Сертификат ФСТЭК, реестр ПО и ГОСТ: что банк проверяет при выборе MDM

Банки все чаще выдают сотрудникам рабочие смартфоны и планшеты для осуществления непосредственных рабочих функций. На таких устройствах настроена почта, VPN и установлены рабочие приложения с доступом в банковские системы. Чтобы этот парк устройств не стал дырой в безопасности, его держат под централизованным управлением через MDM-систему (Mobile Device Management, «система управления мобильными устройствами»), в рамках которой с одной веб-консоли администратор может настраивать устройства, обновлять приложения и ОС на них, а также удаленно блокировать устройства или какой-то функционал на них. Для банков - это не желание их службы безопасности, а требование регулятора. В 2025 году Банк России Положением № 851-П обязал их использовать такую систему, причем сертифицированную ФСТЭК, и подтверждать ее соответствие национальному стандарту ГОСТ Р 57580. Выбирая или обновляя MDM-платформу, банк смотрит на три вещи сразу. Во-первых, продукт должен быть в реестре отечественного ПО, без этого его нельзя применять в объектах критической информационной инфраструктуры (КИИ), а банковские системы как раз к ней относятся. Во-вторых, он должен быть безопасным и подтверждать это действущим сертификатом ФСТЭК (Федеральной службы по техническому и экспортному контролю - это регулятор, который проверяет средства защиты). В-третьих, у него должно хватать функций - и это проверяется по ГОСТу и внутренним требованиям самого банка. Когда мы, как разработчик «Аврора Центр», приходим к банку с предложением об использовании нашего продукта, в рамках оценки на соответствие мы проходим ряд этапов, включая тестирование на соответствие ГОСТу. И банк присылает не просто вопрос «каким пунктам вы соответствуете», а расширяет его: «мы отправляем больше тысячи устройств в разные города, не распаковывая,— как вы обеспечите активацию без root-доступа?»; «можно ли настроить белый список сайтов?». И здесь важно различать: сертификат ФСТЭК на продукт и соответствие продукта ГОСТу это разные вещи, и их часто смешивают при первичной оценке. Читать далее