Доработки ядра СУБД Firebird для обеспечения соответствия требованиям класса 1Г ФСТЭК по защите конфиденциальной информации Николай Самофатов, Технический. - презентация

1 Доработки ядра СУБД Firebird для обеспечения соответствия требованиям класса 1Г ФСТЭК по защите конфиденциальной информации Николай Самофатов, Технический Директор Корпорация «Ред Софт»

2 Нормативная база по защите конфиденциальной информации ФСТЭК –принципы защиты конфиденциальной информации СТР-К РД СВТ РД АС ФСБ - криптография КС-1/КС-2 ГОСТ Проектная документация ГОСТ Р «Общие критерии» ГОСТ Р ИСО/МЭК «Практические правила управления информационной безопасностью»

3 Обзор требований Руководящих Документов ФСТЭК Подсистема управления доступом Аутентификация Авторизация - дискреционный или ролевой метод разделения доступа Подсистема регистрации и учета Регистрация доступа к защищаемым объектам (включая файлы, таблицы, записи и поля записей) Учет носителей информации Криптографическая подсистема Подсистема обеспечения целостности Обеспечение целостности программных средств и обрабатываемой информации Периодическое тестирование СЗИ НСД Наличие средств восстановления СЗИ НСД

4 Какие изменения в ядре Firebird требуется реализовать чтобы использовать его для хранения и защиты конфиденциальной информации?

5 Согласно рекомендациям панели экспертов по безопасности, требуется: Реализовать всеобъемлющий ролевой механизм разделения доступа В частности, перевести ядро безопасности Firebird с использования дискреционного метода разделения досупа (DAC) на ролевой (RBAC) Улучшить механизмы аутентификации Внедрить механизмы контроля целостности ядра и данных и метаданных Реализовать подсистему регистрации Исключить использование иностранных криптографических алгоритмов в ядре, использовать российские СКЗИ

6 Всеобъемлющий ролевой механизм разделения доступа SQL/DDL SQL/DML Доступ к Services API и другим административным операциям Строки таблиц и блобы Системный каталог

7 Доработки аутентификации Многофакторная аутентификация Сертификаты Биометрия Аппаратные криптографические средства защиты Поддержка сквозной аутентификации от приложений, использующих БД до механизмов организации единой точки входа (SSO)

8 Контроль целостности ЭЦП для исполнимых файлах и файлов конфигурации ЭЦП метаданных и наборов данных Защита целостности програмной среды с использованием средств аппаратной платформы Платформы «доверенных» вычислений

9 Подсистема регистрации Журнализация и хранение событий об использовании полномочий субъектов доступа при всех значимых операциях (успешно/неуспешно/несанкционировано) Подключение к БД Выполнение SQL Выполнение BLR, DYN Выполнение хранимых процедур Работа с контекстными переменными Работа с транзакциями Вызов Services API

10 Вопросы Корпорация «Ред Софт» Web: Телефон: +7 (495) Николай Самофатов, Технический Директор