Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Сравнение СУБД Новый топик    Ответить
 Выбор СУБД для защиты данных  [new]
~impossible~
Member

Откуда:
Сообщений: 3
Здравствуйте! Требуется создать БД, которая будет содержать в основном персональные данные. Дело упирается в то,что база должна соответствовать федеральному закону 152 о персональных данных. Таблиц будет примерно порядка 20,записей порядка нескольких тысяч. Какую субд лучше выбрать для этих целей?и каким образом организовать саму базу,чтобы максимально защитить и скрыть данные. Помогите,пожалуйста! Может быть, подскажете литературу по этим вопросам. Возможно,всё звучит размыто и непонятно,но проще будет в процессе уточнять.
24 фев 10, 19:16    [8387871]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
kdv
Member

Откуда: iBase.ru
Сообщений: 30285
СУБД, в общем-то, к данному закону прямого отношения не имеет. Как минимум потому, что даже если СУБД умеет шифровать данные, то приложение, обеспечивающие занесение и просмотр этих персональных данных, показывает их в расшифрованном виде. Поэтому статью 19 этого закона надо соблюдать для системы в целом (статья 3 пункт 9).
Также не стоит забывать про статью 22 пункт 2.
24 фев 10, 20:33    [8388200]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
ОКТОГЕН
Member

Откуда:
Сообщений: 2498
~impossible~, берите линтер, и не парьтесь.
25 фев 10, 10:32    [8389937]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
kdv
Member

Откуда: iBase.ru
Сообщений: 30285
октоген
берите линтер, и не парьтесь.

я бы для начала советовал ознакомиться со списком СУБД, сертифицированных ФСТЭК. Список этот очень мал, и там указаны совершенно конкретные версии СУБД.

повторюсь, что сама по себе сертифицированная СУБД никак не сделает сертифицированной систему.
25 фев 10, 10:40    [8390000]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
ЮВ
Member

Откуда:
Сообщений: 509
kdv

повторюсь, что сама по себе сертифицированная СУБД никак не сделает сертифицированной систему.


Это действительно так.
Допустим, СУБД ЛИНТЕР сертифицирована по 2 классу защиты от несанкционированного доступа (НСД). Если при этом в вашей информационной системе, построенной на основе СУБД ЛИНТЕР, функционируют приложения с более низким классом защиты от НСД, то информационная система в целом будет иметь этот низкий класс защиты от НСД.
Здесь действует правило: степень защиты от НСД информационной системы равна степени защиты самого слабого её элемента.
Образно говоря: вы можете создать супернадежный сейф, но хранить его в незащищенном помещении. Ваши секреты запросто могут выкрасть вместе с сейфом.
25 фев 10, 11:57    [8390514]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
Зайцев Фёдор
Member

Откуда: Лужки
Сообщений: 5308
ЮВ
Здесь действует правило: степень защиты от НСД информационной системы равна степени защиты самого слабого её элемента

Кладём деньги в коробку от конфет, коробку кладём в супернадежный сейф.
Надёжность системы такая же, как у коробки без сейфа?
ЮВ
Образно говоря: вы можете создать супернадежный сейф, но хранить его в незащищенном помещении. Ваши секреты запросто могут выкрасть вместе с сейфом.

Похитители становятся счастливыми обладателями закрытого сейфа.
25 фев 10, 12:08    [8390618]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
kdv
Member

Откуда: iBase.ru
Сообщений: 30285
ЗФ
Кладём деньги в коробку от конфет, коробку кладём в супернадежный сейф.

мы ведь про приложения + СУБД говорим?

если мы положим данные в сейф, то приложения-то где будут? А если приложения в сейф запихнем, то как к ним получат доступ пользователи?
25 фев 10, 12:56    [8391126]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
S.G.
Member

Откуда: cartoon network
Сообщений: 30611
Надо и пользователей сертифицировать. Оно обычно самое слабое звено. Листочек с паролем на монитор, и...
26 фев 10, 22:38    [8401585]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
roden
Member

Откуда:
Сообщений: 741
~impossible~
Здравствуйте! Требуется создать БД, которая будет содержать в основном персональные данные.

