1 июня 2017 г вводится в
действие новый ГОСТ Р 56938-2016 «Защита информации. Защита информации при
использовании технологий виртуализации. Общие положения». В стандарте приведена
терминология в области виртуализации, в частности, даны определения понятиям «виртуальная
инфраструктура», «виртуализация», «гипервизор» (введены три типа гипервизоров),
«виртуальная машина» и др. Наличие определений всегда полезно для единства
понимания ключевых терминов и уменьшения бесплодных дискуссий.
- средства создания и управления виртуальной инфраструктурой
(гипервизоры разных типов, системы хранения данных, консоль управления
виртуальной инфраструктурой и др.);
- виртуальные вычислительные системы (ВМ, виртуальные сервера и др.);
- виртуальные системы хранения данных;
- виртуальные каналы передачи данных;
- отдельные виртуальные устройства обработки, хранения и передачи данных (виртуальные процессоры, виртуальные диски, виртуальная память, и др.);
- виртуальные средства защиты информации и средства ЗИ, предназначенные для использования в среде виртуализации;
- периметр виртуальной инфраструктуры.
- виртуальные вычислительные системы (ВМ, виртуальные сервера и др.);
- виртуальные системы хранения данных;
- виртуальные каналы передачи данных;
- отдельные виртуальные устройства обработки, хранения и передачи данных (виртуальные процессоры, виртуальные диски, виртуальная память, и др.);
- виртуальные средства защиты информации и средства ЗИ, предназначенные для использования в среде виртуализации;
- периметр виртуальной инфраструктуры.
Далее в ГОСТ перечислены и
кратко описаны 18 угроз безопасности, обусловленных использованием технологий
виртуализации. Данный раздел коррелирует с Банком данных угроз ФСТЭК.
Самое полезное, на мой взгляд –
меры защиты информации при использовании технологий виртуализации. Меры сведены
в группы, соответствующие объектам защиты (перечисленным выше). Набор мер защиты
в каждой группе, как указано в ГОСТ, определен для «наивысшего класса
защищенности от НСД». О каком классе идет речь – непонятно, поскольку в
руководящих документах ФСТЭК можно насчитать, по меньшей мере, 3 разных
классификации, не считая ИСПДн и ИС с общедоступной информацией.
В приложении приведена весьма
коряво нарисованная типовая структура информационной системы, построенной с
использованием технологий виртуализации.
Что ж, скажем ФСТЭК спасибо за
ГОСТ. Лучше поздно, чем никогда (стандарт впервые был обещан еще в 2014 году).
Непонятно только, почему срок введения документа в действие отложили на целый
год.
Комментариев нет:
Отправить комментарий