Назначение

Состав решения

Общая схема решения

Функции безопасности

Технологическая совместимость

Назначение

Решение Защищённая мобильность предназначено для безопасного доступа и взаимодействия сотрудников коммерческих организаций и государственных учреждений с корпоративными информационными ресурсами при помощи мобильных устройств iPad и iPhone.

Решение Защищённая мобильность включает линейку продуктов, являющихся самостоятельными законченными iOS-приложениями, доступными для приобретения в составе простых или сложных конфигураций. Каждый продукт разделяет общие для всей линейки принципы безопасности, архитектуры и пользовательского интерфейса, что позволяет наращивать итоговую конфигурацию, не опасаясь проблем совместимости как приложений между собой, так и данных, которыми эти приложения обмениваются.

Безопасность взаимодействия обеспечивается за счет применения сертифицированных средств криптографической защиты информации СКЗИ КриптоПро CSP в составе со специализированными продуктами, позволяющими решать основной круг прикладных задач:

• Установление защищенного удаленного доступа к внутренним информационным ресурсам организации: электронной почте, календарям сотрудников, адресной книге организации, внутренним порталам, библиотекам файлов и документов, системам управления совещаниями, спискам задач и прочим;
• Обеспечение юридически значимого электронного документооборота с применением сертифицированных средств криптографической защиты информации;
• Взаимодействие с площадками электронных торгов и аукционов, b2b услуг, госуслуг;
• Обеспечение конфиденциальности электронных почтовых сообщений;
• Обеспечение конфиденциальности информации, хранимой на мобильном устройстве;

Состав решения

В составе комплексного решения Защищённая мобильность могут использоваться следующие клиентские продукты для платформы iOS (iPad и iPhone):

• Защищенная почта – для обмена электронными сообщениями;
• Защищенный туннель – для удаленного доступа к корпоративным приложениям;
• Защищенная папка – для удаленного доступа к файловым ресурсам;
• Защищенный календарь, адресная книга, задачи – для полноценного участия в корпоративных коммуникациях;
• PKI клиент – для управления ключевой информацией пользователя.

Все клиентские продукты интегрированы для обмена между собой защищенными данными.

Установка клиентских продуктов линейки Защищенная мобильность, включая компоненты криптографической защиты,  не требует выполнения процедуры взлома (jailbreak) iOS-устройства.

Для функционирования клиентских продуктов также могут использоваться следующие серверные компоненты:

• App Server – корпоративный магазин приложений для установки клиентских программ на iOS без использования процедуры взлома (jailbreak).
• TLS Proxy Gate - сервис аутентификации для удаленного подключения клиентских продуктов к корпоративной сети по защищенному протоколу TLS с использованием сертифицированного СКЗИ КриптоПро CSP.
• Active Directory Sync Server - сервис синхронизации адресной книги с Active Directory для получения корпоративных контактов.
• PDF Server - сервис конвертации документов в PDF-формат для корректного отображения результатов «сложного» форматирования файлов (режима «правки», цветовых выделений, сносок и комментариев…);
• CertServer – сервер получения и хранения запросов на изготовление сертификатов ключей проверки электронной подписи (далее – сертификат) для передачи в Удостоверяющий центр ПАК КриптоПро УЦ.

Общая схема решения

Функции безопасности

Все продукты в составе решения Защищенная мобильность реализует разнообразные средства защиты информации.

• Криптографическая защита данных. В продуктах решения Защищенная мобильность применяется сертифицированное ФСБ России средство криптографической защиты информации СКЗИ КриптоПро CSP, реализующее отечественные криптографические стандарты ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89. Реализация протокола TLS-ГОСТ также входит в состав СКЗИ.

Защита канала подключения к инфраструктуре организации, реализована на основе протокола SSL/TLS.

Реализуется шифрование и контроль целостности хранимой в памяти устройства информации.

Доступ к закрытому ключу подписи пользователя защищается PIN-кодом. По умолчанию закрытый ключ, зашифрованный на PIN-коде, хранится в памяти iOS-устройства. В качестве дополнительной меры безопасности закрытый ключ может располагаться на внешнем носителе (смарт-карте), подключаемой при помощи специального считывателя.

iOS-приложение реализует комплекс мер по защите информации. В дополнение к штатным функциям, реализованным на уровне каждого приложения линейки Защищенная мобильность, пользователю доступны операции прикладного уровня, такие как создание или проверка электронной подписи документа, шифрование почтового сообщения и т.п. В зависимости от требований заказчика могут применяться криптографические алгоритмы, соответствующие российским или западным стандартам.

Реализация функций криптографической защиты не требует выполнения процедуры взлома (jailbreak) iOS-устройства.

• Меры противодействия утечкам информации в момент ее создания, получения, передачи, обработки и хранения на мобильном устройстве. В их основе лежит блокировка ряда «опасных» функций операционной системы iOS и условий, создающих риск появления каналов утечки информации.
• Меры противодействия получению несанкционированного доступа (НСД). В дополнение к программным средствам защиты данных от НСД продукты решения Защищенная мобильность поддерживают дополнительные меры, основанные на применении внешних носителей ключевой информации (контактные смарт-карты).

Уникальной особенностью решения Защищенная мобильность является поддержка двух криптографических стандартов: ГОСТ-алгоритмы (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89) и западные алгоритмы (RSA, SHA-1, AES). Пользователи имеют возможность в рамках одного набора приложений обмениваться информацией с российскими и зарубежными коллегами. Дуальные свойства решения Защищенная мобильность в части криптографии обеспечивают совместимость протоколов, стандартов и требований электронного взаимодействия каждой из сторон.

Технологическая совместимость

Продукты линейки Защищенная мобильность поддерживают следующие технологии, службы и протоколы:

• TLS (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89)
• SSL/TLS (RSA, SHA-1, AES)
• LDAP/Active Directory
• SMTP/IMAP/ActiveSync
• S/MIME (ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89)
• S/MIME (RSA, SHA-1, AES)
• ПАК КриптоПро УЦ
• КриптоПро OCSP
• КриптоПро TSP
• CAdES, PKCS#7
• PKCS#11
• X.509 RSA, X.509 ГОСТ
• Почтовый сервер Microsoft Exchange Server, IBM Lotus Domino
• Формат документов Microsoft Office
• MOSS (Sharepoint)
• WebDAV
• FTP