для управления 500 устройствами потребуется всего один физический или виртуальный сервер с 4 ядрами CPU 2 ГГц, 4 ГБ RAM и 100 ГБ HDD. С другими серверными конфигурациями можно ознакомиться в разделе «Архитектура и технические требования».

У современных систем управления мобильными устройствами сложно искать отличия, потому что их возможности ограничены возможностями мобильных ОС.

Наше главное преимущество – клиентоориентированность:

Ещё несколько преимуществ SafePhone:

Документация и интерфейс на русском языке.

SCEP – simple certificate enrollment protocol, протокол упрощённого и получения сертификатов (на удостоверяющем центре).
МУ – мобильное устройство.
ОС – операционная система.

Основные изменения

Да. Управление без доступа в интернет возможно для устройств на базе Android, Аврора и Windows. Для управления iOS устройствами нужен доступ с мобильных устройств и сервера управления к серверам Apple. Подробнее можно прочитать в нашей статье.

Канал управления защищается с помощью AES шифрования. Чувствительные данные не передаются в канале управления, поэтому дополнительная защита, например, с помощью алгоритмов ГОСТ шифрования, для канала управления не требуется.

SafePhone принципиально совместим с любым VPN решением. Имеется практический опыт совместного применения SafePhone и ViPNet, NGate, Континент АП, Check Point и др.

С помощью SafePhone можно централизованно устанавливать и обновлять VPN клиент на мобильных устройствах. Если VPN клиент поддерживает механизмы удалённой настройки, SafePhone сможет дистанционно его настроить – указать адрес криптошлюза, ввести лицензию и т.д.

Нет, не нужен. В мобильный клиент SafePhone для Android встроены антивирусные библиотеки Kaspersky Mobile Security SDK. Управление антивирусом и контроль обнаружения вредоносного ПО выполняются централизованно из веб-консоли SafePhone.

Для аттестации информационной системы понадобиться в дополнение к лицензиям SafePhone приобрести Пакет сертификации, в который входит:

Пакет сертификации не зависит от числа мобильных устройств. Для каждой серверной инсталляции SafePhone нужен свой Пакет сертификации.

Время подготовки устройства складывается из времени подключения устройства к SafePhone, а также времени доставки и настройки нужных для работы приложений.

Подключение устройства к SafePhone занимает несколько минут. Конкретные цифры зависят от модели устройства. Так, на большинстве корпоративных Android устройств для подключения к SafePhone достаточно отсканировать QR-код в процессе инициализации устройства. А на устройствах Samsung доступна бесплатная технология Knox Mobile Enrollment, с помощью которой подключение устройства к SafePhone выполняется автоматически и не требует участия пользователя или администратора.

Скорость доставки приложений определяется пропускной способностью канала связи и размером дистрибутивов приложений. Обычно приложения доставляются и устанавливаются за 5-10 минут.

Порядок настройки приложений может быть разным. Обычно администраторы настраивают адрес подключения и вводят лицензионный ключ, если это актуально. Эти действия можно автоматизировать с помощью удалённой настройки приложений. В этом случае временем настройки приложений можно пренебречь.

При необходимости проводим двухнедельный пилотный проект из нашего ЦОД. Перед стартом пилотного проекта проводим небольшое обучение по работе системой, после чего предоставляем вам доступ к системе и порталу технической поддержки.

Источник

Обзор SafePhone, системы защиты корпоративных мобильных устройств

Система управления корпоративной мобильностью SafePhone, разработанная российской компанией НИИ СОКБ, предназначена для автоматизации сопровождения жизненного цикла мобильных устройств и организации защищённого удалённого доступа в структурах разного масштаба — от государственных компаний до предприятий малого бизнеса.

Сертификат AM Test Lab

Номер сертификата: 309

Дата выдачи: 05.10.2020

Срок действия: 05.10.2025

Введение

Корпоративная мобильность с каждым годом используется всё большим числом компаний. С её помощью автоматизируется деятельность полевых сотрудников и производственного персонала. Она помогает руководителям своевременно получать доступ к данным, нужным для принятия решений, а офисным работникам — оставаться на связи, где бы они ни находились. Но за всё приходится платить.

Чем сильнее мобильные устройства вовлекаются в бизнес-процессы, тем больше на них данных, потеря которых может чувствительно ударить по компании. Соответственно, каждое такое устройство становится значимым активом, который нужно беречь и защищать.

Заниматься этим необходимо непрерывно и повсеместно — как в корпоративной среде, так и за её пределами. Поэтому внедрение решений класса Enterprise Mobility Management (EMM) можно назвать стратегической неизбежностью.

