Renat's Middle E@st and Afric@ blog

Just random IT related thoughts (ok, not exactly "random", but please excuse some lack of structure :))

Blogs

Новые продукты сертифицированные ФСТЭК

  • Comments 13
  • Likes

Позвольте поделиться приятной новостью. Список сертифицированных (для России) продуктов MS пополнился вот этими достойными программами:

- SQL Server 2005 Standard Edition (Russian version)

- SQL Server 2005 Enterprise Edition (Russian version)

Это особенно приятно в свете того, что не так давно мы такде получили сертификат на Windows Server 2003 R2 Enterprise Edition (Russian version)

Это, наверняка, облегчит построение безопасной ИТ-инфраструктуры даже на "специализированных" предприятиях. Полный список сертифицированных продуктов можно найти здесь http://www.microsoft.com/Rus/Security/Certificate/Default.mspx (скоро он обновится с учетом новых продуктов).

P.S. сейчас в процессе сертификация ISA Server 2006 Standard edition, а процесс по Windows Vista стартует в скором времени (подговоительный этап уже пройден).

Comments
  • А не укажете, на что именно были сертифицированы эти продукты? Сам факт "сертификации" без указания конкретно на что был  выдан сертификат - пустой звук: сертификация бывает разной.

    Ведь скорее всего этот сертификат подтверждает соответствие какому-то классу безопасности (раз ФСТЭК), но при условии неизменности этого продукта.

    Фактически данное соответствие теряет силу при установке SQL сервера на не сертифицированную ОС (Vista и пр.), либо на сертифицированную ОС, но с установленной любой  несертифицированной программой, будь то исправление (патч) на сам SQL сервер, либо на ОС, либо вообще любой другой программой или программным модулем (дополнением), не имеющей данного сертификата от ФСТЭК.

  • Оценочный уровень доверия 1 (ОУД1), даже усиленный, означает, что, согласно части 3 ОК (6.2.1), к продукту или системе ИТ предъявляются минимальные требования доверия: "ОУД1 применим, когда требуется некоторая уверенность в правильном функционировании, а угрозы безопасности не рассматривают как серьезные". Никакого отношения к классам по другим РД ОУДы не имеют (http://www.intuit.ru/department/security/secst/4/6.html).

    Фактически, для применения в домашних условиях некое доверие есть. А для серьезной ИС, где важность безопасности выше домашней, ОУД 1 не подходит.

  • Забыл дописать, что про ОУД 1 было взято из http://www.microsoft.com/Rus/Security/Certificate/_i/SQL2005_Standard.jpg.

    Кстати, согласно тому самому ФТЭК (http://www.fstec.ru/_docs/doc_3_3_006.htm) :

    "Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой."

    Из его следует, что SQL сервер чуть-чуть лучше защищен, чем совсем не защищенный. :)

  • Еще более точное описание, что же соотв. классу защищенности 5 (соотв. классу 1Г) находится в РД "СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ ОТ НСД К ИНФОРМАЦИИ" (http://linux.nist.ru/hr/doc/gtk/gtk014.htm).

    Из этого же следует, что есть:

    1. Дискреционный принцип контроля доступа;

    2. Очистка памяти;

    3. Идентификация и аутентификация;

    4. Гарантии проектирования (не совсем понимаю, что это);

    5. Регистрация;

    6. Целостность КСЗ;

    7. Тестирование;

    8. Руководство пользователя;

    9. Руководство по КСЗ;

    10. Тестовая документация;

    11. Конструкторская (проектная) документация.

    И, соответственно, нет:

    1. Мандатный принцип контроля доступа;

    2. Изоляция модулей;

    3. Маркировка документов;

    4. Защита ввода и вывода на отчуждаемый физический носитель информации;

    5. Сопоставление пользователя с устройством;

    6. Взаимодействие пользователя с КСЗ;

    7. Надежное восстановление;

    8. Контроль модификации;

    9. Контроль дистрибуции;

    10. Гарантии архитектуры.

    Конечно, нельзя забывать, что все сертифицированные продукты могут использоваться в автоматизированных системах (АС) ДО класса 1Г (а есть еще 1В, 1Б и наивысший 1А). Т.е. более высоким требованиям (которые очень часто предъявляются в серьезных АС) эти продукты не соответствуют.

    И стоит добавить на последок, что сертификат соответствует, если не ошибаюсь, только тем дистрибутивам, которые были представлены на сертификацию. ;)    Т.е. любое изменение в дистрибутиве приводит к несоответствию сертификату (читайте первый комментарий). ;)

  • И еще по 1Г: http://www.intuit.ru/department/security/secbasics/5/6.html

    Напоминаю, что 1Г - не относится к продуктам мс, а относится к автоматизированным системам (АС), в которых могут применяться эти продукты. Для более защищенных АС данные продукты не сертифицированный к применению. Ни один.

  • Еще одна засада, о которой обычные пользователи не догадываются (я её ранее чуть-чуть отметил): данные сертификаты действуют (на примере XP SP2 5.1.2600) ТОЛЬКО при соблюдении двух условий:

    1. приобретении сертифицированной версии ОС (см.цены http://www.altx.ru/price_sert_po_microsoft.pdf);

    2. установка на эту ОС дополнительного пакета Secure Pack, который так же стои денег (http://www.altx.ru/price_sert_po_microsoft.pdf).

    Т.е. любая другая версия или версия, не купленная у указанных (http://www.microsoft.com/Rus/Security/Certificate/Default.mspx) продавцов - никоим образом к сертифицированным не относится и относится не может. ;)

  • Neandertalets,  солнышко а давно ли MS SQL Server стал в Росии межсетевым экраном?

    http://www.fstec.ru/_docs/doc_3_3_006.htm

    Устанавливается пять классов защищенности МЭ.

          Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.

          Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.

  • Superman: Где про МЭ в связке со СКУуЛом написано мной? :)    Или про ФСТЭКовский документ? Перепутал - ссылки - бывает и такое.

  • Процесс сертификация Windows 7 уже стартует

  • Windows Vista сертифицирована это же ужас.

  • а почему так мало комментов на такой хороший постинг?

  • Спасибо, Геодезия - порадовали :)

  • Интересная тема, спасибо автору, только вот коментариев спамерских много

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment