Автор: Максим | 105291 | 10.12.2018 11:51 |
Здравствуйте коллеги!
Перед нами встала нелёгкая задача по выбору сертифицированной ФСТЭК СУБД для использования в наших продуктах. Я так понимаю мы можем спокойно использовать сертифицированные версии СУБД, которые находятся в едином реестре российского ПО. Тем не менее в составе некоторых дистрибутивов, которые также являются сертифицированными, входит в состав СУБД, которые не находятся в едином реестре российского ПО. Например PostgreSQL 9.5 в составе AltLinux СПТ 7.0. Технически эта СУБД сама по себе не сертифицирована ФСТЭК. Но так как она входит в состав сертифицированного дистрибутива, то это делает её сертифицированной что-ли? Вопрос заключается в том можем ли мы (правомерно ли) использовать СУБД, которая входит в дистрибутив сертифицированной ОС, но сама по себе не является сертифицированной? |
Автор: oko | 105298 | 10.12.2018 13:53 |
to Максим
Postgres Pro, имеющая сертификат (отдельный), сертифицирована по НДВ-4 и СВТ-5. Читай, может применяться в конфи-объектах (ГИС, ИСПДн, КИИ без ГТ, и т.д.) как САМОСТОЯТЕЛЬНОЕ средство защиты информации на уровне СУБД от НСД. Другие версии Postgres, а также MySQL, Mariadb и проч. в составе сертифицированных ОС на базе GNU/Linux (Astra Linux, AltLinux, РОСА и т.д.) подобного самостоятельного сертификата не имеют. Они входят в состав сертиф.ОС и проверены по НДВ (по умолчанию), но самостоятельно требования СВТ не выполняют. Следовательно, если вам по ТЗ или по факту необходимо решить задачу защиты информации на уровне СУБД (например, в СУБД имеется разграничение по ролям и пользователи проходят ИАФ средствами СУБД, не затрагивая при этом механизмы ИАФ в составе ОС), то такие "огрызки" в составе сертиф.ОС вам не подходят... Хотя обосновать можно все - вопрос лишь в желании... |
Автор: Константин | 105300 | 10.12.2018 14:22 |
Иначе
то что СУБД входит в состав сертифицированного дистрибутива ОС, не делает СУБД сертифицированной для использования вне дистрибутива. Вы можете использовать СУБД отдельно, но она не будет являться сертифицированной. И нахождение СУБД в реестре российского ПО, не значит, что вы скачаете такую СУБД с интернета, поставите у себя и она будет являться сертифицированной. Извольте купить сертифицированный дистрибутив СУБД с формуляром и установить ее на ваш сервер с этого дистрибутива. |
Автор: oko | 105302 | 10.12.2018 16:15 |
to Константин
<...вы скачаете такую СУБД с интернета, поставите у себя и она будет являться сертифицированной... Извольте купить сертифицированный дистрибутив СУБД с формуляром...> - это как бы по умолчанию для любой сертифицированной по требованиям безопасности продукции у нас в стране... <Вы можете использовать СУБД отдельно, но она не будет являться сертифицированной> - еще раз, все зависит от задачи и от того, считать ли СУБД в данной конкретной ИС "средством защиты информации": 1. Если нужно обеспечивать защиту ИОД средствами СУБД - нужна СУБД, имеющая собственный сертификат по СВТ и, вероятнее всего, по НДВ (см. требования к конкретным ИС - обязательность проверки по НДВ может не предъявляться). Простой пример: ИОД составляет ГТ и обрабатывается только средствами какого-то ППО, использующего СУБД - тогда процессы идентификации и аутентификации (ИАФ), регистрации событий (РСБ) и т.д. выполняются средствами ППО и частично СУБД. Следовательно, нужна как минимум сертиф.СУБД под нужный уровень контроля НДВ и нужные требования к СВТ. Хорошо бы в такой ситуации и ППО сертифицировать (хотя в большинстве случаев это избыточно, особенно когда неГТ объект). 2. Если нужно обеспечивать защиту ИОД средствами ОС, а в СУБД ИОД либо обрабатываться не будет, либо имеются механизмы "прозрачного" проброса основных защитных механизмов "через" ОС (например, юзер логинится в сертиф.ОС и сразу пробрасывается в СУБД, а напрямую в СУБД он никак залогиниться не может - решение вопроса ИАФ) - тогда сертификат соответствия, выданный для ОС, будет распространяться и на СУБД в ее составе. Но, primo, на конкретную версию СУБД (читай, пакеты которой идут на диске с сертиф.ОС) и, secundo, только по уровню контроля НДВ. Параметры сертификации по СВТ для ОС на такую СУБД распространяться не будут! to Максим Определитесь для начала: - какая категория ИОД будет обрабатываться в ваших продуктах? и будет ли ИОД вообще (модуль экстрасенсорики подсказывает, что слишком мало данных для анализа, ага)? - какие механизмы будет выполнять СУБД с позиции защиты информации? - какие механизмы будет выполнять ваш софт с позиции защиты информации? - выставляет ли вам Заказчик (иное лицо?) какие-то доп.требования в области защиты информации и, как следствие, сертификации продукции? |
Просмотров темы: 4083