FedRAMP сертификация

User avatar
major Major Major Major
Уже с Приветом
Posts: 760
Joined: 10 Jan 2000 10:01
Location: Хьюстон

FedRAMP сертификация

Post by major Major Major Major » 08 Nov 2018 17:39

Свалилась на нашу голову. Кто нибудь имел дело? В плане сертификации софта, не железа/сетей/датацентра? Какого булшита ждать и насколько отличается от ISO XXX?

Ir4
Уже с Приветом
Posts: 1316
Joined: 27 Dec 2004 05:07
Location: SFBA

Re: FedRAMP сертификация

Post by Ir4 » 08 Nov 2018 18:19

Мы только что прошли. Много фана. Смотря что сертифицируете. Я была за ДБ ответственна. Там много чего надо. И очень внимательно смотреть чтобы все точно соответствовало стандартам. Например - если база использует енкрипшн - (а он обязателен!) - то метод должен быть сертифицирован официально - надо смотреть на fips и nist сайтах. Потом - по базам - есть CIS доки - на их же сайте - тоже надо все точно делать, а потом чтобы секюрити скан был весь "зеленый". Если что "красное" - то либо фиксить, либо заполнять спец. форму - почему не...

User avatar
major Major Major Major
Уже с Приветом
Posts: 760
Joined: 10 Jan 2000 10:01
Location: Хьюстон

Re: FedRAMP сертификация

Post by major Major Major Major » 08 Nov 2018 21:51

Ну шифрование в DB у нас делается как положено - средствами самой DB, я не любитель изобретать велосипед, так что это то же инфраструктура, на это у нас есть другие люди.

А по процессу разработки там есть вопросы? Я проходил iso 27001 там были вопросы по SDLC

User avatar
АццкоМото
Уже с Приветом
Posts: 15012
Joined: 01 Mar 2007 05:18
Location: VVO->ORD->DFW->SFO->DFW->PDX

Re: FedRAMP сертификация

Post by АццкоМото » 08 Nov 2018 21:59

major Major Major Major wrote:
08 Nov 2018 21:51
Ну шифрование в DB у нас делается как положено - средствами самой DB, я не любитель изобретать велосипед, так что это то же инфраструктура, на это у нас есть другие люди.

А по процессу разработки там есть вопросы? Я проходил iso 27001 там были вопросы по SDLC
Есть много стандартов. Например FIPS 140-2. И стандартное шифрование может тупо не прокатить. А могут быть еще и законы типа шифрования даты рождения несовершеннолетнего. И там есть свои нюансы. Все зависит
Мат на форуме запрещен, блдж!

User avatar
major Major Major Major
Уже с Приветом
Posts: 760
Joined: 10 Jan 2000 10:01
Location: Хьюстон

Re: FedRAMP сертификация

Post by major Major Major Major » 08 Nov 2018 22:22

АццкоМото wrote:
08 Nov 2018 21:59
Есть много стандартов. Например FIPS 140-2. И стандартное шифрование может тупо не прокатить. А могут быть еще и законы типа шифрования даты рождения несовершеннолетнего. И там есть свои нюансы. Все зависит
Ну я как бы в курсе нистовых стандартов немного :) SQL Server или Оракл к примеру конфигурятся для фипса 140-2, родными механизмами. Про шифрование даты рождения несовершеннолетнего как специальный стандарт не слышал. Имел дело с S-O и PCI, там то же все встроенное работает.

User avatar
АццкоМото
Уже с Приветом
Posts: 15012
Joined: 01 Mar 2007 05:18
Location: VVO->ORD->DFW->SFO->DFW->PDX

Re: FedRAMP сертификация

Post by АццкоМото » 08 Nov 2018 22:50

major Major Major Major wrote:
08 Nov 2018 22:22
АццкоМото wrote:
08 Nov 2018 21:59
Есть много стандартов. Например FIPS 140-2. И стандартное шифрование может тупо не прокатить. А могут быть еще и законы типа шифрования даты рождения несовершеннолетнего. И там есть свои нюансы. Все зависит
Ну я как бы в курсе нистовых стандартов немного :) SQL Server или Оракл к примеру конфигурятся для фипса 140-2, родными механизмами. Про шифрование даты рождения несовершеннолетнего как специальный стандарт не слышал. Имел дело с S-O и PCI, там то же все встроенное работает.
Дата рождения не может быть сохранена даже на сервере без шифрования. Шифрование добавляется даже к SSL, что полный идиотизм. Я не юрист, не знаю, в чем дело

Если слово за слово - я в БД не шарю от слова "совсем". Там какой уровень фипс 140-2 можно достичь?
Мат на форуме запрещен, блдж!

User avatar
major Major Major Major
Уже с Приветом
Posts: 760
Joined: 10 Jan 2000 10:01
Location: Хьюстон

Re: FedRAMP сертификация

Post by major Major Major Major » 08 Nov 2018 23:08

АццкоМото wrote:
08 Nov 2018 22:50
Дата рождения не может быть сохранена даже на сервере без шифрования. Шифрование добавляется даже к SSL, что полный идиотизм. Я не юрист, не знаю, в чем дело

Если слово за слово - я в БД не шарю от слова "совсем". Там какой уровень фипс 140-2 можно достичь?
Ну любая PII для GDPR фактически требует encryption at rest. С требованием шифровать дополнительно к SSL не сталкивался, про требования подкрутить SSL/TLS как надо слышал.

По-моему 3. Посмотрел, 4 это уже железо, так что 3. У SQL Server включается TDE, это прозрачное шифрование. Тебе как девелоперу ничего менять не надо, шифруется налету. Лучше чем на закриптованные диски базы класть, получается быстрее ну и можно включать избирательно, потери на шифровку меньше.

User avatar
АццкоМото
Уже с Приветом
Posts: 15012
Joined: 01 Mar 2007 05:18
Location: VVO->ORD->DFW->SFO->DFW->PDX

Re: FedRAMP сертификация

Post by АццкоМото » 08 Nov 2018 23:18

major Major Major Major wrote:
08 Nov 2018 23:08
АццкоМото wrote:
08 Nov 2018 22:50
Дата рождения не может быть сохранена даже на сервере без шифрования. Шифрование добавляется даже к SSL, что полный идиотизм. Я не юрист, не знаю, в чем дело

Если слово за слово - я в БД не шарю от слова "совсем". Там какой уровень фипс 140-2 можно достичь?
Ну любая PII для GDPR фактически требует encryption at rest. С требованием шифровать дополнительно к SSL не сталкивался, про требования подкрутить SSL/TLS как надо слышал.

По-моему 3. Посмотрел, 4 это уже железо, так что 3. У SQL Server включается TDE, это прозрачное шифрование. Тебе как девелоперу ничего менять не надо, шифруется налету. Лучше чем на закриптованные диски базы класть, получается быстрее ну и можно включать избирательно, потери на шифровку меньше.
Уровень 3 это круто!

А про шифрование поверх SSL я неясно выразился. Это чтобы когда оно пройдет через ССЛ и все ляжет в условно БД или куда еще, оно все равно оставалось зашифрованным. И только избранные могли расшифровать. Такой вот легальный идиотизм. Дисклеймер: я точно не знаю, требуется ли это законом или мы на воду дуем. Но какие-то законы по этому поводу точно есть.
Мат на форуме запрещен, блдж!

Return to “Работа и Карьера в IT”