152 ФЗ
5 (1)
152 ФЗ ( Igo 19.05.2009 11:56 )5(3)Добрый день.
Подскажите СУБД Pervasive имеет соответствия требованиям ФСТЭК по защите конфиденциальной информации? Интересна тема 152 ФЗ.
>> Ответить- ФСТЭК ( Gotovchikov 19.05.2009 12:46 )5(1)ФСТЭК абсолютно все равно, какую СУБД вы используете
главное - это огород из организационных и технических мероприятий, выстроенный вокруг и внутри вашей защищаемой зоны, где хранится и обрабатываются персональные данные.
обратитесь в отдел лицензирования вашего регионального ФСТЭК с желанием: "хочу получить лицензию ФСТЭК", они помогут вам определиться с классом защиты информации, и порекомендуют вам список организаций, проводящих подготовительные мероприятия и собственно сертификацию.
услуги естественно платные.
после получения сертификата выдача лицензии - чисто техническая процедура
до начала 2010 года еще есть много времени:))
>> Ответить- странно я думал иначе ... ( Igo 19.05.2009 14:01 )5(1)1 - firebird имеет сертификат http://www.citforum.ru/seminars/cbd2009/1_8.pdf (зачем, если Вы говорите что не имеет значения);
2 - Журнал rs-club №1 январь-апрель 2009 г. 31 стр. "Возможности и преимущества"
>> Ответить- да, сколько людей столько мнений... ( Gotovchikov 19.05.2009 15:56 )5(1)и я уже давно никого не переубеждаю.
а по теме:
да, Pervasive не Oracle, и не будет таким
однако, на самом деле вам нужен не сертификат/лицензия ФСТЭК на АБС/СУБД
а соответсвие вашего банка требованиям ФЗ 152
а лучший способ соответствия - это превентивное и добровольное лицензирование у контроллирующего органа!
есть лицензия - соответсвуешь!
когда окунетесь в процедуру лицензирования, многое станет понятнее
а требования к сети/железу/софту отпределяются классом безопасности
просматривания требования к классам я пришел к выводу что RS-Bank 5.00 (5.50)
прекрасно вписывается в несколько классов (с учетом соответствующего технического и административного окружения ессно)
>> Ответить- Вот Вы тут говорите... ( Прокопьев 20.05.2009 14:52 )5(1)Почитайте постановление:
http://www.rg.ru/2007/11/21/personalnye-dannye-dok.html
Вот тут все самое веселое написано
>> Ответить- да, все это нужно знать делать... ( Gotovchikov 20.05.2009 15:39 )5(1)не знаю на что конкретно вы хотели обратить мое внимание в этом постановлении...
но вопросы связанные с
... обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
проверяет и лицензирует ФСТЭК
все связанное с криптозащитой (програмной и аппаратной) проверяет и лицензирует ФСБ
и на самом деле получение этих лицензий процедура не страшная:)
да, время
да, хлопоты
да, расходы
но все это реализуемо
>> Ответить- Нужны исходники их проверяют на наличие не регламентированных возможностей... ( Прокопьев 20.05.2009 15:43 )5(1)Not specified
>> Ответить- исходники? ( Gotovchikov 20.05.2009 15:47 )5(1)не уверен!
но я не конечно сотрудник ФСТЭК, адназначна!
обратитесь в отдел лицензирования и узнайте
м.б. это применимо для гостайны?
ну а для конфи - точно нет, мне так кажется:)
>> Ответить- Где-то я это находил... ( Прокопьев 20.05.2009 16:09 )5(1)Вообще, по хорошему, это не должно быть проблемой банка, т.к. банк покупает готовое решение...
И еще один интересный момент, допусти мы получили сертификат на RsBank51.106.62, но потом вышла новая сборка, и все сначала.
Если посмотреть список сертифицированного ПО, XP sp2 - сертифицирована, а XP SP3 - нет.
>> Ответить- да, вы правы ( Gotovchikov 21.05.2009 07:41 )5(1)даже если вы получаете сертификат ФСТЭК на RS-продукт от производителя, то это будет распространяться только на этот конкретный патч.
однако и такой сертификат не даст вашему банку пройти проверку или получить лицензию ФСТЭК
у вас не исполнено требование: "...информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе"
и т.д. и т.п. организационные и технические мероприятия.
RS-продукт, всего лишь, софт, где хранятся и обрабатываются персональные данные.
к нему применяются требования по "Дискреционному принцип контроля доступа" (есть), протоколирование операций (есть), протоколирование обращений к персональным данным (будет)
Согласно стандарту безопасности ЦБ РФ требуется разделение функций Администратори безопасности и администратора АБС (в V.6.020 есть, в 5.50 будет)
все это, плюс дополнительные орг.мероприятия, соответствует классам безопасности по конфи 1Д, 1Г.
высший класс по конфи (1В) и более высокие классы (по гостайне) предьявляют дополнительные требования, такие как: «Мандатный контроль доступа», «Очистка памяти», «Сопоставление пользователя с устройством», «Защита ввода и вывода на отчуждаемый физический носитель информации» и т.д.
