Новые продукты сертифицированные ФСТЭК


????????? ?????????? ???????? ????????. ?????? ????????????????? (??? ??????) ????????? MS ?????????? ??? ????? ?????????? ???????????:

– SQL Server 2005 Standard Edition (Russian version)

– SQL Server 2005 Enterprise Edition (Russian version)

??? ???????? ??????? ? ????? ????, ??? ?? ??? ????? ?? ????? ???????? ?????????? ?? Windows Server 2003 R2 Enterprise Edition (Russian version)

???, ?????????, ???????? ?????????? ?????????? ??-?????????????? ???? ?? “??????????????????” ????????????. ?????? ?????? ????????????????? ????????? ????? ????? ????? http://www.microsoft.com/Rus/Security/Certificate/Default.mspx (????? ?? ????????? ? ?????? ????? ?????????).

P.S. ?????? ? ???????? ???????????? ISA Server 2006 Standard edition, ? ??????? ?? Windows Vista ???????? ? ?????? ??????? (??????????????? ???? ??? ???????).

Comments (13)

  1. Anonymous says:

    Спасибо, Геодезия – порадовали 🙂

  2. Neandertalets says:

    А не укажете, на что именно были сертифицированы эти продукты? Сам факт "сертификации" без указания конкретно на что был  выдан сертификат – пустой звук: сертификация бывает разной.

    Ведь скорее всего этот сертификат подтверждает соответствие какому-то классу безопасности (раз ФСТЭК), но при условии неизменности этого продукта.

    Фактически данное соответствие теряет силу при установке SQL сервера на не сертифицированную ОС (Vista и пр.), либо на сертифицированную ОС, но с установленной любой  несертифицированной программой, будь то исправление (патч) на сам SQL сервер, либо на ОС, либо вообще любой другой программой или программным модулем (дополнением), не имеющей данного сертификата от ФСТЭК.

  3. Neandertalets says:

    Оценочный уровень доверия 1 (ОУД1), даже усиленный, означает, что, согласно части 3 ОК (6.2.1), к продукту или системе ИТ предъявляются минимальные требования доверия: "ОУД1 применим, когда требуется некоторая уверенность в правильном функционировании, а угрозы безопасности не рассматривают как серьезные". Никакого отношения к классам по другим РД ОУДы не имеют (http://www.intuit.ru/department/security/secst/4/6.html).

    Фактически, для применения в домашних условиях некое доверие есть. А для серьезной ИС, где важность безопасности выше домашней, ОУД 1 не подходит.

  4. Neandertalets says:

    Забыл дописать, что про ОУД 1 было взято из http://www.microsoft.com/Rus/Security/Certificate/_i/SQL2005_Standard.jpg.

    Кстати, согласно тому самому ФТЭК (http://www.fstec.ru/_docs/doc_3_3_006.htm) :

    "Самый низкий класс защищенности – пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый – для 1Г, третий – 1В, второй – 1Б, самый высокий – первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой."

    Из его следует, что SQL сервер чуть-чуть лучше защищен, чем совсем не защищенный. 🙂

  5. Neandertalets says:

    Еще более точное описание, что же соотв. классу защищенности 5 (соотв. классу 1Г) находится в РД "СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ ОТ НСД К ИНФОРМАЦИИ" (http://linux.nist.ru/hr/doc/gtk/gtk014.htm).

    Из этого же следует, что есть:

    1. Дискреционный принцип контроля доступа;

    2. Очистка памяти;

    3. Идентификация и аутентификация;

    4. Гарантии проектирования (не совсем понимаю, что это);

    5. Регистрация;

    6. Целостность КСЗ;

    7. Тестирование;

    8. Руководство пользователя;

    9. Руководство по КСЗ;

    10. Тестовая документация;

    11. Конструкторская (проектная) документация.

    И, соответственно, нет:

    1. Мандатный принцип контроля доступа;

    2. Изоляция модулей;

    3. Маркировка документов;

    4. Защита ввода и вывода на отчуждаемый физический носитель информации;

    5. Сопоставление пользователя с устройством;

    6. Взаимодействие пользователя с КСЗ;

    7. Надежное восстановление;

    8. Контроль модификации;

    9. Контроль дистрибуции;

    10. Гарантии архитектуры.

    Конечно, нельзя забывать, что все сертифицированные продукты могут использоваться в автоматизированных системах (АС) ДО класса 1Г (а есть еще 1В, 1Б и наивысший 1А). Т.е. более высоким требованиям (которые очень часто предъявляются в серьезных АС) эти продукты не соответствуют.

    И стоит добавить на последок, что сертификат соответствует, если не ошибаюсь, только тем дистрибутивам, которые были представлены на сертификацию. 😉    Т.е. любое изменение в дистрибутиве приводит к несоответствию сертификату (читайте первый комментарий). 😉

  6. Neandertalets says:

    И еще по 1Г: http://www.intuit.ru/department/security/secbasics/5/6.html

    Напоминаю, что 1Г – не относится к продуктам мс, а относится к автоматизированным системам (АС), в которых могут применяться эти продукты. Для более защищенных АС данные продукты не сертифицированный к применению. Ни один.

  7. Neandertalets says:

    Еще одна засада, о которой обычные пользователи не догадываются (я её ранее чуть-чуть отметил): данные сертификаты действуют (на примере XP SP2 5.1.2600) ТОЛЬКО при соблюдении двух условий:

    1. приобретении сертифицированной версии ОС (см.цены http://www.altx.ru/price_sert_po_microsoft.pdf);

    2. установка на эту ОС дополнительного пакета Secure Pack, который так же стои денег (http://www.altx.ru/price_sert_po_microsoft.pdf).

    Т.е. любая другая версия или версия, не купленная у указанных (http://www.microsoft.com/Rus/Security/Certificate/Default.mspx) продавцов – никоим образом к сертифицированным не относится и относится не может. 😉

  8. Superman says:

    Neandertalets,  солнышко а давно ли MS SQL Server стал в Росии межсетевым экраном?

    http://www.fstec.ru/_docs/doc_3_3_006.htm

    Устанавливается пять классов защищенности МЭ.

          Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.

          Самый низкий класс защищенности – пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый – для 1Г, третий – 1В, второй – 1Б, самый высокий – первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.

  9. Neandertalets says:

    Superman: Где про МЭ в связке со СКУуЛом написано мной? 🙂    Или про ФСТЭКовский документ? Перепутал – ссылки – бывает и такое.

  10. Нетбук says:

    Процесс сертификация Windows 7 уже стартует

  11. SpaceGeo says:

    Windows Vista сертифицирована это же ужас.

  12. Геодезия says:

    а почему так мало комментов на такой хороший постинг?

  13. Аудитор says:

    Интересная тема, спасибо автору, только вот коментариев спамерских много