Почему необходимо использовать vGate?
Почему необходимо использовать СЗИ от НСД vGate при защите информации ограниченного доступа, обрабатываемой в виртуальной среде?
Факты
- Защищенность информационной системы при использовании технологий виртуализации должна соответствовать требованиям российского законодательства.
- Ни в руководящих документах регуляторов, ни в законодательстве не делается различий между физической и виртуальной средой обработки информации.
- Обработка информации в виртуальной среде имеет свои специфические особенности, отсутствующие в физической среде
- Как провести границы информационных систем, если на одном сервере виртуализации обрабатываются сведения разной категории?
- Как поступать, если используются разные информационные системы персональных данных внутри одного сервера виртуализации?
- Как обеспечить контроль конфигурации и доверенную загрузку виртуальных серверов?
- Как проконтролировать регистрацию всех важных событий информационной безопасности?
- Как реализовать на практике в среде виртуализации мандатный доступ и работу с метками конфиденциальности?
Не так давно компания VMware объявила о получении сертификата ФСТЭК России на платформу VMware vSphere 4.0.
Что написано в сертификате…
«Программный комплекс VMware vSphere 4 в составе: ESX 4.0 Update 1 и VMware vCenter Server 4.0 Update 1» в редакциях «Essentials», «Essentials Plus», «Standart», «Advanced», «Enterprise», «Enterprise Plus», разработанный компанией VMware, Inc и производимый ООО «Сертифицированные информационные системы», является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, соответствует требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) по 5 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно, а также для защиты информации в информационных системах персональных данных до 2 класса включительно при выполнении указаний по эксплуатации, приведенных в технических условиях ТУ 501190-0173-82487552-2010.»
Вопросы
- Что дает и для каких систем достаточно полученного сертификата на решения VMware?
- Зачем нужен vGate (дополнительное СЗИ), если есть сертификат VMware?
Сравним
|
|
VMware vSphere 4 |
vGate R2 |
vGate-S R2 |
|
Защита персональных данных |
|
К1 |
Нет1 |
Да |
Да |
|
К2 |
Да |
Да |
Да |
|
K3 |
Да |
Да |
Да |
|
Применение в информационных системах государственного сектора |
|
1Г |
Нет2 |
Да |
Да |
|
1В |
Нет |
Нет |
Да |
|
1Б |
Нет |
Нет |
Да |
|
Используемые платформы |
|
|
Только
vSphere 4.0 Update 13 |
vSphere 4.x\5 |
vSphere 4.x\5 |
Комментарии к таблице:
Таким образом, компаниям надо внимательно отнестись к уровню сертификации vSphere и учитывать, что:
- У vSphere нет сертификата по НДВ.
Согласно п.2.12 Приказа ФСТЭК России от 5.02.2010 N 58 зарегистрирован в Минюсте России 19.02.2010 № 16456 требуется наличие сертификата НДВ 4 в K1, а так же по решению оператора - в K2 и K3.
- У vSphere нет сертификата по НДВ.
Согласно п.1.5 РД "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" для применения в этих сетях дополнительно требуется наличие сертификата НДВ4.
- Обновления общесистемного программного обеспечения тоже должны быть сертифицированы. Использование дополнительных СЗИ позволяет устанавливать все обновления, не заботясь об этом.
Любое программное обеспечение имеет ошибки, которые нужно периодически исправлять. Любое программное обеспечение постоянно совершенствуется с целью улучшения его потребительских свойств. В результате исправлений исходного кода периодически выходят пакеты обновлений. Обновления общесистемного программного обеспечения должны быть сертифицированы. Если изменения незначительны, можно провести сертификацию только изменений по упрощенной процедуре – процедуре инспекционного контроля. Если изменения исходного кода превышают 10% всего кода, то необходимо проводить полную пересертификацию продукта. Сертификация операционной системы либо аналогичного по размеру исходного кода, общесистемного программного обеспечения занимает от полугода. Инспекционный контроль может быть проведен за пару месяцев. Использование дополнительных СЗИ позволяет устанавливать все обновления на общесистемное программное обеспечение без риска потери аттестации и задержек на сертификацию обновлений общесистемного программного обеспечения.
Сложности, возникающие при аттестации системы на базе встроенных сертифицированных СЗИ
Проведение аттестации на базе встроенных сертифицированных СЗИ обладает рядом недостатков для клиентов:
- Сложность обновления общесистемного программного обеспечения.
- Установка любого приложения, меняющего при установке системные (общие) бинарные модули общесистемного программного обеспечения, приводит к потере аттестации объекта информатизации.
- Большинство дополнительных СЗИ выпускается без существенных ограничений по применению. В то время как многие встроенные СЗИ выпускаются с существенными ограничениями по применению, в виду того, что данные средства разрабатывались без учета требований ФСТЭК/ФСБ, и отсутствующие функции должны деактуализироваться иными средствами или организационно-техническими мерами, что и указывается в ограничениях.
- Производитель общесистемного ПО может не продлить сертификат на старую версию общесистемного ПО, так как за время действия сертификата (3-5 лет) версия общесистемного ПО может морально устареть и производитель уже продает новую версию. Производители дополнительных СЗИ обычно автоматически продлевают сертификаты на свои средства пока ими пользуются клиенты, так как они сфокусированы именно на рынке сертифицированной ИБ, а не на рынке общесистемного ПО, кроме того, новые версии дополнительных СЗИ обычно поддерживают все распространенные версии общесистемного ПО, включая «морально устаревшие» (если, несмотря на это, они еще используются) . Таким образом, клиенту не придется менять общесистемное ПО из-за того, что оно устарело и на него не продлили сертификат, если он использует дополнительное СЗИ.
Еще раз
vGate – это единственное сертифицированное средство защиты информации от несанкционированного доступа, предназначенное для обеспечения безопасности виртуальных инфраструктур на базе платформ VMware vSphere 4 и 5 применение которого дает возможность легитимной обработки данных ограниченного доступа в виртуальной среде. |
|
|
