Доработки ядра СУБД Firebird для обеспечения соответствия требованиям класса 1Г ФСТЭК по защите конфиденциальной информации Николай Самофатов, Технический Директор Корпорация «Ред Софт» Нормативная база по защите конфиденциальной информации • ФСТЭК –принципы защиты конфиденциальной информации • СТР-К • РД СВТ • РД АС • ФСБ - криптография • КС-1/КС-2 • ГОСТ • Проектная документация • ГОСТ Р 15408-2002 «Общие критерии» • ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью» Обзор требований Руководящих Документов ФСТЭК • Подсистема управления доступом • Аутентификация • Авторизация - дискреционный или ролевой метод разделения доступа • Подсистема регистрации и учета • Регистрация доступа к защищаемым объектам (включая файлы, таблицы, записи и поля записей) • Учет носителей информации • Криптографическая подсистема • Подсистема обеспечения целостности • Обеспечение целостности программных средств и обрабатываемой информации • Периодическое тестирование СЗИ НСД • Наличие средств восстановления СЗИ НСД Какие изменения в ядре Firebird требуется реализовать чтобы использовать его для хранения и защиты конфиденциальной информации? Согласно рекомендациям панели экспертов по безопасности, требуется: • Реализовать всеобъемлющий ролевой механизм разделения доступа В частности, перевести ядро безопасности Firebird с использования дискреционного метода разделения досупа (DAC) на ролевой (RBAC) • Улучшить механизмы аутентификации • Внедрить механизмы контроля целостности ядра и данных и метаданных • Реализовать подсистему регистрации • Исключить использование иностранных криптографических алгоритмов в ядре, использовать российские СКЗИ Всеобъемлющий ролевой механизм разделения доступа • SQL/DDL • SQL/DML • Доступ к Services API и другим административным операциям • Строки таблиц и блобы • Системный каталог Доработки аутентификации • Многофакторная аутентификация • Сертификаты • Биометрия • Аппаратные криптографические средства защиты • Поддержка сквозной аутентификации от приложений, использующих БД до механизмов организации единой точки входа (SSO) Контроль целостности • ЭЦП для исполнимых файлах и файлов конфигурации • ЭЦП метаданных и наборов данных • Защита целостности програмной среды с использованием средств аппаратной платформы Платформы «доверенных» вычислений Подсистема регистрации • Журнализация и хранение событий об использовании полномочий субъектов доступа при всех значимых операциях (успешно/неуспешно/несанкционировано) • • • • • • • Подключение к БД Выполнение SQL Выполнение BLR, DYN Выполнение хранимых процедур Работа с контекстными переменными Работа с транзакциями Вызов Services API Вопросы Корпорация «Ред Софт» Web: www.red-soft.biz E-mail: [email protected] Телефон: +7 (495) 721 35 37 Николай Самофатов, Технический Директор [email protected]