Контакты
Подписка
МЕНЮ
Контакты
Подписка

Docker - Форум по вопросам информационной безопасности

Docker - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Pavel, Krok | 106247 12.04.2019 21:18
Добрый вечер! Собираемся сертифицировать СЗИ на соответствие требованиям 17 приказа ФСТЭК для использования в ГИС первого класса. ПО реализовано в виде микросервисов выполняемых в docker-контейнерах.
Есть у кого-нибудь опыт сертификации подобных решений? Является ли docker средством виртуализации?
Можно как-нибудь уйти от выполнения требований ЗСВ?

Автор: malotavr | 106248 12.04.2019 22:29
Без шансов.

Чтобы получить в сертификате приписку "может использоваться в ГИС до первого класса", вам при согласовании заявки придется убедить ФСТЭК, что требования ЗСВ потребитель сможет выполнить. У вас есть ровно три варианта:
а) Найти сертифицированный линукс, в который включен Docker. В Астре и Альте его нет и не будет, сертификат RedHat'а протухнет под бой новогодних курантов.
б) Найти сертифицированное средство защиты, которое обеспечивает выполнение требований ЗСВ для среды исполнения, создаваемой Docker. Таких нет и не предвидится.
в) Сертифицировать свое решение вместе с Docker'ом, заявив его как часть своего решения и самостоятельно обеспечивая его техническую поддержку. В принципе, возможно, но терзают меня смутные сомнения, что вы готовы на это пойти.

Более того, по новым правилам сертификации, если не найдется сертифицированный Docker, вам в любом случае придется сертифицировать свое решение только с определенными релизами Docker'а, которые вам придется самим собрать из исходников и передать испытательной лаборатории на анализ уязвимостей. И если каким-то чудом вы получите сертификат, уже со следующим релизом Docker'а этот сертификат превратится в тыкву.

Автор: oko | 106254 13.04.2019 15:39
to malotavr
<Чтобы получить в сертификате приписку "может использоваться в ГИС до первого класса", вам при согласовании заявки придется убедить ФСТЭК, что требования ЗСВ потребитель сможет выполнить> где-нибудь официально прописано? Не наезда ради, а пользы для интересуюсь. Тут особо ретивые ребятки (как обычно, ага) развернули KVM на базе ОС с сертификатом по НДВ и СВТ и доказывают, что требования ЗСВ априори выполняются. А я теперь в поисках истины...

to Pavel
+1 к тов. malotavr - далеко на таком решении даже в случае получения сертификата на Docker не уедете, увы...
Возможно, имеет смысл зайти с другого бока. Обеспечить контроль доступа к среде исполнения серверной системы, а для сервисов внутри контейнеров ("тела" ИС, как я понимаю?) провести пен-тест. С выдачей положительного заключения о защищенности (при условии фактического соответствия, конечно). И сертиф.СЗИ использовать уже на уровне сети (благо, их навалом). Надо крутить конечный проект, конечно, без его понимания ничего определенного не скажешь. Но вариант есть всегда, ага...

Автор: malotavr | 106258 14.04.2019 09:31
oko, официально не прописано, это просто практика согласования ТУ и ЗБ при подаче заявки.

Лазейка НДВ+СВТ закрывается, такие сертификаты до конца года должны быть переоформлены на серфикацию по ЗБ или ТУ с указанием уровня доверия. ЗБ должно соответствовать утвержденному ПЗ, а в тексте ТУ приходится явно указывать, каким мерам 17 приказа соответствуют заявленные требования. Так что пока ретивых ребят можно просто бортануть, сказав, что сертификат, о котором они говорят, 1 января будет отозван.

Автор: oko | 106261 14.04.2019 17:14
to malotavr
Благодарю! Хотя ребят бортануть по такой схеме не выйдет - есть иные препятствующие факторы. Впрочем, как и аргументы дополнительные об отказе подобного решения не только по причине сертификации СВТ/НДВ...
Прошло около недели

Автор: Pavel, Krok | 106312 21.04.2019 18:34
Всем большое спасибо за ценную информацию.

Просмотров темы: 241

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код: