доработки ядра СУБД Firebird для обеспечения
advertisement
Доработки ядра СУБД Firebird для обеспечения соответствия требованиям класса 1Г ФСТЭК по защите конфиденциальной информации Николай Самофатов, Технический Директор Корпорация «Ред Софт» Нормативная база по защите конфиденциальной информации • ФСТЭК –принципы защиты конфиденциальной информации • СТР-К • РД СВТ • РД АС • ФСБ - криптография • КС-1/КС-2 • ГОСТ • Проектная документация • ГОСТ Р 15408-2002 «Общие критерии» • ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью» Обзор требований Руководящих Документов ФСТЭК • Подсистема управления доступом • Аутентификация • Авторизация - дискреционный или ролевой метод разделения доступа • Подсистема регистрации и учета • Регистрация доступа к защищаемым объектам (включая файлы, таблицы, записи и поля записей) • Учет носителей информации • Криптографическая подсистема • Подсистема обеспечения целостности • Обеспечение целостности программных средств и обрабатываемой информации • Периодическое тестирование СЗИ НСД • Наличие средств восстановления СЗИ НСД Какие изменения в ядре Firebird требуется реализовать чтобы использовать его для хранения и защиты конфиденциальной информации? Согласно рекомендациям панели экспертов по безопасности, требуется: • Реализовать всеобъемлющий ролевой механизм разделения доступа В частности, перевести ядро безопасности Firebird с использования дискреционного метода разделения досупа (DAC) на ролевой (RBAC) • Улучшить механизмы аутентификации • Внедрить механизмы контроля целостности ядра и данных и метаданных • Реализовать подсистему регистрации • Исключить использование иностранных криптографических алгоритмов в ядре, использовать российские СКЗИ Всеобъемлющий ролевой механизм разделения доступа • SQL/DDL • SQL/DML • Доступ к Services API и другим административным операциям • Строки таблиц и блобы • Системный каталог Доработки аутентификации • Многофакторная аутентификация • Сертификаты • Биометрия • Аппаратные криптографические средства защиты • Поддержка сквозной аутентификации от приложений, использующих БД до механизмов организации единой точки входа (SSO) Контроль целостности • ЭЦП для исполнимых файлах и файлов конфигурации • ЭЦП метаданных и наборов данных • Защита целостности програмной среды с использованием средств аппаратной платформы Платформы «доверенных» вычислений Подсистема регистрации • Журнализация и хранение событий об использовании полномочий субъектов доступа при всех значимых операциях (успешно/неуспешно/несанкционировано) • • • • • • • Подключение к БД Выполнение SQL Выполнение BLR, DYN Выполнение хранимых процедур Работа с контекстными переменными Работа с транзакциями Вызов Services API Вопросы Корпорация «Ред Софт» Web: www.red-soft.biz E-mail: info@red-soft.biz Телефон: +7 (495) 721 35 37 Николай Самофатов, Технический Директор nikolay.samofatov@red-soft.biz