На самом деле выбор СУБД небольшой. Насколько мне известно, только СУБД ЛИНТЕР имеет официальное подтверждение от ФСТЭК на использование в системах персональных данных. Его можно увидеть на этом сайте
27 фев 10, 13:35    [8403851]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
kdv
Member

Откуда: iBase.ru
Сообщений: 30285
интересно, сколько бабла стоила сертификация?
27 фев 10, 13:45    [8403929]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
vitamax
Member

Откуда:
Сообщений: 12
kdv
интересно, сколько бабла стоила сертификация?


Стоимость бумаги, тонера и почтовые расходы. :-)
Все написано в письме ФСТЭК, которое можно посмотреть здесь.
27 фев 10, 18:04    [8405815]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
kdv
Member

Откуда: iBase.ru
Сообщений: 30285
vitamax
Стоимость бумаги, тонера и почтовые расходы. :-)

ну не надо "ля-ля". сертификация требует предоставления соответствующей документации, кода, и сама по себе не бесплатна.
В сертификате написано только то, что сертификат выдан, не более.
Меня интересуют примерные цифры, а также примерная стоимость сертификации абстрактного решения, а не только СУБД.
27 фев 10, 21:28    [8406501]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
Rus000
Member

Откуда: Красноярск
Сообщений: 317
я интересовался данным вопросом - цифры где-то 500 тыс - 1млн.
причем сертифицируется конкретная версия СУБД, т.е. при выходе обновления требуется повторная сертификация.
также верно и то что сертификат по классу защиты собственно СУБД - это ни о чем, требуется сертификация всего решения в целом, при чем если выпускается новая верси прикладухи, то сертификация идет насмарку :((

вот оно как, Михалыч ...
27 фев 10, 21:50    [8406576]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
ЛП
Guest
roden
На самом деле выбор СУБД небольшой. Насколько мне известно, только СУБД ЛИНТЕР имеет официальное подтверждение от ФСТЭК на использование в системах персональных данных.

О как. А майкрософт со своим сиквел сервером наверное всех обманула :)
27 фев 10, 23:44    [8406872]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
kdv
Member

Откуда: iBase.ru
Сообщений: 30285
Rus000
причем сертифицируется конкретная версия СУБД, т.е. при выходе обновления требуется повторная сертификация

да, это я в курсе, оно и понятно. Про цену тоже ожидал примерно такие цифры.

Кроме прочего, вроде бы, базовый класс защиты это когда комп не подключен ни к какой сети. Что в нынешней ситуации просто смешно, особенно для СУБД.
28 фев 10, 01:34    [8407009]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
roden
Member

Откуда:
Сообщений: 741
ЛП
А майкрософт со своим сиквел сервером наверное всех обманула :)

Ну майкрософт, как известно, впереди планет всей ... ;)
Но вот письма я соответствующего не наблюдал. Был бы благодарен, если бы дали посмотреть
1 мар 10, 13:43    [8411675]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
Rus000
Member

Откуда: Красноярск
Сообщений: 317
ЛП,

список сертифицированного ПО здесь (в т.ч. СУБД)
1 мар 10, 18:36    [8414238]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
ЛП
Guest
Rus000
ЛП,

список сертифицированного ПО здесь (в т.ч. СУБД)

Пардон, мне то оно зачем???
1 мар 10, 18:47    [8414281]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
vitamax
Member

Откуда:
Сообщений: 12
kdv
ну не надо "ля-ля". сертификация требует предоставления соответствующей документации, кода, и сама по себе не бесплатна.
В сертификате написано только то, что сертификат выдан, не более.

Так это и не "ля-ля" - о сертификате речи не было, речь шла о письме ФСТЭК, и ссылка была на письмо.

