Автор: Pavel | 110492 | 02.11.2022 12:51 |
Коллеги, добрый день!
Подскажите пожалуйста: 1) Существуют сертифицированные по требованиям ФСТЭК средства контейнеризации? 2) Есть ли сейчас какие-либо перспективы рассматривать контейнеры в качестве среды функционирования сертифицированного ППО (СЗИ) ? |
Автор: oko | 110493 | 02.11.2022 20:46 |
to Pavel
По линии ФСТЭК не существует (и вряд ли будут, ага) Профилей для сертификации средств виртуализации, средств контейнеризации и, главное, оркестрации (потому что Docker в чистом виде сейчас вряд ли кому-то интересен). Все сертификаты могут быть выданы по ОУД (бывшее НДВ) и ЗБ (ТУ), которые производитель+лаборатория лепят от себя... С другой стороны, есть письма-рекомендации ФСТЭК по защите сред виртуализации и сред контейнеризации. И в той же AstraLinux SpecialEdition 1.7 добавлена поддержка Docker из коробки + механизмы разграничения памяти для него. Но это, imho, все-таки полумеры... А какие сертиф.СЗИ предполагается запускать в контейнерах? Не слышал об официальных docker-сборках от вендоров (разве что Позитивы нечто подобное пихают в свои комплексные продукты)... |
Автор: to Oko | 110507 | 07.11.2022 18:44 |
Да, профилей к средствам контейнеризации нету, но ФСТЭК хотел к в этом году выпустить Требования по безопасности информации к средствам контейнеризации. На ТБ-форуме была презентация с выдержками из проекта документа (перечень функциональных возможностей и функций безопасности):
В контейнерах планируется запускать веб-приложение, имеющее микросервисную архитектуру и реализующее функции безопасности: ИАФ, УПД, РСБ. |
Автор: oko | 110508 | 07.11.2022 20:37 |
Пожалуй, обойдемся без to (иначе то получится to-to-oko, что уже попахивает клиникой, ага)...
Нечто подобное этой презентации уже видел. И нечто подобное по заявлениям (только про виртуализацию) уже слышал. И все это на протяжении последних 10 лет с завидной периодичностью... Вообще, пока нет бумаги, нет и разговора. А то, честно говоря, пресловутое "у нас в Управлении есть мнение" уже настолько достало, что и говорить об этом не хочется... |
Автор: Pavel | 110543 | 18.11.2022 10:40 |
В базе ФСТЭК с перечнем сертифицированных СЗИ появилось СЗИ, сертифицированное на соответствие Требованиям к средствам контейнеризации (сертификат № 4591 от 19.09.22).
|
Автор: oko | 110544 | 19.11.2022 14:51 |
to Pavel
Да, уже понял, что до нашего захолустья инфа с форумов об утверждении оных Требований к контейнерам дошла поздно (сам документ увижу, надеюсь, до конца года). Это, кстати, косяк регулятора по информированию лицензиатов. Ну и мой, что не проявил экстрасенсорику (внезапно, ага)... Только для приведенного экземпляра из реестра схема сертификации далеко не серия. Со всеми вытекающими. Так-то народ MPLS-сети для себя по ОУД сертифицирует, но это ни о чем не говорит... Кстати, регулятор на волне этого документа решил отказаться от схемы с Профилями? Кто знает? |
Автор: pavs | 110545 | 21.11.2022 09:37 |
По поводу контейнеризации и виртуализации. На прошедшей на прошлой неделе конференции (SOC-форум) В.С. Лютиков в своём докладе, говоря о новых документах ФСТЭК, сообщил:
- Издан приказ ФСТЭК от 4 мая 2022 г. № 118 об утверждении требований по безопасности к средствам контейнеризации. Приказ зарегистрирован в Минюсте. - Издан приказ ФСТЭК от 27 октября 2022 г. № 187 об утверждении требований по безопасности к средствам виртуализации. Приказ пока в Минюсте.не зарегистрирован. Также сказал, что первый из этих приказов лицензиаты могут получить, направив запрос во ФСТЭК, с обоснованием. |
Просмотров темы: 2310