На сайте технического комитета по стандартизации № 362 ("Защита информации") выложен проект ГОСТ Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием технологии виртуализации . Основные положения», разработанный ФАУ "ГНИИИ ПТЗИ ФСТЭК России". Данный стандарт рассматривает требования по защите виртуализации во всех аспектах, в том числе виртуальные сети, СХД и sandbox'ы. В данной статье приведен мой обзор этого документа.
В первой части документа приведена общая информация, указывается, что стандарт касается только виртуализации и является дополнительным требованием, при использовании виртуализации. Никакие из нормативных документов он не заменяет и не отменяет.
Далее идет раздел с нормативными ссылками, в нем интересна отсылка к ГОСТ Р 51583-ХХХХ "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения", неуказанный год выпуска стандарта намекает на скорый выход новой версии стандарта 2000 года. Однако на сайте ТК 362 проект пока не опубликован.
В третьем разделе "Термины и определения" даны четкие определения терминам "виртуализация", "виртуальная машина", "гипервизор" и другим, стандарт заполнит пробелы в терминологии, возникшие после появления данных терминов в 21/17 приказах ФСТЭК.
В пятом разделе приводится перечень объектов, подлежащих защите. К таким объектам относятся:
- Файлы виртуальных жестких дисков и файлы с настройками ВМ;
- Гипервизоры;
- Системное и прикладное ПО, используемое в виртуализации, и их данные;
- Средства ЗИ и их данные;
- Каналы передачи данных;
- Сетевое оборудование и их данные;
- Резервные копии данных.
- Виртуализация аппаратного обеспечения - имитация аппаратных средств внутри программной среды гипервизора;
- Виртуализация программного обеспечения - создание изолированной программной среды внутри ОС (sandbox, "песочница");
- Виртуализация с использование гипервизора I типа - полная виртуализация с использованием гипервизора, работающего напрямую с аппаратным обеспечением (VMware vSphere, Microsoft Hyper-V (с оговорками));
- Виртуализация с использование гипервизора II типа - полная виртуализация с использованием гипервизора, работающего под управлением хостовой операционной системы (VirtualBox, VMware Workstation);
- Виртуализация вычислительных сетей - построение сетей, абстрагированных от аппаратного и программного обеспечения (VPN);
- Виртуализация систем хранения данных - сетевые СХД, в которых хранилища абстрагированы от аппаратного обеспечения.
Стоит оговориться касательно Microsoft Hyper-V, обычно его выделяют в отдельную гибридную группу, на базе I типа, но разработчики стандарта такую группу не выделяют, поэтому можно считать, что Microsoft Hyper-V относится к I типу.
По каждому из типов виртуализации приводится следующая информация - описание типа виртуализации, описание угроз безопасности информации и перечень мер по защите. Приводить угрозы и меры в данной статье я не буду, с ними можно ознакомится в оригинале.
В целом по приведенному списку угроз и мер у меня почти не возникло вопросов. Насколько я понимаю, при подготовке стандарта, как и при подготовке 21/17 приказов ГНИИИ ПТЗИ, активно использовались документы NIST, в частности, NIST 800-125 "Guide to Security for Full Virtualization Technologies". Поэтому документ получился не сложным, открытым и достаточно подробным.
Комментариев нет:
Отправить комментарий