Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертифицированные средства контейнеризации - Форум по вопросам информационной безопасности

Сертифицированные средства контейнеризации - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Pavel | 110492 02.11.2022 12:51
Коллеги, добрый день!

Подскажите пожалуйста:
1) Существуют сертифицированные по требованиям ФСТЭК средства контейнеризации?
2) Есть ли сейчас какие-либо перспективы рассматривать контейнеры в качестве среды функционирования сертифицированного ППО (СЗИ) ?

Автор: oko | 110493 02.11.2022 20:46
to Pavel
По линии ФСТЭК не существует (и вряд ли будут, ага) Профилей для сертификации средств виртуализации, средств контейнеризации и, главное, оркестрации (потому что Docker в чистом виде сейчас вряд ли кому-то интересен). Все сертификаты могут быть выданы по ОУД (бывшее НДВ) и ЗБ (ТУ), которые производитель+лаборатория лепят от себя...
С другой стороны, есть письма-рекомендации ФСТЭК по защите сред виртуализации и сред контейнеризации. И в той же AstraLinux SpecialEdition 1.7 добавлена поддержка Docker из коробки + механизмы разграничения памяти для него. Но это, imho, все-таки полумеры...
А какие сертиф.СЗИ предполагается запускать в контейнерах? Не слышал об официальных docker-сборках от вендоров (разве что Позитивы нечто подобное пихают в свои комплексные продукты)...

Автор: to Oko | 110507 07.11.2022 18:44
Да, профилей к средствам контейнеризации нету, но ФСТЭК хотел к в этом году выпустить Требования по безопасности информации к средствам контейнеризации. На ТБ-форуме была презентация с выдержками из проекта документа (перечень функциональных возможностей и функций безопасности): https://www.tbforum.ru/hubfs/TBF/2022/Presentations_LIVE/%D0%A8%D0%B5%D0%B2%D1%86%D0%BE%D0%B2_TBF_2022_hall4_1602.pdf?hsLang=ru

В контейнерах планируется запускать веб-приложение, имеющее микросервисную архитектуру и реализующее функции безопасности: ИАФ, УПД, РСБ.

Автор: oko | 110508 07.11.2022 20:37
Пожалуй, обойдемся без to (иначе то получится to-to-oko, что уже попахивает клиникой, ага)...
Нечто подобное этой презентации уже видел. И нечто подобное по заявлениям (только про виртуализацию) уже слышал. И все это на протяжении последних 10 лет с завидной периодичностью...
Вообще, пока нет бумаги, нет и разговора. А то, честно говоря, пресловутое "у нас в Управлении есть мнение" уже настолько достало, что и говорить об этом не хочется...
Прошло около недели

Автор: Pavel | 110543 18.11.2022 10:40
В базе ФСТЭК с перечнем сертифицированных СЗИ появилось СЗИ, сертифицированное на соответствие Требованиям к средствам контейнеризации (сертификат № 4591 от 19.09.22).

Автор: oko | 110544 19.11.2022 14:51
to Pavel
Да, уже понял, что до нашего захолустья инфа с форумов об утверждении оных Требований к контейнерам дошла поздно (сам документ увижу, надеюсь, до конца года). Это, кстати, косяк регулятора по информированию лицензиатов. Ну и мой, что не проявил экстрасенсорику (внезапно, ага)...
Только для приведенного экземпляра из реестра схема сертификации далеко не серия. Со всеми вытекающими. Так-то народ MPLS-сети для себя по ОУД сертифицирует, но это ни о чем не говорит...
Кстати, регулятор на волне этого документа решил отказаться от схемы с Профилями? Кто знает?

Автор: pavs | 110545 21.11.2022 09:37
По поводу контейнеризации и виртуализации. На прошедшей на прошлой неделе конференции (SOC-форум) В.С. Лютиков в своём докладе, говоря о новых документах ФСТЭК, сообщил:
- Издан приказ ФСТЭК от 4 мая 2022 г. № 118 об утверждении требований по безопасности к средствам контейнеризации. Приказ зарегистрирован в Минюсте.
- Издан приказ ФСТЭК от 27 октября 2022 г. № 187 об утверждении требований по безопасности к средствам виртуализации. Приказ пока в Минюсте.не зарегистрирован.
Также сказал, что первый из этих приказов лицензиаты могут получить, направив запрос во ФСТЭК, с обоснованием.

Просмотров темы: 586

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*