сертифицированная ФСБ БД

Грусть-тоска...

Кто-нибудь вообще уже начал выполнять требования 152-фз? Во сколько вам это обошлось? Сторонних специалистов привлекали?

Пока всё только слухи о страшных фейлах, миллионных затратах, фгм'нутости законодательства и тд.

Насколько я понял, речь идёт о сертификации ФСБ, а она не является обязательной в случае 152-ФЗ

> сертифицированная ФСБ БД

отечественные бэкдоры? Хм...

сертифицированная ФСБ БД

А у нас разве не ФСТЭК сертифицирует железо и ПО?

Я сомневаюсь, чтобы за этими сертификациями стояли реальные заботы о безопасности. Это просто монополизация рынка и ничего более. Как это произошло с криптографией. В 90-х до введения запретительных сертификационных мер рынок гражданской криптографии в РФ неплохо развивался и была конкуренция. Сейчас он фактически поделен между парой-тройкой фирмой, чьи продукты УГ почти полностью.

это разные сертификации, для разных целей

бери дистрибутивы имеющие аналогичный сертификат и не парься

Например?

МСВС
Astra Linux Special Edition
Mandriva 2008 Spring Powerpack
Mandriva Corporate Server 4.0

Причём первые 2 не позволяют работать только с 1 уровнем секретности, а поделию от MS вообще нельзя доверять гостайну.

Я просто не смотрел, там в составе дистра есть mysql/postgre?

Да, только в МСВС практически у всех программ сменены названия и версии древние. В Астре вроде-бы нормально, т.к. вышла она недавно.

«Если СУБД используется в задачах, связанных с криптографией, то сертификации ФСТЭК недостаточно, обязательным является получение сертификата ФСБ», - объяснил CNews председатель правления Ассоциации руководителей служб информационной безопасности (АРСИБ) Виктор Минин.

вроде да, это не прямое требование 152го. Но обеспечение безопасности передачи данных разве не влечёт за собой необходимость осуществления криптографической защиты?

Вопрос в том, чем именно реализуется защита. Если шифрование как-то связано с СУБД, то да. А если криптография заключается в каком-нибудь сертифицированном xxx-cryptor стоящим перед цыской, то нафига сертификат для БД? Хотя, может быть председатель этот знает намного больше об этом, чем я :(

Тут я пожалуй поясню для тех, кто еще совсем не в теме, но имеет к 152-фз отношение. Сам закон «О персональных данных» ничего не регулирует. Он лишь указывает, что при обработке персональных данных должны использоваться технические средства защиты этой информации. Все методические рекомендации (читайте - требования) разрабатывал ФСТЭК в согласовании с ФСБ. Так что про ФСБ тут не просто так упомянули.

Рекомендации же эти включают мероприятия по категорированию обрабатываемой и хранимой информации, по категорированию техники, используемой для обработки и хранения информации. А там уже в соответствии с присвоенной категорией все применяемые средства для защиты, начиная с антивирусов и фаерволов и заканчивая экранированием сетевых магистралей и логирование событий как в ОС, так и в АС, используемой для обработки данных. Отдельной строкой проходит организация процедуры передачи информации как внутри организации, так и третьим лицам. Тут должно обеспечиваться шифрование и ЭЦП. Все средства должны быть сертифицированы для обработки и хранения соответствующей категории информации.

Вообще, все это в точности повторяет те мероприятия по защите информации, которые уже лет 15 примерно выполняются в Сбербанке и возможно в некоторых других банках. Но где Сбербанк и где муниципальные учреждения и всякие местные администрации с частными конторками на 20 человек? Сбербанк в состоянии откупить себе сертификационный центр для издания сертификатов ЭЦП, заказывать разработку ПО для работы с этими сертификатами и содержать целый штат специалистов по безопасности. А остальным что делать?

> по поводу вот этого линуксокапца

В декабре 2007 г. такой документ ФСТЭК получила IBM DB2 UDB ESE v.9.1

линупсокапец откладывается