Российский рынок EMM-решений сейчас активно развивается, на нём представлены не только зарубежные решения из квадранта Gartner, но и отечественные разработки.

Сегодня мы рассматриваем российский продукт класса EMM — SafePhone, разработанный компанией НИИ СОКБ.

Функциональные возможности SafePhone

Перечислим основные функции SafePhone:

Представляется, что некоторые из этих возможностей заслуживают дополнительных комментариев.

Централизованное управление приложениями

SafePhone позволяет централизованно настраивать параметры приложений. Система также предоставляет возможность использовать корпоративный магазин приложений для установки, обновления, удаления программ на мобильных устройствах пользователей в ручном или автоматическом режиме. Кроме того, SafePhone на уровне политик позволяет разрешить или запретить установку приложений из магазинов App Store и Google Play. В системе также можно формировать «чёрные» и «белые» списки используемых приложений.

Контейнеризация

SafePhone позволяет изолировать корпоративные и личные приложения и данные, раздельно управлять программами в контейнере и вне его. Также возможна реализация «индивидуального» VPN для корпоративных приложений.

Геопозиционирование

SafePhone предоставляет возможность мониторинга местоположения зарегистрированных в системе мобильных устройств, включая носимые — типа SafeLife.

С помощью SafePhone возможен геомониторинг в режиме реального времени с заданной администратором частотой опроса местоположения мобильных устройств. Кроме того, возможно ретроспективное воспроизведение «движения по маршруту». SafePhone позволяет применять различные политики на устройстве в зависимости от его местонахождения. Например, в «режимной» геозоне автоматически загружается соответствующая строгая политика, а при выходе оттуда — возвращается стандартная. При этом используется картографический сервис OpenStreetMap и возможна привязка положения мобильного устройства к карте местности.

Более подробно о функциональных возможностях расскажем в разделе «Применение SafePhone».

Архитектура SafePhone

SafePhone представляет собой программный комплекс и включает в свой состав серверные и клиентские компоненты.

Рисунок 1. Архитектура SafePhone

Изначально на корпоративный смартфон / планшет под управлением iOS, Android или «Аврора» либо на ноутбук под управлением Windows или macOS устанавливается приложение SafePhone. Далее средства администрирования и системные сервисы (серверные компоненты) SafePhone развёртываются в инфраструктуре заказчика (on-premise) или используется «облачная» версия системы; в последнем случае применяются серверные мощности ЦОД SafeDC, аттестованного по требованиям безопасности информации.

Технологически SafePhone состоит из четырёх серверов, которые в зависимости от числа управляемых мобильных устройств могут быть установлены как на одном физическом или виртуальном сервере, так и на нескольких:

Администрирование SafePhone осуществляется с помощью веб-консоли.

Системные требования SafePhone

SafePhone нетребователен к вычислительным ресурсам. Установка серверных компонентов выполняется в предварительно созданной программной среде, включающей в себя следующие элементы:

В качестве примера приведём несколько типовых конфигураций серверных частей продукта (табл. 1).

Таблица 1. Типовые требования к серверной части SafePhone

Платформа SafePhone позволяет контролировать мобильные устройства под управлением операционных систем iOS (начиная с версии 9.x и выше), Android (начиная с версии 4.4 и выше). Также поддерживаются операционные системы Windows, macOS, «Аврора», но для них реализовано меньше политик, чем для iOS и Android. Кроме того, SafePhone поддерживает смарт-браслеты SafeLife, обеспечивающие возможность непрерывного мониторинга местоположения и здоровья сотрудников в процессе выполнения ими трудовых обязанностей.

Для функционирования автоматизированного рабочего места (консоли) администратора системы требуется любой из перечисленных браузеров: Mozilla Firefox актуальной версии, Google Chrome актуальной версии, Microsoft Internet Explorer 11.

Лицензирование

SafePhone лицензируется по числу управляемых устройств. При этом длительность зависит от выбранного тарифа: лицензия может быть приобретена на 1 год, на 3 года или бессрочно. У лицензий на 1 год и 3 года в стоимость входит техническая поддержка на весь срок действия, а у бессрочных — годовая.

Минимальное количество приобретаемых локальных (on-premise) лицензий — 25 штук, SaaS-лицензий — 10 штук.

Соответствие требованиям нормативных правовых документов

SafePhone сертифицирован по требованиям к оценочному уровню доверия ОУД4 (сертификат ФСТЭК России № 4157 до 03.09.2024), а также включён в реестр российских программ для электронных вычислительных машин и баз данных (регистрационный номер ПО: 4435 от 12.04.2018).

SafePhone соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». Это соответствие позволяет успешно проводить аттестацию государственных и аудит банковских информационных / автоматизированных систем, в составе которых применяется SafePhone.

Применение SafePhone

Описание интерфейса SafePhone

Сопровождение системы, включая настройки политик и управление мобильными устройствами, осуществляется из веб-консоли («АРМ Администратора»). Чтобы начать работать с SafePhone, необходимо набрать в интернет-браузере URL сервера SafePhone. Появляется стартовая страница для ввода аутентификационных данных.

Рисунок 2. Окно аутентификации SafePhone

После идентификации пользователь попадает на главную страницу, где отображаются:

Рисунок 3. Главное окно «АРМ Администратора» SafePhone

Список подразделений организационно-штатной структуры позволяет выбрать конкретный отдел или департамент, после чего в главной таблице справа отобразится список устройств, имеющихся у сотрудников этого подразделения. Кроме того, можно отобразить всех сотрудников и все устройства компании. Справа находятся список и параметры комплектов, зарегистрированных в системе. «Комплект» в терминологии SafePhone — это устройство, использующий его сотрудник и установленная SIM-карта (при наличии), взятые в совокупности. В нижней части главного окна «АРМ Администратора» отображаются сведения по устройству.

Панель главного меню включает в себя следующие разделы:

Также меню содержит разделы «Календарь», «Адресная книга» и прочие служебные секции системы.

Далее мы рассмотрим, как установить клиент на мобильное устройство, осуществлять мониторинг работы устройств и пр. Впрочем, перед всем этим нужно выполнить подготовительные действия: создать подразделение в рамках организационно-штатной структуры, роль, пользователя, профили и т. д.

Создание организационно-штатной структуры, ролей, сотрудников и иных объектов SafePhone

Для удобства управления мобильными устройствами в платформе существует возможность формирования организационно-штатной структуры. Структура может быть как построена администратором вручную, так и импортирована из службы каталогов Microsoft Active Directory. В процессе работы управляемые мобильные устройства располагаются в соответствующих папках (OU в терминах Microsoft AD) и с ними ассоциируются созданные администратором же профили (наборы политик и настроек).

Для создания подразделения в рамках организационно-штатной структуры необходимо перейти в раздел «ОШС», в рамках иерархического списка выбрать соответствующий уровень и добавить нужный отдел.

Рисунок 4. Создание подразделения в рамках организационно-штатной структуры SafePhone

Впоследствии в созданные группы подразделений будут добавляться пользователи.

Для создания роли пользователя необходимо перейти в раздел «Роли» и добавить новую роль.

Рисунок 5. Создание роли в SafePhone

После добавления роли необходимо наделить её требуемыми полномочиями. На основе ролей создаётся ролевая модель администрирования SafePhone, которая очень гибка и позволяет максимально оперативно реализовать роль с любыми полномочиями, привязать произвольный профиль к любому мобильному устройству, сотруднику или группе организационно-штатной структуры.

Рисунок 6. Наделение роли полномочиями в SafePhone

В разделе «Администратор» также можно ограничить область управления — указать подразделения организационно-штатной структуры, мобильными устройствами которых администратор может управлять. Так можно назначить администраторов для разных филиалов и дочерних обществ в рамках одной системы.

Рисунок 7. Ограничение области управления администратора

Справочник сотрудников ведётся для учёта абонентов. Создание пользователей, к которым впоследствии будут привязаны мобильные устройства, осуществляется в разделе «Сотрудники».

Рисунок 8. Создание сотрудника в SafePhone

Комплекты являются основными объектами учёта в SafePhone. Комплект определяет абонента системы и устанавливает соответствие между SIM-картой, сотрудником и конфигурацией мобильного клиента SafePhone.

Рисунок 9. Раздел «Комплекты» в SafePhone

Окно «SIM-карта» предназначено для управления записями о SIM-картах, используемых на устройствах. Данные добавляются автоматически. Администратор может указать, какие SIM-карты являются корпоративными, для применения в зависимости от этого политик безопасности.

Меню «Геозоны» предназначено для создания именованных областей на географической карте, которые используются для применения заданных ограничений и настроек ОС к устройствам, и для управления этими областями. Кроме того, система фиксирует факт вноса мобильных устройств в геозоны и выноса из них, формируя по этим данным отчёт. Так можно контролировать соблюдение сотрудниками регламентных маршрутов или графика посещений объектов.

