ReF (c_u_l8r) wrote,
ReF
c_u_l8r

Category:

Изучая ГОСТы

Взялся почитать тут проект ГОСТа Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием технологии виртуализации . Основные положения»
Вдумчиво прочитав следующие три абзаца, озадачился смыслом...
   "Защита информации, обрабатываемой с использованием технологий виртуализации, обеспечивается выполнением требований к мерам ЗИ. Меры ЗИ разделены на несколько групп в зависимости от используемого типа виртуализации.
   В связи с тем, что защищённость информации определяется требованиями, варьируемыми по уровню и глубине в зависимости от класса защищённости информационных систем, построенных в том числе с помощью технологий виртуализации, в настоящем стандарте для каждого типа виртуализации приводится набор мер ЗИ, соответствующий ВЫСШЕМУ КЛАССУ защищённости от НСД.
   Для определения номенклатуры мер ЗИ, достаточной для обеспечения безопасности информации в конкретной ИС, целесообразно разрабатывать модель актуальных угроз БИ."

А далее читаем  собственно раздел 6.2 Защита информации при виртуализации программного обеспечения, а точнее подраздел 6.2.2 Угрозы безопасности информации
"При использовании виртуализации ПО создаются угрозы БИ, связанные со сложностью виртуализации ПО, имеющего в своём составе системные сервисы и драйвера уровня ядра, увеличением степени интеграции ПО и временем обработки его запросов, а также сложностью реализации программного и информационного взаимодействия между ПО, размещённого в различных виртуальных «оболочках». К таким угрозам относятся:
- нарушение процедуры аутентификации субъектов виртуального информационного взаимодействия;
- нарушение изоляции пользовательских данных внутри ВМ;
- перехват управления в среде виртуализации;
- выход процесса за пределы ВМ."
И не встречаем ни где упоминания про проблемы наличия НДВ в ПО, а жаль. Хотелось бы иметь какую-то ясность по стандартным и прописанным в какой-либо нормативной технической документации методам защиты именно от НДВ систем с применением виртуализации, а то в свете приказов ФСТЭК №17 и №21 , плюс ПП№1119 плюс повсеместному внедрению виртуальных сред и отсутствием внятного пояснения по уровням защищенности, становится совсем грустно.
Tags: Виртуализация, Информбезопасность, защита данных
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments