|
|
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
Здравствуйте! Требуется создать БД, которая будет содержать в основном персональные данные. Дело упирается в то,что база должна соответствовать федеральному закону 152 о персональных данных. Таблиц будет примерно порядка 20,записей порядка нескольких тысяч. Какую субд лучше выбрать для этих целей?и каким образом организовать саму базу,чтобы максимально защитить и скрыть данные. Помогите,пожалуйста! Может быть, подскажете литературу по этим вопросам. Возможно,всё звучит размыто и непонятно,но проще будет в процессе уточнять. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.02.2010, 19:16 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
СУБД, в общем-то, к данному закону прямого отношения не имеет. Как минимум потому, что даже если СУБД умеет шифровать данные, то приложение, обеспечивающие занесение и просмотр этих персональных данных, показывает их в расшифрованном виде. Поэтому статью 19 этого закона надо соблюдать для системы в целом (статья 3 пункт 9). Также не стоит забывать про статью 22 пункт 2. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.02.2010, 20:33 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
~impossible~, берите линтер , и не парьтесь. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.02.2010, 10:32 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
октогенберите линтер, и не парьтесь. я бы для начала советовал ознакомиться со списком СУБД, сертифицированных ФСТЭК. Список этот очень мал, и там указаны совершенно конкретные версии СУБД. повторюсь, что сама по себе сертифицированная СУБД никак не сделает сертифицированной систему. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.02.2010, 10:40 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
kdv повторюсь, что сама по себе сертифицированная СУБД никак не сделает сертифицированной систему. Это действительно так. Допустим, СУБД ЛИНТЕР сертифицирована по 2 классу защиты от несанкционированного доступа (НСД). Если при этом в вашей информационной системе, построенной на основе СУБД ЛИНТЕР, функционируют приложения с более низким классом защиты от НСД, то информационная система в целом будет иметь этот низкий класс защиты от НСД. Здесь действует правило: степень защиты от НСД информационной системы равна степени защиты самого слабого её элемента. Образно говоря: вы можете создать супернадежный сейф, но хранить его в незащищенном помещении. Ваши секреты запросто могут выкрасть вместе с сейфом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.02.2010, 11:57 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
ЮВ Здесь действует правило: степень защиты от НСД информационной системы равна степени защиты самого слабого её элемента Кладём деньги в коробку от конфет, коробку кладём в супернадежный сейф. Надёжность системы такая же, как у коробки без сейфа? ЮВОбразно говоря: вы можете создать супернадежный сейф, но хранить его в незащищенном помещении. Ваши секреты запросто могут выкрасть вместе с сейфом. Похитители становятся счастливыми обладателями закрытого сейфа. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.02.2010, 12:08 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
ЗФКладём деньги в коробку от конфет, коробку кладём в супернадежный сейф. мы ведь про приложения + СУБД говорим? если мы положим данные в сейф, то приложения-то где будут? А если приложения в сейф запихнем, то как к ним получат доступ пользователи? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 25.02.2010, 12:56 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
Надо и пользователей сертифицировать. Оно обычно самое слабое звено. Листочек с паролем на монитор, и... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.02.2010, 22:38 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
~impossible~Здравствуйте! Требуется создать БД, которая будет содержать в основном персональные данные. На самом деле выбор СУБД небольшой. Насколько мне известно, только СУБД ЛИНТЕР имеет официальное подтверждение от ФСТЭК на использование в системах персональных данных. Его можно увидеть на этом сайте ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.02.2010, 13:35 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
интересно, сколько бабла стоила сертификация? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.02.2010, 13:45 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
kdvинтересно, сколько бабла стоила сертификация? Стоимость бумаги, тонера и почтовые расходы. :-) Все написано в письме ФСТЭК, которое можно посмотреть здесь . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.02.2010, 18:04 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
vitamaxСтоимость бумаги, тонера и почтовые расходы. :-) ну не надо "ля-ля". сертификация требует предоставления соответствующей документации, кода, и сама по себе не бесплатна. В сертификате написано только то, что сертификат выдан, не более. Меня интересуют примерные цифры, а также примерная стоимость сертификации абстрактного решения, а не только СУБД. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.02.2010, 21:28 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
я интересовался данным вопросом - цифры где-то 500 тыс - 1млн. причем сертифицируется конкретная версия СУБД, т.е. при выходе обновления требуется повторная сертификация. также верно и то что сертификат по классу защиты собственно СУБД - это ни о чем, требуется сертификация всего решения в целом, при чем если выпускается новая верси прикладухи, то сертификация идет насмарку :(( вот оно как, Михалыч ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.02.2010, 21:50 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
rodenНа самом деле выбор СУБД небольшой. Насколько мне известно, только СУБД ЛИНТЕР имеет официальное подтверждение от ФСТЭК на использование в системах персональных данных. О как. А майкрософт со своим сиквел сервером наверное всех обманула :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.02.2010, 23:44 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
Rus000причем сертифицируется конкретная версия СУБД, т.е. при выходе обновления требуется повторная сертификация да, это я в курсе, оно и понятно. Про цену тоже ожидал примерно такие цифры. Кроме прочего, вроде бы, базовый класс защиты это когда комп не подключен ни к какой сети. Что в нынешней ситуации просто смешно, особенно для СУБД. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.02.2010, 01:34 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
ЛПА майкрософт со своим сиквел сервером наверное всех обманула :) Ну майкрософт, как известно, впереди планет всей ... ;) Но вот письма я соответствующего не наблюдал. Был бы благодарен, если бы дали посмотреть ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2010, 13:43 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
kdvну не надо "ля-ля". сертификация требует предоставления соответствующей документации, кода, и сама по себе не бесплатна. В сертификате написано только то, что сертификат выдан, не более. Так это и не "ля-ля" - о сертификате речи не было, речь шла о письме ФСТЭК, и ссылка была на письмо. Не хотел повторять то, что здесь уже неоднократно сообщали, поэтому не стал расписывать подробно. Дело в том, что ЛИНТЕР сертифицирован на 2 класс защиты информации по НСД и 2 уровень НДВ. Во ФСТЭК подтвердили, что с этим сертификатом не требуется отдельной сертификации на соответствие 152 ФЗ, так как уже подтверждён более высокий уровень защиты, чем требует упомянутый закон. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2010, 19:11 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
vitamaxkdvинтересно, сколько бабла стоила сертификация ? Стоимость бумаги, тонера и почтовые расходы. :-) Все написано в письме ФСТЭК, которое можно посмотреть здесь . vitamaxkdvну не надо "ля-ля". сертификация требует предоставления соответствующей документации, кода, и сама по себе не бесплатна. В сертификате написано только то, что сертификат выдан, не более. Так это и не "ля-ля" - о сертификате речи не было , речь шла о письме ФСТЭК, и ссылка была на письмо. Ваще чтоль невменяемый? Читать хоть научись, прежде чем писать что-то. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2010, 19:37 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
vitamaxТак это и не "ля-ля" - о сертификате речи не было, речь шла о письме ФСТЭК, и ссылка была на письмо. мне пофиг письмо. меня интересовало, сколько стоит сертификация, минимальная. Если Линтер прошел более высокую сертификацию, то это все равно не значит, что пройденная сертификация была бесплатной. Если эти сертификации несопоставимы по стоимости, и Линтеровская входит в требования ФЗ 152 - надо было просто об этом сразу сказать. И вообще, если Вы рекламируете Линтер, то делайте это более приятно для читающих. Например, давайте ссылку не на список ВСЕХ сертификатов, где я должен искать нужный. И в ответе не тыкайте в текст сертификата, а объясните, в чем его смысл. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.03.2010, 21:15 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
Спасибо большое за ответы. А что вы скажете про oracle (он просто уже есть и используется для других целей)? На данный момент, как расказывает Интернет, 10g проходит сертификацию как СЗИ для защиты информации в АС класса до 1В включительно и ПДн до 1-го класса включительно. Однако пока только проходит. А клиентское приложение тоже должно проходить сертификацию (точнее все вместе с СУБД прицепом)?? или я чего-то неправильно поняла?? :-| ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2010, 08:52 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
kdv, написал в личку. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.03.2010, 13:04 |
|
||
|
Выбор СУБД для защиты данных
|
|||
|---|---|---|---|
|
#18+
~impossible~На данный момент, как расказывает Интернет, 10g проходит сертификацию как СЗИ для защиты информации в АС класса до 1В включительно и ПДн до 1-го класса включительно. Однако пока только проходит. В конце прошлого года слышал уже такую историю от одной из сертификационных лабораторий. Обратились к ним за сертификацией представители Oracle, им естественно сказали, что давайте такие-то и такие-то материалы. В Россию их передавать не захотели, пригласили специалистов этой лаборатории, насколько помню, в Германию. Естественно, народ поехал и .... спустя некоторое время Oracle сертификат НЕ получил! А, как говорится, за все вроде бы было уплочено ;) ~impossible~ А клиентское приложение тоже должно проходить сертификацию (точнее все вместе с СУБД прицепом)?? или я чего-то неправильно поняла?? :-| Не сертификацию. Вы должны сначала создать систему, соответствующую закону, а затем её аттестовать! Есть разница. В процессе аттестации, Вы должны будете доказать, почему Вы считаете Вашу систему должным образом защищенной! Соответственно, что будет проще доказать, что система соответствует требованиям, потому что там применяются исключительно сертифицированные решения ИЛИ доказать, что Вы изучили все моменты касающиеся защиты и ссылаясь на них смогли создать соответствующую систему? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.03.2010, 11:52 |
|
||
|
|
start [/forum/topic.php?fid=35&msg=36494711&tid=1552829]: |
0ms |
get settings: |
9ms |
get forum list: |
12ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
40ms |
get topic data: |
12ms |
get forum data: |
2ms |
get page messages: |
62ms |
get tp. blocked users: |
2ms |
| others: | 13ms |
| total: | 158ms |
| 0 / 0 |