Рисунок 10. Раздел «Геозоны» в SafePhone

Регистрация устройств в SafePhone

SafePhone предоставляет возможность самостоятельной регистрации пользователей мобильных устройств при помощи кодов приглашений. Для регистрации устройства в разделе «Загрузчик» необходимо сгенерировать пригласительные коды. Создание кодов осуществляется с привязкой к организационно-штатной структуре.

Рисунок 11. Процесс создания кодов приглашения в разделе «Загрузчик» веб-консоли SafePhone

Созданные коды и их статусы отображаются в таблице в разделе «Загрузчик».

Рисунок 12. Созданные коды и их статусы в разделе «Загрузчик» веб-консоли SafePhone

Процесс установки приложения на мобильном устройстве вполне прост. Однако есть некоторые особенности инсталляции клиента на различных платформах и версиях ОС. Мы рассмотрим самостоятельную установку клиента пользователем на мобильном телефоне Samsung. На устройствах этого производителя клиент также может быть установлен автоматически с помощью технологии Knox Mobile Enrollment.

Запускаем на смартфоне веб-браузер Chrome и переходим на портал регистрации. Затем скачиваем с портала приложение-загрузчик и устанавливаем его на устройство.

Рисунок 13. Процесс установки приложения SafePhone на мобильном устройстве

После установки возвращаемся обратно на портал и вводим код приглашения (его мы ранее сгенерировали в «АРМ Администратора» в разделе «Загрузчик»). Далее проходим этапы установки с помощью мастера.

Рисунок 14. Процесс установки приложения SafePhone на мобильном устройстве

В процессе инсталляции выбираем тип устройства (корпоративное или личное). Выбор может влиять на применение политик. После прохождения установки загрузится файл package.skb. Далее открываем на смартфоне приложение SafePhone Loader и соглашаемся с предложенным (разрешить доступ к файлам и дать приложению права администратора). Следом в нашем случае на экране появилось окно от производителя устройства (Samsung) с примечанием о конфиденциальности, где также потребовалось согласиться с предложенными условиями. При успешной установке мобильного клиента отобразится уведомление SafePhone «Система защищена».

Рисунок 15. Процесс установки приложения SafePhone на мобильном устройстве

После установки к устройству можно применять соответствующие политики безопасности, осуществлять мониторинг его работы и пр.

Далее рассмотрим, как управлять устройствами при помощи SafePhone.

Управление устройствами

SafePhone предоставляет возможность отправки команд на контролируемые мобильные устройства.

Рисунок 16. Меню «Команды» в SafePhone

Для этого необходимо выбрать устройство в главной таблице, а затем — пункт меню «Команды» и требуемую команду в информационной таблице.

Администратор таким образом может разблокировать / заблокировать устройство, отправить внутреннее сообщение пользователю, запретить связь с некорпоративными абонентами, выполнить изменения конфигурации, сброс пароля и т. д.

С помощью профилей администратор осуществляет назначение политик безопасности абонентам и устройствам.

Рисунок 17. Создание профиля в SafePhone

Для платформы iOS поддерживаются следующие типы профилей:

Для платформы Android:

Рисунок 18. Создание профиля в SafePhone

Для применения профилей их нужно назначить. Профили можно назначать подразделениям, отдельным сотрудникам или даже на конкретные устройства. Если профиль назначен, то его настройки и их последующие изменения будут доведены до мобильных устройств автоматически.

Рисунок 19. Назначение профилей

Каждый профиль в системе имеет владельца (пользователя, который его создал). Только владелец может вносить изменения в профиль. Также создатель вправе сделать владельцем другого администратора. Назначение профилей доступно владельцу и администраторам, которым он делегировал соответствующее право.

Мониторинг мобильных устройств

SafePhone обладает широкими возможностями по мониторингу мобильных устройств. С этой целью можно оперировать разделами «Информация об устройствах» и «Отчёты».

Например, в меню «Сообщения» (раздел «Информация об устройствах»), как можно понять по названию, находится информация по зарегистрированным сообщениям, включая переданные посредством SMS и внутренние. Для последних отображается содержимое: текст, ссылки для скачивания фотографий и голосовых записей. Содержимое SMS-сообщений недоступно.

