今年、Veeam Backup&Replication v8 Update#2のFSTEC証明書(TU + NDV4)を受け取りました 。 この投稿では、通常の(非認証)バージョンの代わりにこの製品の(認証)バージョンを選択する価値がある場合、認証バージョンの主な違い、および非制限情報をバックアップするための法律の一般要件について簡単に説明します国家の秘密に。
情報のバックアップを目的とした製品の認定バージョンは、通常、次の場合に必要です。
- FSTECの要件により、認定されたバージョンのソフトウェアを使用する必要があるネットワークセグメントの政府組織で製品を使用する場合。
- 仮想マシンが状態の秘密に関連しない制限された情報を処理する場合 。 この用語は法律で定義されており、実際には法律により制限されている情報へのアクセスが含まれています。 たとえば、制限された情報には、企業の機密情報、 個人の個人データ 、さまざまな種類の秘密(商業、医療、弁護士など)、生産秘密に関する情報などが含まれます。 もちろん、州の秘密も認証製品で保護する必要がありますが、この場合、認証はVeeam Backup&Replicationよりも高いレベルである必要があります。したがって、製品の既存の認定バージョンで状態秘密として分類されたデータを保護することはできません。
- 組織がセキュリティポリシーのために、認定されたソフトウェアバージョンを必要とする場合。
- 会社が、契約の実行の一環として、取引先から制限付きアクセス情報 (取引先の企業秘密を構成する情報など) を受け取った場合 。
- 組織の情報システム(その重要性と重要性のため)が 、認証された情報保護ツールの使用を必要とする法的要件の対象となる場合。 例:バックアップシステムを持たないインターネットのネットワークインフラストラクチャのセクション、原子力発電所の自動プロセス制御システム、緊急事態省の自動システム、公共機関の情報システムなど。
2013年から2014年に、FSTECは、No.17、No.21、No.31の命令を発行しました。この命令では、一般的なバックアップツール(特に仮想環境のバックアップメディア)が情報保護ツールとして明確に分類され 、特別なものがインストールされました要件。 特に、 仮想化ツールをバックアップするための要件は、ZVS.8尺度で説明されています。 Veeam Backup&Replication v8は、これらのFSTECの注文の要件に従ってTUに対して認証されていることに特に注意してください。
FSTECによるこれらの注文の発効前にバックアップ製品が認証された場合、技術仕様の「通常の」証明書(ZVS.8基準への準拠の確認なし)があるため、ユーザーは自分でテストを行う必要があるため、タスクが複雑になりますFSTECの注文の現在の要件に対する情報システムのコンプライアンス。
たとえば、 個人データのバックアップについて話している場合:
- ISPDnの第1および第2のセキュリティレベルの場合、FSTECの命令による保護対策への製品機能の適合性を確認する必要があります。個人データ。 TUのFSTEC証明書を使用すると、情報システムの認証やその他の種類のセキュリティ調査に頼ることなく、これを「自動的に」確認できます。
- また、製品に宣言されていない機能(NDV)がないことを確認する必要があります 。FSTEC データのバックアップとリカバリの順序では直接「セキュリティ対策」と呼ばれるため、バックアップを提供するソフトウェア製品は情報保護に関連します。 個人データのセキュリティの第1および第2レベルのISPDnで使用される情報保護ツール、およびアプリケーションソフトウェアの未宣言の機能の存在に関連する脅威が関連する第3セキュリティレベルのシステムは、テストしないでください未宣言の機会の欠如のコントロールの第4レベルより低い 。 これは、バックアップツールの認証の必要性を判断するための非常に重要なポイントです。NDVは、州の認証システムでしか確認できないためです。
サポートされているプラットフォームに関して、Veeam Backup&Replicationの認定バージョンは、 VMware vSphere 5.5 / 6.0やMicrosoft Hyper-V Server 2012 R2などのMicrosoftおよびVMware仮想化プラットフォームの一般的なバージョンをサポートしていることに注意してください。
認定バージョンは 、必要なサポートドキュメント(フォーム、技術仕様、証明書) を含む物理メディアで配信されますが、試用バージョンは、通常どおり、電子形式でダウンロードできます(営業部門に連絡することにより)。 認定キットで購入したライセンスの数はいくつでもかまいません。 認定バージョンの配信には、FSTECライセンスは必要ありません。したがって、ロシアのVeeamパートナーは、電子ライセンスと物理的な認定キットを提供できます。
Veeam Backup&Replicationの認定バージョンの別の利点は、ロシアで実施されている技術サポートです。
1)特別なメンテナンスアルゴリズムによると、認定製品は更新できないため(つまり、これは通常の非認定バージョン用に提案されることが多い)。
2)ロシア語で完全に( 3つのレベルすべて )。
簡単な結論
受信したFSTEC証明書は、Veeamユーザーにロシア連邦の法律の要件に従ってビジネスプロセスを整理する機会を与えます。 Veeam Backup&Replication v8の認定バージョンを使用すると、個人の個人データ、組織の機密情報、チップボード情報、企業秘密、および公共部門と営利組織の両方で州の秘密に関係しないアクセスが制限されているその他の情報をバックアップできます。
サイトリンク
1. Veeam Backup&ReplicationのFSTEC認定バージョンおよび一般的な制限情報のバックアップに関する情報サイト
2.記事M.Yu。 Emeliannikova 「ビジネスのためにデータをバックアップする必要があります。これにはFSTEC証明書が必要ですか?」
3. ウェビナー「ビジネス要求と法律の要件をバックアップする」の記録 (スピーカーVitaliy Savchenko、Mikhail Emelyannikov、Maria Sidorova)
4. Veeam Backup&ReplicationのFSTEC証明書