Контакты
Подписка
МЕНЮ
Контакты
Подписка

PostgreSQL в составе сертифицированного дистрибутива Linux - Форум по вопросам информационной безопасности

PostgreSQL в составе сертифицированного дистрибутива Linux - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Максим | 105291 10.12.2018 11:51
Здравствуйте коллеги!

Перед нами встала нелёгкая задача по выбору сертифицированной ФСТЭК СУБД для использования в наших продуктах.

Я так понимаю мы можем спокойно использовать сертифицированные версии СУБД, которые находятся в едином реестре российского ПО. Тем не менее в составе некоторых дистрибутивов, которые также являются сертифицированными, входит в состав СУБД, которые не находятся в едином реестре российского ПО. Например PostgreSQL 9.5 в составе AltLinux СПТ 7.0.

Технически эта СУБД сама по себе не сертифицирована ФСТЭК. Но так как она входит в состав сертифицированного дистрибутива, то это делает её сертифицированной что-ли?

Вопрос заключается в том можем ли мы (правомерно ли) использовать СУБД, которая входит в дистрибутив сертифицированной ОС, но сама по себе не является сертифицированной?

Автор: oko | 105298 10.12.2018 13:53
to Максим
Postgres Pro, имеющая сертификат (отдельный), сертифицирована по НДВ-4 и СВТ-5. Читай, может применяться в конфи-объектах (ГИС, ИСПДн, КИИ без ГТ, и т.д.) как САМОСТОЯТЕЛЬНОЕ средство защиты информации на уровне СУБД от НСД.

Другие версии Postgres, а также MySQL, Mariadb и проч. в составе сертифицированных ОС на базе GNU/Linux (Astra Linux, AltLinux, РОСА и т.д.) подобного самостоятельного сертификата не имеют. Они входят в состав сертиф.ОС и проверены по НДВ (по умолчанию), но самостоятельно требования СВТ не выполняют. Следовательно, если вам по ТЗ или по факту необходимо решить задачу защиты информации на уровне СУБД (например, в СУБД имеется разграничение по ролям и пользователи проходят ИАФ средствами СУБД, не затрагивая при этом механизмы ИАФ в составе ОС), то такие "огрызки" в составе сертиф.ОС вам не подходят...
Хотя обосновать можно все - вопрос лишь в желании...

Автор: Константин | 105300 10.12.2018 14:22
Иначе
то что СУБД входит в состав сертифицированного дистрибутива ОС, не делает СУБД сертифицированной для использования вне дистрибутива.
Вы можете использовать СУБД отдельно, но она не будет являться сертифицированной.

И нахождение СУБД в реестре российского ПО, не значит, что вы скачаете такую СУБД с интернета, поставите у себя и она будет являться сертифицированной. Извольте купить сертифицированный дистрибутив СУБД с формуляром и установить ее на ваш сервер с этого дистрибутива.

Автор: oko | 105302 10.12.2018 16:15
to Константин
<...вы скачаете такую СУБД с интернета, поставите у себя и она будет являться сертифицированной... Извольте купить сертифицированный дистрибутив СУБД с формуляром...> - это как бы по умолчанию для любой сертифицированной по требованиям безопасности продукции у нас в стране...

<Вы можете использовать СУБД отдельно, но она не будет являться сертифицированной> - еще раз, все зависит от задачи и от того, считать ли СУБД в данной конкретной ИС "средством защиты информации":
1. Если нужно обеспечивать защиту ИОД средствами СУБД - нужна СУБД, имеющая собственный сертификат по СВТ и, вероятнее всего, по НДВ (см. требования к конкретным ИС - обязательность проверки по НДВ может не предъявляться). Простой пример: ИОД составляет ГТ и обрабатывается только средствами какого-то ППО, использующего СУБД - тогда процессы идентификации и аутентификации (ИАФ), регистрации событий (РСБ) и т.д. выполняются средствами ППО и частично СУБД. Следовательно, нужна как минимум сертиф.СУБД под нужный уровень контроля НДВ и нужные требования к СВТ. Хорошо бы в такой ситуации и ППО сертифицировать (хотя в большинстве случаев это избыточно, особенно когда неГТ объект).
2. Если нужно обеспечивать защиту ИОД средствами ОС, а в СУБД ИОД либо обрабатываться не будет, либо имеются механизмы "прозрачного" проброса основных защитных механизмов "через" ОС (например, юзер логинится в сертиф.ОС и сразу пробрасывается в СУБД, а напрямую в СУБД он никак залогиниться не может - решение вопроса ИАФ) - тогда сертификат соответствия, выданный для ОС, будет распространяться и на СУБД в ее составе. Но, primo, на конкретную версию СУБД (читай, пакеты которой идут на диске с сертиф.ОС) и, secundo, только по уровню контроля НДВ. Параметры сертификации по СВТ для ОС на такую СУБД распространяться не будут!

to Максим
Определитесь для начала:
- какая категория ИОД будет обрабатываться в ваших продуктах? и будет ли ИОД вообще (модуль экстрасенсорики подсказывает, что слишком мало данных для анализа, ага)?
- какие механизмы будет выполнять СУБД с позиции защиты информации?
- какие механизмы будет выполнять ваш софт с позиции защиты информации?
- выставляет ли вам Заказчик (иное лицо?) какие-то доп.требования в области защиты информации и, как следствие, сертификации продукции?

Просмотров темы: 2013

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*