Рисунок 20. Меню «Сообщения» (раздел «Информация об устройствах») в SafePhone

Для просмотра / прослушивания внутренних фотографий / голосовых сообщений, отображающихся в информационной таблице, необходимо нажать на соответствующий значок, и файл с сообщением скачается в папку «Загрузки» (Downloads) на ПК. Отобразить или воспроизвести скачанные файлы можно в любом прикладном ПО, поддерживающем форматы JPG и AMR.

В меню «Звонки» (раздел «Информация об устройствах») отображаются зарегистрированные вызовы, выполненные с контролируемого устройства.

Рисунок 21. Меню «Звонки» (раздел «Информация об устройствах») в SafePhone

Раздел «Местоположения» отображает фрагмент карты, на которой в виде ломаной линии отображена информация о местоположении и перемещении абонента.

Рисунок 22. Раздел «Местоположения» в SafePhone

Также в разделе «Отчёты» есть сводка по перемещениям.

Рисунок 23. Отчёт по перемещениям в SafePhone

В отчёте по геозонам можно посмотреть информацию о входе в / выходе из них абонентов системы SafePhone за указанный администратором интервал времени.

Рисунок 24. Отчёт по геозонам в SafePhone

Доступен также отчёт с информацией о профилях, которые применены на подключённых к системе устройствах. Он состоит из двух таблиц: верхняя — с реестром назначенных и применённых профилей, нижняя — со значениями параметров политик выбранного профиля, установленными и применёнными на устройстве. Аналогичный отчёт можно построить и по правилам управления приложениями.

Рисунок 25. Отчёт по профилям в SafePhone

В разделе «Данные об устройстве» можно получить инвентаризационную информацию о контролируемом средстве мобильной связи, в том числе — данные о сотруднике и SIM-карте, тип и модель устройства, ОС, заряд аккумулятора и прочие статусы. Её можно посмотреть по отдельности или выгрузить в табличном виде сразу по всем устройствам выбранного подразделения.

Рисунок 26. Меню «Данные об устройстве» в SafePhone

С информацией о событиях из области информационной безопасности можно ознакомиться в меню «События ИБ» раздела «Отчёты». В открывшемся окне отображается таблица с перечнем событий, произошедших в интервале времени, заданном администратором.

К ИБ-событиям могут относиться попытки взлома устройства, его блокировки, смены и пр. (полный список очень велик).

Рисунок 27. Отчёт «События ИБ» в SafePhone

Кроме того, можно составлять отчёты по совершённым звонкам и отправленным сообщениям, проводить аудит действий администраторов.

Управление приложениями

В SafePhone можно добавить дистрибутивы приложений или указать ссылки на них в одном из магазинов производителей.

Рисунок 28. Добавление приложения из App Store

Действия с приложениями на мобильных устройствах управляются при помощи правил. Правила могут определять одно или несколько действий:

Рисунок 29. Создание правила управления приложением

Чтобы передать приложению настройки, нужно указать их в разделе «Конфигурации». В этом случае пользователю не придётся указывать их вручную. В качестве значений таких типовых настроек, как имя пользователя, домен или адрес электронной почты, можно использовать строки вида <>, данные в которые для каждого конкретного пользователя будут подставлены автоматически.

Рисунок 30. Управление конфигурацией приложения

Назначение правил управления приложениями и их конфигураций осуществляется единообразно. Устройства получают всё, что назначено администратором, автоматически; в итоге для контроля сотен или даже тысяч устройств будет достаточно нескольких человек.

Выводы

SafePhone версии 4 — это полнофункциональный и несложный в настройке и эксплуатации продукт для автоматизации процессов безопасного централизованного управления мобильными устройствами в компаниях и государственных организациях, как крупных, так и сравнительно небольших (SMB). Его применение позволяет существенно снизить текущие затраты и риски утечки информации, обусловленные использованием мобильных устройств в корпоративной среде.

SafePhone является отечественной разработкой. Он сертифицирован по требованиям к оценочному уровню доверия ОУД4 (сертификат ФСТЭК России № 4157 до 03.09.2024), а также включён в реестр российских программ для электронных вычислительных машин и баз данных (регистрационный номер ПО: 4435 от 12.04.2018). SafePhone соответствует требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций». Это соответствие позволяет успешно проводить аттестацию государственных и аудит банковских информационных / автоматизированных систем, в составе которых применяется SafePhone.

SafePhone доступен как услуга (по модели SaaS), для чего используются серверные мощности ЦОД SafeDC компании НИИ СОКБ, аттестованного по требованиям безопасности информации. Облачная версия позволяет быстро развернуть продукт в организациях любого размера без установки оборудования на стороне клиента.

Достоинства:

Недостатки:

Источник