Автор: Pavel, Krok | 106247 | 12.04.2019 21:18 |
Добрый вечер! Собираемся сертифицировать СЗИ на соответствие требованиям 17 приказа ФСТЭК для использования в ГИС первого класса. ПО реализовано в виде микросервисов выполняемых в docker-контейнерах.
Есть у кого-нибудь опыт сертификации подобных решений? Является ли docker средством виртуализации? Можно как-нибудь уйти от выполнения требований ЗСВ? |
Автор: malotavr | 106248 | 12.04.2019 22:29 |
Без шансов.
Чтобы получить в сертификате приписку "может использоваться в ГИС до первого класса", вам при согласовании заявки придется убедить ФСТЭК, что требования ЗСВ потребитель сможет выполнить. У вас есть ровно три варианта: а) Найти сертифицированный линукс, в который включен Docker. В Астре и Альте его нет и не будет, сертификат RedHat'а протухнет под бой новогодних курантов. б) Найти сертифицированное средство защиты, которое обеспечивает выполнение требований ЗСВ для среды исполнения, создаваемой Docker. Таких нет и не предвидится. в) Сертифицировать свое решение вместе с Docker'ом, заявив его как часть своего решения и самостоятельно обеспечивая его техническую поддержку. В принципе, возможно, но терзают меня смутные сомнения, что вы готовы на это пойти. Более того, по новым правилам сертификации, если не найдется сертифицированный Docker, вам в любом случае придется сертифицировать свое решение только с определенными релизами Docker'а, которые вам придется самим собрать из исходников и передать испытательной лаборатории на анализ уязвимостей. И если каким-то чудом вы получите сертификат, уже со следующим релизом Docker'а этот сертификат превратится в тыкву. |
Автор: oko | 106254 | 13.04.2019 15:39 |
to malotavr
<Чтобы получить в сертификате приписку "может использоваться в ГИС до первого класса", вам при согласовании заявки придется убедить ФСТЭК, что требования ЗСВ потребитель сможет выполнить> где-нибудь официально прописано? Не наезда ради, а пользы для интересуюсь. Тут особо ретивые ребятки (как обычно, ага) развернули KVM на базе ОС с сертификатом по НДВ и СВТ и доказывают, что требования ЗСВ априори выполняются. А я теперь в поисках истины... to Pavel +1 к тов. malotavr - далеко на таком решении даже в случае получения сертификата на Docker не уедете, увы... Возможно, имеет смысл зайти с другого бока. Обеспечить контроль доступа к среде исполнения серверной системы, а для сервисов внутри контейнеров ("тела" ИС, как я понимаю?) провести пен-тест. С выдачей положительного заключения о защищенности (при условии фактического соответствия, конечно). И сертиф.СЗИ использовать уже на уровне сети (благо, их навалом). Надо крутить конечный проект, конечно, без его понимания ничего определенного не скажешь. Но вариант есть всегда, ага... |
Автор: malotavr | 106258 | 14.04.2019 09:31 |
oko, официально не прописано, это просто практика согласования ТУ и ЗБ при подаче заявки.
Лазейка НДВ+СВТ закрывается, такие сертификаты до конца года должны быть переоформлены на серфикацию по ЗБ или ТУ с указанием уровня доверия. ЗБ должно соответствовать утвержденному ПЗ, а в тексте ТУ приходится явно указывать, каким мерам 17 приказа соответствуют заявленные требования. Так что пока ретивых ребят можно просто бортануть, сказав, что сертификат, о котором они говорят, 1 января будет отозван. |
Автор: oko | 106261 | 14.04.2019 17:14 |
to malotavr
Благодарю! Хотя ребят бортануть по такой схеме не выйдет - есть иные препятствующие факторы. Впрочем, как и аргументы дополнительные об отказе подобного решения не только по причине сертификации СВТ/НДВ... |
Автор: Pavel, Krok | 106312 | 21.04.2019 18:34 |
Всем большое спасибо за ценную информацию.
|
Просмотров темы: 3227