Мы запускаем новую рубрику по ответам на наиболее часто встречающиеся и актуальные, на наш взгляд, вопросы заказчиков. Сегодняшняя заметка посвящена возможности использования контейнерных сред в системах, подлежащих аттестации.
Контейнеры
1. Какие есть действующие документы (или проекты документов) в области ИБ, регулирующие применение контейнеров в ГИС/ИСПДн
В настоящее время экспертной группой под руководством ФСТЭК России разработан проект документа «Требования по безопасности информации к средствам контейнеризации». Документ будет применяться при сертификации таких решений.
По предварительной информации в данном документе будут рассматриваться следующие функции безопасности:
- управление доступом;
- идентификация и аутентификация пользователей;
- изоляция контейнеров;
- выявление уязвимостей в образах контейнеров;
- проверка корректности конфигурации контейнеров;
- контроль целостности контейнеров и их образов;
- централизованное управление образами контейнеров и контейнерами;
- регистрация событий безопасности.
2. Возможна ли аттестация ГИС/ИСПДн, защищаемая информация в которых обрабатывается в т.ч. в контейнерах? Какие есть требования?
Аттестация таких систем возможна.
Для ГИС необходимым условием будет применение сертифицированных ОС как доверенной среды виртуализации, например «Astra Linux Special Edition»/Альт 8 СП, т.к. в настоящее время сертифицированные наложенные средства отсутствуют.
Для ИСПДн аттестация возможна с использованием штатных механизмов безопасности ПО Kubernetes (как наиболее используемого ПО для управления контейнерами). При этом данные механизмы должны пройти процедуру оценки соответствия, например в форме приемочных испытаний.
В настоящее время формализованные требования отсутствуют.