Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Защита сервера СУБД на CentOS в ИСПДн К1
Всем добрый день!
Прочитал несколько похожих тем про СЗИ на Linux/Unix, но ответа не нашёл.

Есть ИСПДн класса K1 - потому что данные о здоровье.
Есть физический сервер с CentOS и базой данных Sybase.
Вариантов мне видится несколько:
1) Ставить сертифицированный Linux. Не совсем хороший вариант - это сулит нехилые изменения в функционировании системы
2) Выделять в отдельный сегмент сети, отделять межсетвым экраном, ставить соболь.. Но требования по подсистеме от НСД не выполняются.
3) Скоро вроде должен выйти Secret Net для Linux. Но пока его нет и ждать неизвестно сколько..

Может быть у кого-то был опыт построения подобной системы защиты?
Буду благодарен, если поделитесь.
Цитата
Андрей Моёров пишет:
2) Выделять в отдельный сегмент сети, отделять межсетвым экраном, ставить соболь..
выделяете в отдельную подсеть, ставите сертифицированный МЭ на границе сети, на сервер ставите Соболь либо ПАК СЗИ НСД Аккорд-X с двухуровневой идентификацией (по паролю и по токену) для Админа.
Цитата
Андрей Моёров пишет:
Но требования по подсистеме от НСД не выполняются
какие именно, вы считаете, не выполняются?
Спасибо за ответ.
Вот мои мысли по поводу невыполнения требований:

1) "использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия" - я трактую это требование как требование применения сертифицированных средств защиты
2) Надо уточнить, работает ли Соболь с CentOS. В списке поддерживаемых OC её нет, но есть Red Hat, на которой основан CentOS.
У ПАК СЗИ НСД Аккорд-X ведь нет сертификата ФСТЭК. По крайней мере, я не нашел информации о нём.
3) Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей
Если вместо Соболя или Аккорда ипользовать механизмы безопасности самой ОС, то в данном случае "программным обеспечением средства защиты" является сама ОС, у которой нет сертификата.

Я прошу прощения, неправильно выразился.
В принципе, Соболь закрывает все требования по НСД. И если его можно поставить - то это, пожалуй, единственное верное решение.
2Андрей

Описанная вами проблема действительно является актуальной на сегодняшний день, проблем здесь несколько и замок Соболь + сертифицированный МЭ ваши проблемы не решит. Описываю почему:

1) При такой схеме Соболь+МЭ не выполняются требования по идентификации и регистрации доступа к файлам, каталогам, записям и полям записей (58 приказ, приложение п.4.3 а, б).

2) При попытке использовать сертифицированные ОС Linux внимательно изучите Технические условия и/или Задание безопасности, последние версии не отслеживал, но ещё в первой половине года делал анализ - ни одна из коммерческих сертифицированных Linux не закрывает требования по очистке освобождаемых областей памяти, регистрации неверных входов с указанием пароля, контроле целостности.

3) Есть сертифицированные под гостайну версии Linux - например Astra Linux (в неё входит в том числе и сертифицированный PostgreSQL), этим продуктом вы все требования закроете, но совсем не факт, что функционально это решение вам подойдет.

Вот такие вот проблемы на сегодняшний день с ИСПДн под Linux.
Михаил, спасибо за ответ.
Я уж обрадовался, что нашёл ещё одно решение. Отделить сервера не только Watchguard'ом, а ещё и комплексом средств защиты серверов баз данных Imperva (например, X4500 Data Security Suite). Но потом увидел в сертификате, что его можно применять только до К2..
То есть на Ваш взгляд вариантов нет? За исключением Astra Linux, на котором может не завестись ПО заказчика.
Сейчас основная проблема в сертифицированных СУБД. Под Linux сертифицированных решений, по разграничению и регистрации доступа на уровне записей и полей записей и с сертификатом на НДВ (т.к. К1) сейчас насколько я помню нет. Чтобы закрыть все нормативные требования я вижу только Asta Linux. Если у вас по факту все пользователи БД будут работать с одинаковыми правами, то можете за счет этого обосновать отсутствие разграничения доступа к этим объектам, и тогда СУБД можно вынести из-под системы защиты. Но сертифицированное разграничение доступа на уровне файлов с аудитом и очисткой памяти вам все равно придется чем-то делать.
Опять же если в скором времени будет принят Проект по уровням защищенности, то даже для специальной ИСПДн есть варианты не использовать сертифицированные СЗИ.
http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=2807&MID=37787#message37787
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)