Не хотел повторять то, что здесь уже неоднократно сообщали, поэтому не стал расписывать подробно.
Дело в том, что ЛИНТЕР сертифицирован на 2 класс защиты информации по НСД и 2 уровень НДВ. Во ФСТЭК подтвердили, что с этим сертификатом не требуется отдельной сертификации на соответствие 152 ФЗ, так как уже подтверждён более высокий уровень защиты, чем требует упомянутый закон.
1 мар 10, 19:11    [8414377]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
ЛП
Guest
vitamax
kdv
интересно, сколько бабла стоила сертификация?


Стоимость бумаги, тонера и почтовые расходы. :-)
Все написано в письме ФСТЭК, которое можно посмотреть здесь.


vitamax
kdv
ну не надо "ля-ля". сертификация требует предоставления соответствующей документации, кода, и сама по себе не бесплатна.
В сертификате написано только то, что сертификат выдан, не более.

Так это и не "ля-ля" - о сертификате речи не было, речь шла о письме ФСТЭК, и ссылка была на письмо.

Ваще чтоль невменяемый?
Читать хоть научись, прежде чем писать что-то.
1 мар 10, 19:37    [8414473]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
kdv
Member

Откуда: iBase.ru
Сообщений: 30285
vitamax
Так это и не "ля-ля" - о сертификате речи не было, речь шла о письме ФСТЭК, и ссылка была на письмо.

мне пофиг письмо. меня интересовало, сколько стоит сертификация, минимальная. Если Линтер прошел более высокую сертификацию, то это все равно не значит, что пройденная сертификация была бесплатной. Если эти сертификации несопоставимы по стоимости, и Линтеровская входит в требования ФЗ 152 - надо было просто об этом сразу сказать.

И вообще, если Вы рекламируете Линтер, то делайте это более приятно для читающих. Например, давайте ссылку не на список ВСЕХ сертификатов, где я должен искать нужный. И в ответе не тыкайте в текст сертификата, а объясните, в чем его смысл.
1 мар 10, 21:15    [8414734]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
~impossible~
Member

Откуда:
Сообщений: 3
Спасибо большое за ответы. А что вы скажете про oracle (он просто уже есть и используется для других целей)? На данный момент, как расказывает Интернет, 10g проходит сертификацию как СЗИ для защиты информации в АС класса до 1В включительно и ПДн до 1-го класса включительно. Однако пока только проходит. А клиентское приложение тоже должно проходить сертификацию (точнее все вместе с СУБД прицепом)?? или я чего-то неправильно поняла?? :-|
2 мар 10, 08:52    [8415883]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
vitamax
Member

Откуда:
Сообщений: 12
kdv, написал в личку.
2 мар 10, 13:04    [8417661]     Ответить | Цитировать Сообщить модератору
 Re: Выбор СУБД для защиты данных  [new]
roden
Member

Откуда:
Сообщений: 741
~impossible~
На данный момент, как расказывает Интернет, 10g проходит сертификацию как СЗИ для защиты информации в АС класса до 1В включительно и ПДн до 1-го класса включительно. Однако пока только проходит.

В конце прошлого года слышал уже такую историю от одной из сертификационных лабораторий. Обратились к ним за сертификацией представители Oracle, им естественно сказали, что давайте такие-то и такие-то материалы. В Россию их передавать не захотели, пригласили специалистов этой лаборатории, насколько помню, в Германию. Естественно, народ поехал и .... спустя некоторое время Oracle сертификат НЕ получил!
А, как говорится, за все вроде бы было уплочено ;)

~impossible~
А клиентское приложение тоже должно проходить сертификацию (точнее все вместе с СУБД прицепом)?? или я чего-то неправильно поняла?? :-|

Не сертификацию. Вы должны сначала создать систему, соответствующую закону, а затем её аттестовать! Есть разница.
В процессе аттестации, Вы должны будете доказать, почему Вы считаете Вашу систему должным образом защищенной! Соответственно, что будет проще доказать, что система соответствует требованиям, потому что там применяются исключительно сертифицированные решения ИЛИ доказать, что Вы изучили все моменты касающиеся защиты и ссылаясь на них смогли создать соответствующую систему?
4 мар 10, 11:52    [8429501]     Ответить | Цитировать Сообщить модератору
Все форумы / Сравнение СУБД Ответить