понедельник, 6 сентября 2010 г.

fstec + vSphere

 

На прошлой неделе компания VMware объявила о получении сертификата ФСТЭК России:

«Программный комплекс VMware vSphere 4 в составе ESX 4.0 Update 1 и VMware vCenter Server 4.0 Update 1» в редакциях «Essentials», «Essentials Plus», «Standart», «Advanced», «Enterprise», «Enterprise Plus» сертифицирован в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 и является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, соответствует требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) по 5 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в информационных системах персональных данных до 2 класса включительно при выполнении указаний по эксплуатации, приведенных в технических условиях ТУ 501190-0173-82487552-2010.»

Что же это дает компаниям? Многие блоги  и сайты  сразу запестрили информацией о том, что теперь этот продукт можно использовать при проектировании информационных систем  обрабатывающих персональные данные и информационных систем государственных учреждений.  Одновременно  стали появляться вопросы о том,  достаточно ли для такого применения  этого сертификата vSphere?

Мне тут подсказывают вот такую хорошую табличку:

можно ли применять vSphere для:  
Защита персональных данных  
К1 Нет (см. 1)
К2 Да
К3 Да
Применение в информационных системах государственного сектора  
Нет (см. 2)
Нет
Нет
Что именно понимается под vSphere  

vSphere 4.0 Update 1:
ESX 4.0 Update 1 и  vCenter Server 4.0 Update 1
(без обновлений меняющих при установке системные бинарные модули)

 

 

1.       Согласно п.2.12 Приказа ФСТЭК России от 5.02.2010 N 58 зарегистрирован в Минюсте России 19.02.2010 № 16456 требуется наличие сертификата НДВ 4 в K1, а так же по решению оператора - в K2 и K3 + в сертификате указано возможное использование до К2 включительно

2.       Согласно п.1.5 РД "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" для применения в этих сетях дополнительно требуется наличие сертификата НДВ 4

 

Если что такое K# и 1# непонятно, то простого ответа на этот вопрос нет. Для хоть какого-то можно глянуть, например, тут - Как классифицировать информационную систему персональных данных?

 

thx Мария Сидорова.

11 комментариев:

  1. если я правильно помню время работы в безопасности то то что относится к К# это требования по классификации полностью информационного системы. а то что 1# это классификация узла (АРМ или сервера)

    ОтветитьУдалить
  2. Кто бы мне объяснил зачем они вообще такой сертификат получили!? Основной спрос на сертифицированный софт приходиться на гос сектор.

    ОтветитьУдалить
  3. Ждал эту новость,т.к. с нового года вступает в силу ФЗ 152 о защите персональных данных, и если бы не была получена сертификация ФСТЭК, хранителям персональных данных пришлось бы шагнуть назад, от виртуализации и разнести снова сервисы по серверам. Сертификации до сих пор нет (?) у остальных игроков рынка Citrix и MS Hyper-v, что еще больше снизит их позиции.

    pymata.

    ОтветитьУдалить
  4. Михаил, кроме гос. сектора есть еще сотни тысяч предприятий, обрабатывающий персональные данные. Теперь официально можно запускать 1С под VMware vSphere.

    ОтветитьУдалить
  5. У нас гос.сектор (VI3)
    недавно Региональный аттестационный центр закончил обследование и предоставил проект защиты персональных данных:
    решение - поставить на ESX сервера электронный замок "Соболь"
    Как вам такое решение!?

    ОтветитьУдалить
  6. Я с 1С обсуждал эту проблему. Большинство инсталляций 1С либо вообще не попадают под требования к ИСПДН либо защищаются орг. мерами. VMware тут ничего не добавляет и не убавляет. А без К1 действительно крупным клиентам придется использовать или что-то другое или потратиться на наложенные средства как, видимо, в примере с Соболем. Я к тому, что ИМХО глупо было тратиться на получение столь слабой сертификации. МС вон по слухам всю платформу сертифицирует на НДВ4. МСВСфера 5.4 (включая KVM) сейчас получит ОУД2/НДВ4...

    ОтветитьУдалить
  7. Коллеги, почему ссылка на возможность использования в 1Г идет на документ по НДВ? Документ называется "РУКОВОДЯЩИЙ ДОКУМЕНТ
    АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ И ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ". Смотреть надо тут! Я не думаю, что те, кто выдавал сертификат и указывал возможность использования в 1Г не знает нормативную базу.
    По поводу обновлений - тоже не верно! Сертификация была проведена по типу серийного производства. Это означает, что компания-производитель (Сертифицированные информационные системы, certsys.ru - на сайте все есть) гарантирует пролангацию сертифицированного статуса в процессе действия сертификата. Это означает, что пользователь, приобретая сертифицированный пакет, получает доступ к закрытой части сайта производителя откуда уже скачивает сертифицированные обновления, которые прошли инспекционный контроль в лаборатории.

    ОтветитьУдалить
  8. VMware молодцы!!!А то, что НДВ не делали - правильно! С К2 НДВ убрали, прочитают требования для НДВ 4 - и с К1 уберут. Как специалисту по безопасности понять требование НДВ 4 - отсутствие избыточночти на уровне файлов(!). Как это может повлиять на безопасноть, если при компиляции файл не входит в сборку? Что-то уже надо менять...

    ОтветитьУдалить
  9. Вернулся из отпуска, а тут такие новости... И обсуждения профанации под названием фз152.
    2 всем любителям стращать - закон уже вступлил в силу, как четыре года - вот только карательные меры за его неисполнение уже третий раз откладывают. И в этот раз тоже отложат. ;)

    Полностью поддерживаю Мишу Козлова в его недоумении о целесообразности получения подобного сертификата. К госам с такой грамотой не сунешься...

    BTW: для построения систем под аттестацию на 1Г можно попробовать использовать vgate.

    ОтветитьУдалить
  10. Продолжая нагнетатать общее недоумение:
    Миша, убери из поста пункт 2 с ссылкой на неправильный РД. Пункт 1.5 документа на который указывает ссылка гласит:
    "Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации"
    пруфлинк - http://www.fstec.ru/_docs/doc_3_3_010.htm

    Использовать vSphere для построения систем с классом 1Г можно!!! В двух случаях, как уже писал с vgate, или в соответствии с ТУ 501190-0173-82487552-2010.
    Кстати нигде не смог найти их! Надеюсь коллеги из представительста опубликуют их в ближайшее время, как и скан сертификата.

    ОтветитьУдалить
  11. По просьбам трудящихся выложил сертификат и ТУ: http://vmware-blog.ru/2010/10/03/fstek-certificate-vsphere-updated/

    ОтветитьУдалить