LINUX.ORG.RU
ФорумTalks

сертифицированная ФСБ БД


0

1

по поводу вот этого линуксокапца возник вопрос - что из свободного (предлагаю в данном контексте подменить это определение словом «бесплатного») имеет хотя бы околопрактические шансы повторить эту историю успеха?

для Ъ - по ссылке радость-новость о сертификации СУБД offtop SQL Server 2K8 для конфиденциальных данныХ, не содержащих гостайны, а так же радость-информирование о наличии такого сертификата у DB2 и Oracle 11g & 10g

★★

Грусть-тоска...

Кто-нибудь вообще уже начал выполнять требования 152-фз? Во сколько вам это обошлось? Сторонних специалистов привлекали?

delete83 ★★
()
Ответ на: комментарий от delete83

Пока всё только слухи о страшных фейлах, миллионных затратах, фгм'нутости законодательства и тд.

temporary ★★
()

> сертифицированная ФСБ БД

отечественные бэкдоры? Хм...

pekmop1024 ★★★★★
()

сертифицированная ФСБ БД

А у нас разве не ФСТЭК сертифицирует железо и ПО?

fang90 ★★★★★
()

Я сомневаюсь, чтобы за этими сертификациями стояли реальные заботы о безопасности. Это просто монополизация рынка и ничего более. Как это произошло с криптографией. В 90-х до введения запретительных сертификационных мер рынок гражданской криптографии в РФ неплохо развивался и была конкуренция. Сейчас он фактически поделен между парой-тройкой фирмой, чьи продукты УГ почти полностью.

praseodim ★★★★★
()
Ответ на: комментарий от dinn

Причём первые 2 не позволяют работать только с 1 уровнем секретности, а поделию от MS вообще нельзя доверять гостайну.

dinn ★★★★★
()
Ответ на: комментарий от former_hokum

Да, только в МСВС практически у всех программ сменены названия и версии древние. В Астре вроде-бы нормально, т.к. вышла она недавно.

dinn ★★★★★
()
Ответ на: комментарий от former_hokum

«Если СУБД используется в задачах, связанных с криптографией, то сертификации ФСТЭК недостаточно, обязательным является получение сертификата ФСБ», - объяснил CNews председатель правления Ассоциации руководителей служб информационной безопасности (АРСИБ) Виктор Минин.

вроде да, это не прямое требование 152го. Но обеспечение безопасности передачи данных разве не влечёт за собой необходимость осуществления криптографической защиты?

spunky ★★
() автор топика
Ответ на: комментарий от spunky

Вопрос в том, чем именно реализуется защита. Если шифрование как-то связано с СУБД, то да. А если криптография заключается в каком-нибудь сертифицированном xxx-cryptor стоящим перед цыской, то нафига сертификат для БД? Хотя, может быть председатель этот знает намного больше об этом, чем я :(

former_hokum
()
Ответ на: комментарий от spunky

Тут я пожалуй поясню для тех, кто еще совсем не в теме, но имеет к 152-фз отношение. Сам закон «О персональных данных» ничего не регулирует. Он лишь указывает, что при обработке персональных данных должны использоваться технические средства защиты этой информации. Все методические рекомендации (читайте - требования) разрабатывал ФСТЭК в согласовании с ФСБ. Так что про ФСБ тут не просто так упомянули.

Рекомендации же эти включают мероприятия по категорированию обрабатываемой и хранимой информации, по категорированию техники, используемой для обработки и хранения информации. А там уже в соответствии с присвоенной категорией все применяемые средства для защиты, начиная с антивирусов и фаерволов и заканчивая экранированием сетевых магистралей и логирование событий как в ОС, так и в АС, используемой для обработки данных. Отдельной строкой проходит организация процедуры передачи информации как внутри организации, так и третьим лицам. Тут должно обеспечиваться шифрование и ЭЦП. Все средства должны быть сертифицированы для обработки и хранения соответствующей категории информации.

delete83 ★★
()
Ответ на: комментарий от delete83

Вообще, все это в точности повторяет те мероприятия по защите информации, которые уже лет 15 примерно выполняются в Сбербанке и возможно в некоторых других банках. Но где Сбербанк и где муниципальные учреждения и всякие местные администрации с частными конторками на 20 человек? Сбербанк в состоянии откупить себе сертификационный центр для издания сертификатов ЭЦП, заказывать разработку ПО для работы с этими сертификатами и содержать целый штат специалистов по безопасности. А остальным что делать?

delete83 ★★
()

> по поводу вот этого линуксокапца

В декабре 2007 г. такой документ ФСТЭК получила IBM DB2 UDB ESE v.9.1

линупсокапец откладывается

muon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.