Что реализуется с применением аппаратно-програмных средств защиты (типа Secret Net, Страж и т.п., сертифицированных ФСТЭК)
поэтому для конфи вам не нужен сертификат ФСТЭК на RS-продукт от производителя!
вам нужны орг.-технические мероприятия по защите от НСД (несанкционированный доступ) к обрабатываемым и хранимым у вас персональным данным
>> Ответить
- и в догонку... ( Gotovchikov 20.05.2009 15:44 )5(1)главное что я хотел сказать, ввязавшись в тему,
что для соответствия организации этим требованиям необходим комплексный подход
какой дает только лицензирование у контроллирующего органа.
и не важно на самом деле что у Pervasive нет лицензии ФСТЭК
это не будет препятсвием для получения лицензии
главное выполнить все требования и пролицензироваться на выбранный класс.
для конфи это несложно
а гостайна большинству банков и не нужна, и ну ее, лучше не связываться:))
>> Ответить
- Про RS-Incounting ( ST73 14.10.2010 10:36 )5(1)Проводим работы по соответствию 152 ФЗ. Если рассматривать подсистему RS-Incounting как автономную (я думаю такой вариант нужно рассмотреть), то она классифицируется как система 3 класса по ИСПДн. Возникает вопрос как выполнить пункт в) подпункта 2.2 Приложения к 58 приказу ФСТЭК? Цитирую:
в) обеспечение целостности:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, а целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;
>> Ответить- На текущий момент во всех п\с RS-Inconting реализованы процедуры ревизии БД, ( Шубина Светлана 14.10.2010 17:09 )5(1)которые позволяют обеспечить целостность обрабатываемой информации.
Что касается целостности среду, то здесь вопрос о том, что понимается под программной средой. Если то, что использует конечноый пользователь (кадровик, расчетчик), то достаточно просто из модулей исключить модуль отладки файла с макрозаданием.
>> Ответить- Про обеспечение целостности. ( ST73 14.10.2010 17:53 )5(1)Обычно целостность контролируют так:
Есть утилита которая перед запуском считает контрольные суммы системных файлов (exe, dll и т.д.) и сравнивает их со списком в котором посчитаны контрольные суммы эталонных файлов переданные разработчиком.
Так делают например здесь: http://www.security.ru/default.php?target=update_etoken
Но в этом случае разработчику надо определиться с утилитой аналогичной АРМ контроля целостности и вести списки с контрольными суммами системных файлов разных версий. В свете нынешнего законотворчества очень полезная для банков возможность системы.
>> Ответить- Насколько я понимаю, контрольные суммы на какие-то файлы высчиитываются для того, ( Шубина Светлана 14.10.2010 18:01 )5(1)чтобы убедится в их неизменности. Но при чем тут целостность? Ведь файл может быть изменен, но при это целостность данных не нарушена. Или в данном случае имееется в виду целостность программной среды?
>> Ответить- Да. Целостность среды. ( ST73 14.10.2010 18:24 )5(1)Позволяет проверить, что файлы не повреждены и их не поразил неизвестный вирус.
>> Ответить- За указанную Вами проверку отвечает переменная реестра ( Шубина Светлана 15.10.2010 11:19 )5(1)BANK_INI\ОБЩИЕ ПАРАМЕТРЫ\ПЕРЕМЕННЫЕ\CHECKCRC. Если ее установить в значение YES (обратите внимание, что редактировать данную переменную можно только с правами администратора). При этом во всех *.exe и *.dll файлах уже хранится контрльная сумма. В случае, если Вы попытаетесь работать с системой с измененными *.exe и *.dll в момент входа в любой пункт меню будет проведена проверка соответствия контрольной суммы, кот. хранится в системе с суммой, кот. будет высчитана по вашим данным. Если они не совпадут, то будет выдано сообщение 3703 "Неверная контрольная сумма". И работа с модулем, для которого были измененны *.exe и *.dll будет невозможна.
>> Ответить- А как считается контрольная сумма. ( ST73 15.10.2010 17:37 )5(1)Not specified
>> Ответить - Эксперимент. ( ST73 15.10.2010 17:40 )5(1)Я дисковым редактором поправил байт в файле mod_fm.dll. Включил CHECKCRC.
Заходит без ошибок. Работает.
Может я чего то не так сделал?
>> Ответить- я делала след. образом: ( Шубина Светлана 15.10.2010 17:43 )5(1)включила настройку, открыла с помощью far mod_zp.dll, добавила пробел в начале, сохранила. Дальше зашла в Зарплату в любой пункт меню - получила сообщение.
>> Ответить- Просто в текстовом редакторе? ( ST73 15.10.2010 18:14 )5(1)В случае exe файл перестанет быть исполняемым. Его структуру убьет текстовый редактор. Да и вирусы так не работают.
>> Ответить- Извиняюсь. Вопрос снимается. ( ST73 15.10.2010 18:21 )5(1)С измененным байтом в пункты меню не пускает.
>> Ответить
- Криптозащита ( ИБ 22.04.2011 12:21 )5(1)В RS-Bank используется шифрование по алгоритму DES. Проходил ли продукт тематическое исследование по Приказу ФСБ РФ от 9 февраля 2005 г. N 66 и есть ли какое нибудь заключение?
>> Ответить
